Internetsites mogen gegevens van bezoekers bewaren in strijd tegen cyberaanvallen

Contentverzamelaar

Internetsites mogen gegevens van bezoekers bewaren in strijd tegen cyberaanvallen

De exploitant van een website kan er een gerechtvaardigd belang bij hebben bepaalde persoonsgegevens van de bezoekers te bewaren om zich te beschermen tegen cyberaanvallen. Het dynamische IP-adres van een bezoeker is zo’n persoonsgegeven wanneer daarmee de identiteit van de bezoeker kan worden achterhaald via zijn internetprovider. Dat heeft het EU-Hof geantwoord op vragen van het Duitse Bundesgerichtshof.

Het gaat om het arrest van het EU-Hof van 19 oktober 2016 in de zaak C-582/14

Een Duitse internetgebruiker maakt bij de Duitse rechter bezwaar tegen het feit dat de door hem bezochte websites van Duitse federale instellingen zijn internetprotocoladressen (hierna: „IP-adressen”) registreren en bewaren. IP-adressen zijn numerieke reeksen die worden toegekend aan computers die met het internet zijn verbonden, om hun onderlinge communicatie via het internet mogelijk te maken. Wanneer een website wordt bezocht, wordt het IP-adres van de computer waarmee de gegevens worden opgevraagd, doorgegeven aan de server waar de bezochte website is opgeslagen. Dit is nodig om de opgevraagde gegevens aan de juiste ontvanger over te dragen.

Deze federale instellingen registreren en bewaren, naast de datum en het uur waarop een website is bezocht, de IP-adressen van de bezoekers om cyberaanvallen af te weren en strafvervolging mogelijk te maken.

Het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) heeft aan het Hof van Justitie de vraag voorgelegd of een „dynamisch” IP-adres in dit verband ten aanzien van de exploitant van de betrokken website eveneens een persoonsgegeven vormt en dus de bescherming geniet die aan dergelijke gegevens wordt verleend. Een dynamisch IP-adres is een IP-adres dat bij elke nieuwe verbinding met het internet wijzigt. Anders dan statische IP-adressen maken dynamische IP-adressen het niet mogelijk om aan de hand van bestanden die voor het publiek toegankelijk zijn, een verband te leggen tussen een bepaalde computer en de fysieke aansluiting op het door de internetprovider gebruikte netwerk. Daarom beschikt enkel de internetprovider van de internetgebruiker over de extra informatie die nodig is om hem te identificeren.

Voorts wenst het Bundesgerichtshof te vernemen of de exploitant van een website – in beginsel – de mogelijkheid moet hebben om de persoonsgegevens van de bezoekers te verzamelen en achteraf te benutten om de goede werking van zijn website in het algemeen te waarborgen. Het Bundesgerichtshof merkt in dit verband op dat het merendeel van de Duitse rechtsleer de ter zake geldende Duitse regeling aldus uitlegt dat deze gegevens na afloop van de desbetreffende sessie moeten worden uitgewist, behalve wanneer zij vereist zijn voor factureringsdoeleinden.

In zijn arrest antwoordt het EU-Hof in de eerste plaats dat een dynamisch IP-adres dat door een „aanbieder van onlinemediadiensten” (dat wil zeggen door de exploitant van een website, in casu de Duitse federale instellingen) wordt geregistreerd telkens als zijn voor het publiek toegankelijke website wordt bezocht, ten aanzien van de exploitant een persoonsgegeven vormt in de zin van de privacy-richtlijn 95/46/EG wanneer deze exploitant over wettige middelen beschikt waarmee hij de bezoeker kan identificeren aan de hand van extra informatie die bij de internetprovider van de bezoeker berust.

Het Hof merkt in dit verband op dat in Duitsland voor aanbieders van onlinemediadiensten juridische mogelijkheden lijken te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en vervolgens strafvervolging in te stellen.

In de tweede plaats antwoordt het Hof dat de privacyrichtlijn niet toestaat dat een regeling van een lidstaat op grond waarvan een aanbieder van onlinemediadiensten de persoonsgegevens van de bezoeker zonder diens toestemming enkel mag verzamelen en benutten voor zover dit nodig is om het concrete gebruik van deze diensten door deze bezoeker mogelijk te maken en te factureren. Die regeling moet volgens het Hof toestaan dat die gegevens ook na afloop van de desbetreffende sessie worden gebruikt om de goede werking van die diensten in het algemeen te waarborgen.

Het Hof herinnert eraan dat de verwerking van persoonsgegevens volgens het Unierecht onder meer rechtmatig is indien de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene niet prevaleren.

Volgens het EU-Hof beperkt de Duitse regeling, zoals die wordt uitgelegd in het merendeel van de Duitse rechtsleer, de reikwijdte van dit beginsel, doordat zij eraan in de weg staat dat de doelstelling de goede werking van het desbetreffende onlinemedium in het algemeen te waarborgen, wordt afgewogen tegen het belang dan wel de fundamentele rechten en vrijheden van de bezoekers.

Het Hof onderstreept in dit verband dat de Duitse federale instellingen die onlinemediadiensten aanbieden, een gerechtvaardigd belang erbij zouden kunnen hebben dat de goede werking van hun voor het publiek toegankelijke websites na elk concreet gebruik ervan in stand wordt gehouden.