Privacy-activist klaagt Duitse overheid aan
De zaak vloeit voort uit een klacht van een Duitse man genaamd Breyer. Hij heeft bij de Duitse bestuursrechter de Duitse Staat gedagvaard, om zo af te dwingen dat zijn IP-adres niet wordt bewaard na bezoek aan overheidswebsites.
Bundesgerichtshof stelt vragen over uitleg begrip persoonsgegevens
De zaak komt uiteindelijk bij het Bundesgerichtshof terecht (de Duitse Hoge Raad). Deze instantie vraagt zich af hoe ruim het begrip persoonsgegevens moet worden uitgelegd en, meer specifiek, of een dynamisch IP-adres als persoonsgegeven moet worden aangemerkt of niet. Die vraag wordt aan het Europees Hof van Justitie gesteld.
Hof van Justitie: antwoord op de vraag was inderdaad nog niet bekend
Volgens diverse auteurs volgde uit het Scarlet-arrest al dat IP-adressen persoonsgegevens zouden zijn. Dat Scarlet-arrest ging echter alleen over de vraag of een IP-adres voor een provider een persoonsgegeven is, zo benadrukt het Hof zelf allereerst:
33 Vooraf zij opgemerkt dat het Hof in punt 51 van het arrest van 24 november 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), dat onder meer betrekking had op de uitlegging van dezelfde richtlijn, in wezen heeft geoordeeld dat IP-adressen van internetgebruikers beschermde persoonsgegevens zijn, aangezien zij de precieze identificatie van deze gebruikers mogelijk maken.
34 Deze vaststelling van het Hof betrof evenwel het geval waarin IP-adressen van internetgebruikers worden verzameld en geïdentificeerd door de internetproviders.
Hof van Justitie: indirecte identificeerbaarheid voldoende
Het Hof benadrukt vervolgens dat in de privacyrichtlijn uitdrukkelijk staat dat onder persoonsgegevens niet alleen gegevens worden verstaan die direct identificerend zijn, maar ook gegevens waardoor de betrokkene indirect kan worden geïdentificeerd. De wetgever heeft dus beoogd het begrip persoonsgegevens ruim uit te leggen.
Hof van Justitie: de sleutel mag ook bij een derde liggen
Daarna vindt een belangrijke sprong plaats in de redenering. Het Hof stelt vast dat in de richtlijn staat dat voor de identificeerbaarheid niet alleen moet worden gekeken naar de middelen die de verantwoordelijke zelf kan inzetten, maar ook naar de middelen die enig andere persoon kan inzetten.
43 Aangezien deze overweging verwijst naar de middelen die redelijkerwijs kunnen worden ingezet door zowel de persoon die voor de verwerking verantwoordelijk is als een „ander[e] persoon”, kan uit de bewoordingen ervan worden opgemaakt dat het voor de kwalificatie van een gegeven als „persoonsgegeven” in de zin van artikel 2, onder a), van richtlijn 95/46 niet vereist is dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust.
Met andere woorden: als de spreekwoordelijke "slot" en "sleutel" op twee plaatsen liggen, en samen herleidbare persoonsgegevens vormen, dan zijn beide onderdelen ook als persoonsgegeven aan te merken.
Hof van Justitie: dat de derde gegevens niet "zomaar" afgeeft niet relevant
Het Hof van Justitie wijst er verder op dat er juridische mogelijkheden bestaan om de informatie bij de provider te verkrijgen. Dit zou maken dat de gegevens waarschijnlijk wel als persoonsgegevens zijn aan te merken.
47 Hoewel de verwijzende rechter in zijn verwijzingsbeslissing preciseert dat de internetprovider de extra informatie die noodzakelijk is voor de identificatie van de betrokken persoon, naar Duits recht niet rechtstreeks mag doorgeven aan de aanbieder van onlinemediadiensten, lijken er – onder voorbehoud van de door de verwijzende rechter in dit verband te verrichten verificaties – voor de aanbieder van onlinemediadiensten juridische mogelijkheden te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en om strafvervolging in te stellen.
