Förslag till avgörande av generaladvokat Manuel Campos Sánchez-Bordona föredraget den 12 maj 2016
1 Originalspråk: spanska.
2 I artikel 5 i Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT 2006, L 105, s. 54) föreskrevs olika skyldigheter för att kunna utreda, avslöja och åtala brott, bland annat att lagra datum och tid för på- respektive avloggning i Internetåtkomsttjänsten ... Tillsammans med IP-adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetåtkomstleverantören till en kommunikation och abonnents eller registrerad användares användar-ID.
3 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT 1995, L 281, s. 31).
4 Dom av den 24 november 2011 ( C‑70/10, EU:C:2011:771), punkt 51.
5 Så skedde även i dom av den 19 april 2012, Bonnier Audio m.fl. ( C‑461/10, EU:C:2012:219), punkterna 51 och 52.
6 Lag av den 26 februari 2007 (BGBl 2007 I, s. 179).
7 Lag av den 20 december 1990 (BGBl 1990 I, s. 2954).
8 Enligt Bundesgerichtshof är användningsdata uppgifter för att identifiera användaren, uppgifter om när den aktuella användningen inleddes och avslutades, samt dess omfattning och uppgifter om de teletjänster som användaren använt.
9 Dom av den 24 november 2011 ( C‑70/10, EU:C:2011:771), punkt 51.
10 Ett problem som behandlats av domstolen i domarna av den 24 november 2011, Scarlet Extended ( C‑70/10, EU:C:2011:771), punkt 51, och av den 19 april 2012, Bonnier Audio m.fl. ( C‑461/10, EU:C:2012:219). I punkterna 51 och 52 i den sistnämnda domen drog domstolen slutsatsen att tillhandahållande av information om namn på och adress till en ... internetanvändare som använt sig av den IP-adress som antas ha använts för olaglig fildelning av filer innehållande skyddade verk, detta i syfte att kunna identifiera denna person. … utgör behandling av personuppgifter i den mening som avses i artikel 2 första stycket i direktiv 2002/58 jämförd med artikel 2 b i direktiv 95/46.
11 Beträffande de båda ståndpunkterna i doktrinen, se Schreibauer, M., i Kommentar zum Bundesdatenschutzgesetz. Nebengesetze, Esser, M., Kramer, P., och von Lewinski, K. (red.), Carl Heymanns Verlag/Wolters Kluwer, Köln, 2014, 4 uppl., § 11 Telemediengesetz (4–10). Nink, J., och Pohle, J.: Die Bestimmbarkeit des Personenbezugs. Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze, i Multimedia und Recht, 9/2015, sidorna 563–567. Heidrich, J. och Wegener, C.: Rechtliche und technische Anforderungen an die Protokollierung von IT-Daten. Problemfall Logging, i Multimedia und Recht, 8/2015, sidorna 487–492. Leisterer, H.: Die neuen Pflichten zur Netz– und Informationssicherheit und die Verarbeitung personenbezogener Daten zur Gefahrenabwehr, i Computer und Recht, 10/2015, sidorna 665–670.
12 Vilken återgetts i punkt 13.
13 Vilket återgetts i punkt 11.
14 Detta erinrade generaladvokaten Cruz Villalón om i sitt förslag till avgörande i målet Scarlet Extended ( C‑70/10, EU:C:2011:255), punkt 76, och det ansåg även Europeiska datatillsynsmannen i sina yttranden av den 22 februari 2010 över EU:s pågående förhandlingar om ett handelsavtal om åtgärder mot varumärkesförfalskning (Acta-avtalet) (EUT, 2010, C 147, s. 1, punkt 24), och av den 10 maj 2010 om förslaget till Europaparlamentets och rådets direktiv om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt om upphävande av rambeslut 2004/68/RIF (EUT 2010, C 323, s. 6, punkt 11).
15 Se, för ett liknande resonemang, dom av den 20 maj 2003, Österreichischer Rundfunk ( C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294), punkt 68, samt generaladvokaten Kokotts förslag till avgörande i målet Promusicae ( C‑275/06, EU:C:2007:454), punkt 51 och följande punkter.
