Het Duitse Bundesgerichtshof stelde enkele dagen geleden twee prejudiciële vragen aan het Hof van Justitie van de Europese Unie om te achterhalen of IP-adressen beschouwd moeten worden als persoonsgegevens.
De vraag is een beetje verbazend. De privacyoverheden van de meeste EU-lidstaten hebben immers al lang geleden in adviezen duidelijk gemaakt dat wat hen betreft IP-adressen inderdaad persoonsgegevens zijn.
Een en ander is van belang omdat een persoonsgegeven enkel verwerkt mag worden als is voldaan aan de voorwaarden uit de Privacyrichtlijn (en de nationale Privacywetgeving), te weten met voorafgaande toestemming van de betrokkene of indien de verwerken kan bewijzen dat er sprake is van een “gerechtvaardigd belang”.
De vraag wordt nu voor het eerst voorgelegd aan het Europees Hof van Justitie, dat binnen afzienbare tijd definitieve duidelijkheid zal moeten maken of de privacyoverheden het bij het recht eind hadden.
Waarom worden deze vragen nu gesteld?
Heel wat overheidsinstellingen in Duitsland slaan de IP-adressen van bezoekers aan hun website op, samen met verschillende andere gegevens over het bezoek zoals bijvoorbeeld het tijdstip van het bezoek. De eisende partij in de Duitse procedure, de heer Patrick Breyer, heeft de Duitse rechter verzocht om de overheid te verbieden om zijn IP-adres na zijn bezoek op te slaan.
De rechter heeft dat verzoek in eerste aanleg afgewezen. In beroep is de vordering vervolgens wel gedeeltelijk toegewezen. De beroepsrechter oordeelde dat als Breyer tijdens het bezoek aan de website ook andere persoonsgegevens heeft gedeeld waardoor hij geïdentificeerd kan worden (naam of e-mail bijvoorbeeld), zijn IP-adres ook als persoonsgegeven moet beschouwd worden en niet zomaar mag bijgehouden worden.
Blijkbaar was geen van beide partijen helemaal tevreden over deze uitspraak, aangezien ze beiden een zogeheten Revision procedure hebben opgestart en in het kader van die procedure stelde het Bundesgerichtshof de onderstaande vragen aan het EHJ.
Is een IP-adres een persoonsgegeven?
De eerste vraag van het Bundesgerichtshof aan het EHJ is of een IP-adres inderdaad een persoonsgegeven is. Het Bundesgerichtshof zelf lijkt de stelling voor te staan dat dat niet het geval is als een websitebezoeker niet zijn echte naam of andere identificatiegegevens heeft moeten opgeven. De eigenaar van de website kan dan immers niet zonder buitensporige inspanning of kosten de ware identiteit van de bezoeker achterhalen, waardoor het IP-adres geen persoonsgegeven kan zijn dat toelaat iemand te identificeren. Het bijhouden ervan zou in dat geval niet onder de beperkende voorwaarden van de privacywetgeving vallen.
Als echter het IP-adres door koppeling aan andere gegevens, zelfs gegevens van een derde zoals de internet service provider toch kan leiden tot identificatie (bijvoorbeeld door uur van bezoek te koppelen aan verbruikersdata van ISP) is het IP-adres wél een persoonsgegeven, waarvan de verwerking zonder voorafgaande toestemming (of zonder voldoende rechtvaardigingsgrond) verboden is.
De vraag die beantwoord moet worden is dan ook:
“Dient artikel 2, onder a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31) – richtlijn betreffende gegevensbescherming – aldus te worden uitgelegd dat een internetprotocoladres (IP-adres) dat een aanbieder van diensten in verband met de toegang tot zijn internetsite opslaat, voor deze aanbieder reeds dan een persoonsgegeven vormt, wanneer een derde (in casu: de aanbieder van de toegang) beschikt over de bijkomende kennis die nodig is om de betrokken persoon te identificeren?”
Tweede vraag: Is de brede interpretatie van de uitzondering onder Duitse recht in strijd met de EU-richtlijn?
Als het IP-adres inderdaad een persoonsgegeven is, stelt zich specifiek in Duitsland een tweede probleem. Onder Duits recht mag een persoonsgegeven alleen bewaard worden na afloop van een websitebezoek als de wet dit expliciet toelaat of als de betrokkene voorafgaand zijn toestemming heeft gegeven. De Duitse wet voorziet in zo’n rechtvaardigingsgrond voor overheidsinstanties: zij mogen persoonsgegevens opslaan als dat nodig is om het gebruik van de website mogelijk te maken, of om te factureren. De overheid beroept zich op deze uitzondering met de stelling dat zij de IP-adressen nodig heeft om zich te wapenen tegen DoS-aanvallen, wat dan moet vallen onder de categorie “het gebruik van de website mogelijk te maken”.
De bezoeker heeft echter de website al verlaten op het moment dat zijn IP-adres verwerkt wordt voor beveiligingsredenen en het doel van de opslag is niet het individuele bezoek mogelijk te maken, maar de algemene veiligheid van de website. De vraag is dus of de Duitse overheid in het algemeen belang van haar website individuele persoonsgegevens mag verwerken zonder voorafgaande toestemming.
De tweede vraag is dus:
“Verzet artikel 7, onder f, van de richtlijn betreffende gegevensbescherming zich tegen een regel van nationaal recht op grond waarvan de aanbieder van diensten persoonsgegevens van een gebruiker zonder diens toestemming enkel mag verzamelen en benutten, voor zover dit nodig is om het concrete gebruik van het telemedium door de betrokken gebruiker mogelijk te maken en te factureren en op grond waarvan de doelstelling die erin bestaat de goede werking van het telemedium in het algemeen te waarborgen, niet rechtvaardigt dat de gegevens worden benut na afloop van het betrokken gebruik?”
Uitspraak aangaande beide vragen mag ergens in de loop van 2016 verwacht worden.
België
Zoals in de inleiding al gezegd, is er in België -net zo min als in onze buurlanden- overigens weinig discussie dat IP-adressen in de meeste gevallen wel degelijk als persoonsgegevens beschouwd moeten worden. Dat is ook het standpunt van de Artikel 29 Working Party, het vaste overlegorgaan van alle Europese privacy toezichthouders.
Het zou ons verbazen als het Europees Hof van Justitie niet tot het besluit zou komen dat IP-adressen inderdaad een persoonsgegeven zijn. Gecombineerd met andere data (eventueel afkomstig van de ISP) maken ze immers wel degelijk de identificatie van een persoon mogelijk en zelfs zo’n onrechtstreekse identificatiemogelijkheid is voldoende om van een persoonsgegeven te spreken.
Als er sprake is van een persoonsgegeven, betekent dit dat IP-adressen van websitebezoekers niet zomaar opgeslagen mogen worden, wat wellicht een nadelige invloed heeft op heel wat analytics functionaliteiten.
Vragen over privacyrecht?
Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.