Let wel, het is de vraag of deze overweging inderdaad zo ruim gelezen mag worden. Het Hof benadrukt immers wel heel nadrukkelijk dat de Duitse rechter moet verifiëren of de identificerende informatie inderdaad zo eenvoudig te verkrijgen is.
Dat de opsporingsautoriteiten bij cyberaanvallen (een misdrijf!) bij providers identificerende informatie kunnen opvragen zal naar Duits recht ongetwijfeld zo zijn, maar dan is het nog maar de vraag of die informatie dus ook aan de websitehouder zal worden verstrekt. In Nederland krijg je althans gedurende het onderzoek niet zomaar te horen welke personen allemaal verdachte zijn. Het zou mij verbazen als dat in Duitsland wezenlijk anders is. De kennis die de politie/het OM opdoet toerekenen aan de websitehouder lijkt mij dan ook wat te "makkelijk". Het is afwachten wat de Duits rechter hier mee doet.
Hof van Justitie: altijd mogelijkheid openhouden van gerechtvaardigd belang
Verder komt in deze kwestie nog een andere discussie op. In de Duitse wetgeving stonden kennelijk hele strikte voorwaarden voor de verwerking van IP-adressen. Dat is niet toegestaan, want de wetgeving moet altijd ook een belangenafweging mogelijk maken bij de verwerking van persoonsgegevens:
62 In dit verband zij er tevens aan herinnerd dat artikel 7, onder f), van richtlijn 95/46 zich ertegen verzet dat een lidstaat voor bepaalde categorieën persoonsgegevens categorisch en generiek de mogelijkheid van verwerking uitsluit, zonder ruimte te bieden voor een afweging van de betrokken tegengestelde rechten en belangen in een concreet geval. Een lidstaat mag voor deze categorieën de uitkomst van de afweging van de tegengestelde rechten en belangen dan ook niet definitief vaststellen, zonder ruimte te bieden voor een afwijkende uitkomst wegens de bijzondere omstandigheden van een concreet geval (zie in die zin arrest van 24 november 2011, ASNEF en FECEMD, C‑468/10 en C‑469/10, EU:C:2011:777, punten 47‑48).
De overweging is met name interessant wanneer volgens een toezichthouder niet wordt voldaan aan strenge wettelijke criteria, terwijl die wettelijke criteria onvoldoende ruimte bieden aan een afweging in de specifieke omstandigheden van het geval.
Slotopmerking
Zoals met veel kwesties zit het venijn in de details. Zijn IP-adressen nu persoonsgegevens of niet? Dat hangt nu af van het antwoord op de vraag of de verantwoordelijke "beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust". Het Hof lijkt te veronderstellen dat daarbij bij cyberaanvallen sprake van zal zijn, maar weet het kennelijk ook zelf niet zeker, want het zet hier de Duitse rechter aan het werk.
Het is daarbij helemaal de vraag of de kwestie buiten cyberaanvallen anders zou worden beoordeeld. Bij een verdenking van een misdrijf of ander zwaarwegend belang zijn providers immers wel - desnoods via de rechter - tot afgifte van NAW-gegevens te bewegen, maar hoe zal de afweging uitvallen indien IP-adressen worden verwerkt in het kader van (onschuldige) statistiek over het bezoek aan de website? Geen provider zal NAW-gegevens verstrekken wanneer een websitehouder louter uit nieuwsgierigheid wil weten welke bezoeker er achter een bepaald IP-adres schuil gaat. Naar mijn verwachting zijn onder die omstandigheden IP-adressen dan (dus) ook niet te beschouwen als persoonsgegevens (want de middelen voor de identificatie ontbreken).
Het is afwachten hoe Nederlandse rechters hier in voorkomend geval over zullen oordelen.
