Dynamisch IP-adres is een persoonsgegeven: aanbieder van onlinemediadiensten lijkt te beschikken over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust. Opslag van dynamische IP-adressen onder Duitse regeling niet gerechtvaardigd: Duitse regeling beperkt reikwijdte artikel 7, onder f), van richtlijn 95/46 (Databeschermingsrichtlijn), doordat zij eraan in de weg staat dat de doelstelling om de goede werking van het desbetreffende onlinemedium in het algemeen te waarborgen wordt afgewogen tegen het belang of de fundamentele rechten en vrijheden van die gebruikers.
Breyer heeft verschillende websites van Duitse federale instellingen bezocht. Teneinde cyberaanvallen af te weren en strafvervolging van de aanvallers mogelijk te maken, wordt bij de meeste van deze sites elk bezoek in logbestanden (waaronder het IP-adres) geregistreerd. Breyer heeft bij de Duitse bestuursrechtelijke gerechten een beroep ingesteld dat ertoe strekt dat aan de Bondsrepubliek Duitsland een verbod wordt opgelegd om, na zijn bezoek van voor het publiek toegankelijke websites voor onlinemedia van Duitse federale instellingen, het IP-adres van zijn hostsysteem van waaraf de toegang tot deze websites heeft plaatsgevonden, te bewaren of door derden te doen bewaren, voor zover de bewaring van dat IP-adres niet nodig is om de beschikbaarheid van die media te herstellen in geval van storing.
Een restrictieve lezing van § 15, lid 1, TMG staat er volgens de verwijzende rechter aan in de weg dat IP-adressen worden bewaard om de veiligheid en de goede werking van onlinemedia in het algemeen te waarborgen en in stand te houden. De verwijzende rechter vraagt zich af of deze uitlegging strookt met artikel 7, onder f), van richtlijn 95/46, met name gelet op de criteria die het Hof heeft ontwikkeld in de punten 29 en volgende van het arrest van 24 november 2011, ASNEF en FECEMD (C‑468/10 en C‑469/10, EU:C:2011:777).
Gestelde vragen:
1) Dient artikel 2, onder a), van richtlijn 95/46 aldus te worden uitgelegd dat een internetprotocoladres (IP‑adres) dat een aanbieder van [onlinemedia]diensten opslaat wanneer zijn internetsite wordt bezocht, voor deze aanbieder reeds dan een persoonsgegeven vormt, wanneer een derde (in casu: de internetprovider) beschikt over de aanvullende gegevens die nodig zijn om de betrokken persoon te identificeren?
2) Verzet artikel 7, onder f), van [deze richtlijn] zich tegen een regel van nationaal recht op grond waarvan de aanbieder van [onlinemedia]diensten persoonsgegevens van een gebruiker zonder diens toestemming enkel mag verzamelen en benutten voor zover dit nodig is om het concrete gebruik van [het onlinemedium] door de betrokken gebruiker mogelijk te maken en te factureren en op grond waarvan de doelstelling, die erin bestaat de goede werking van [het onlinemedium] in het algemeen te waarborgen, niet rechtvaardigt dat de gegevens worden benut na afloop van [de desbetreffende sessie]?
Antwoord HvJEU:
1) Artikel 2, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet aldus worden uitgelegd dat een dynamisch internetprotocoladres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust.
2) Artikel 7, onder f), van richtlijn 95/46 moet aldus worden uitgelegd dat het zich verzet tegen een regeling van een lidstaat op grond waarvan een aanbieder van onlinemediadiensten persoonsgegevens van een gebruiker van deze diensten zonder diens toestemming enkel mag verzamelen en benutten voor zover dit nodig is om het concrete gebruik van deze diensten door deze gebruiker mogelijk te maken en te factureren, zonder dat de doelstelling de goede werking van die diensten in het algemeen te waarborgen kan rechtvaardigen dat die gegevens worden gebruikt na afloop van de desbetreffende sessie.