16 Om inte motsatsen bevisas, kan det presumeras att det är den personen som har surfat på internet och besökt webbplatsen i fråga. Även om detta inte presumeras gör informationen om datum och klockslag och från vilket nummer webbplatsen besöktes, det möjligt att koppla denna användning till innehavaren av enheten och direkt sätta den i samband med hans eller hennes beteendemönster på internet. Möjliga undantag skulle kunna vara IP-adresser som tilldelas datorer i lokaler som internetkaféer, vars anonyma användare inte kan identifieras och beträffande vars ägare den trafik som sker i lokalen inte ger någon relevant personlig information. Detta är för övrigt det enda undantag från principen att IP-adresser utgör personuppgifter som godtagits av Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, vilken inrättades genom direktiv 95/46 (den så kallade artikel 29-gruppen). Se dess yttrande 4/2007 av den 20 juni 2007 om begreppet personuppgifter, WP 136, påhttp://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.
17 Ingen kursivering i originalet.
18 Denna vilja att förebygga ligger till grund för den ståndpunkt som Artikel 29-gruppen intagit. Den innebär att man ska utgå från principen att IP-adresserna utgör personuppgifter, och att det enda undantaget är de fall då tjänsteleverantören med full säkerhet kan avgöra att adresserna tillhör oidentifierbara personer, exempelvis användare på ett internetkafé. Se fotnot 16, in fine.
19 Punkterna 40 och 45 i dess skriftliga yttrande.
20 Det är i detta sammanhang irrelevant om det är möjligt att de facto få tillgång till personuppgiften genom att bryta mot dataskyddslagstiftningen.
21 Punkterna 47 och 48 i dess skriftliga yttrande.
22 Punkt 36 i dess skriftliga yttrande.
23 I tillämpningsområdet för direktiv 95/46 ingår inte behandlingar som rör allmän säkerhet, försvar, statens säkerhet … och statens verksamhet på straffrättens område (ingen kursivering i originalet).
24 Dom av den 6 november 2003 ( C‑101/01, EU:C:2003:596), punkt 43.
25 För ett liknande resonemang, se dom av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia ( C‑73/07, EU:C:2008:727), punkt 41.
26 Punkt 36 i beslutet att begära förhandsavgörande.
27 Dom av den 16 december 2008 ( C‑524/06, EU:C:2008:724), punkt 45.
28 Dom av den 30 maj 2006 ( C‑317/04 och C-318/04, EU:C:2006:346), punkterna 54–59.
29 Ibidem, punkt 59. Målet handlade om personuppgifter vars behandling inte var nödvändig för att tillhandahålla de tjänster som utgjorde de berörda privata aktörernas affärsverksamhet (flygbolag), men som dessa såg sig tvingade att överföra till myndigheterna i USA för att förebygga och bekämpa terrorism.
30 Vilken återgetts i punkt 17.
31 Se punkt 84. Webbplatsinnehavarna har visserligen ett berättigat intresse av att förebygga och bekämpa de Denials of Service-attacker som den hänskjutande domstolen har hänvisat till, det vill säga sådana massiva angrepp som ibland på ett koordinerat sätt riktas mot vissa webbplatser för att överbelasta och lamslå dem.
32 Dom av den 24 november 2011 ( C‑468/10 och C‑469/10, EU:C:2011:777).
33 Ibidem, punkt 30.
34 Ibidem, punkt 32.
35 Ett fall där det i den nationella lagstiftningen, utöver kraven i artikel 7 f i direktiv 95/46, tillades att de uppgifter som var föremål för behandling skulle finnas i allmänt tillgängliga källor.
36 Dom av den 24 november 2011 ( C‑468/10 och C‑469/10, EU:C:2011:777).
37 Kapitel II, som har rubriken Allmänna bestämmelser om när personuppgifter får behandlas och som innehåller artiklarna 5–21 i direktiv 95/46.
38 Dom av den 24 november 2011 ( C‑468/10 och C‑469/10, EU:C:2011:777), punkt 36.
39 Ibidem, punkt 47.
40 Vid förhandlingen gjorde Breyers ombud gällande att lagringen av de dynamiska IP-adresserna inte är nödvändig för att säkerställa att internettjänsterna fungerar väl mot eventuella angrepp. Jag anser inte att man kan tillhandahålla någon absolut lösning på detta problem. I varje enskilt fall måste det först göras en avvägning mellan webbplatsinnehavarens intresse och användarnas rättigheter och intressen.