Language of document : ECLI:EU:C:2007:454

CONCLUSIE VAN ADVOCAAT-GENERAAL

J. KOKOTT

van 18 juli 2007 (1)

Zaak C‑275/06

Productores de Música de España (Promusicae)

tegen

Telefónica de España SAU

(verzoek om een prejudiciële beslissing van de Juzgado de lo mercantil n° 5 de Madrid)

„Informatiemaatschappij – Auteursrecht en naburige rechten – Gegevensbescherming – Verstrekken van verkeersgegevens”





I –    Inleiding

1.        Onderhavig geval laat duidelijk zien dat het opslaan van gegevens voor bepaalde doelen ertoe kan leiden dat men deze gegevens ook voor andere doeleinden wil gebruiken. In Spanje moeten internetproviders bepaalde gegevens van de individuele gebruiker opslaan, zodat deze kunnen worden gebruikt in het kader van een strafrechtelijk onderzoek of ter waarborging van de openbare veiligheid en de landsverdediging. Nu wil een vereniging van auteursrechthouders met behulp van deze gegevens de identiteit van gebruikers achterhalen die door het uitwisselen van bestanden inbreuk hebben gemaakt op auteursrechten.

2.        De verwijzende rechter wenst daarom te vernemen of het gemeenschapsrecht het doorgeven van persoonsgebonden verkeersgegevens over het gebruik van internet aan de houders van intellectuele-eigendomsrechten, toestaat of zelfs eist. De rechter gaat ervan uit dat verschillende richtlijnen ter bescherming van de intellectuele eigendom en de informatiemaatschappij aan de houders van dergelijke rechten het recht toekennen om ten opzichte van de aanbieders van elektronische diensten te eisen dat dergelijke gegevens worden doorgegeven, indien met deze gegevens een inbreuk op hun intellectuele-eigendomsrechten kan worden aangetoond.

3.        Hierna zal ik evenwel aantonen dat volgens de gemeenschapsrechtelijke bepalingen betreffende de gegevensbescherming bij elektronische communicatie uitsluitend het doorgeven van persoonsgebonden verkeersgegevens aan de bevoegde overheidsinstanties is toegestaan, en niet het rechtstreeks doorgeven daarvan aan de houders van auteursrechten die een inbreuk op hun rechten langs civielrechtelijke weg willen bestrijden.

II – Juridische context

A –    Gemeenschapsrecht

4.        In het onderhavige geval zijn bepalingen betreffende de bescherming van de intellectuele eigendom en betreffende de elektronische handel, evenals met name bepalingen betreffende gegevensbescherming van belang.

1.      De bescherming van de intellectuele eigendom in de informatiemaatschappij

5.        Met betrekking tot de bescherming van de intellectuele eigendom in de informatiemaatschappij kan allereerst worden gewezen op richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt.(2)

6.        Artikel 1, lid 5, van richtlijn 2000/31 bepaalt de werkingssfeer van de richtlijn. Volgens artikel 1, lid 5, sub b, is deze richtlijn niet van toepassing op „kwesties in verband met diensten van de informatiemaatschappij die onder richtlijn 95/46/EG en richtlijn 97/66/EG vallen”.(3)

7.        Artikel 15, lid 2, van richtlijn 2000/31 luidt:

„De lidstaten kunnen voorschrijven dat dienstverleners de bevoegde autoriteiten onverwijld in kennis dienen te stellen van vermeende onwettige activiteiten of informatie door afnemers van hun dienst, alsook dat zij de bevoegde autoriteiten op hun verzoek informatie dienen te verstrekken waarmee de afnemers van hun dienst met wie zij opslagovereenkomsten hebben gesloten, kunnen worden geïdentificeerd.”

8.        Artikel 18, lid 1, van richtlijn 2000/31 luidt als volgt:

„De lidstaten zorgen ervoor dat hun nationale wetgeving op het gebied van diensten van de informatiemaatschappij voorziet in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen − met inbegrip van voorlopige maatregelen − om de vermeende inbreuk te doen eindigen en om te verhinderen dat de betrokken belangen verder worden geschaad.”

9.        Bijzondere regelingen met betrekking tot de bescherming van de intellectuele eigendom in de elektronische handel zijn te vinden in richtlijn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij.(4) Van deze richtlijn is met name artikel 8, met de titel Sancties en rechtsmiddelen, van belang:

„1)      De lidstaten voorzien in passende sancties en rechtsmiddelen met betrekking tot inbreuken op de in deze richtlijn omschreven rechten en verplichtingen en dragen er zorg voor, dat deze sancties en rechtsmiddelen daadwerkelijk worden toegepast. De aldus vastgestelde sancties moeten doeltreffend en evenredig zijn en bijzonder preventieve werking hebben.

2)      Elke lidstaat draagt er zorg voor, dat rechthebbenden wier belangen worden geschaad door een inbreukmakende handeling die op zijn grondgebied plaatsvindt, een vordering tot schadevergoeding en/of beëindiging van de inbreuk en in voorkomend geval een vordering tot inbeslagneming van het inbreukmakende materiaal en de in artikel 6, lid 2, bedoelde inrichtingen, producten of onderdelen kunnen instellen.

3)      [...]”

10.      In artikel 9 van richtlijn 2001/29 wordt de werkingssfeer van deze richtlijn als volgt beperkt:

„Deze richtlijn doet geen afbreuk aan bepalingen betreffende met name octrooirechten, handelsmerken, rechten inzake tekeningen of modellen, gebruiksmodellen, topografieën van halfgeleiderproducten, lettertypes, voorwaardelijke toegang, toegang tot de kabel van omroepdiensten, de bescherming van nationaal bezit, vereisten inzake wettelijk depot, beperkende praktijken en oneerlijke concurrentie, handelsgeheimen, veiligheid, vertrouwelijkheid, gegevensbescherming en persoonlijke levenssfeer, toegang tot overheidsdocumenten en het overeenkomstenrecht.”

11.      Een bijzonder recht op informatie voor de houders van intellectuele-eigendomsrechten is neergelegd in artikel 8 van richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten(5):

„1)      De lidstaten dragen er zorg voor dat de bevoegde rechterlijke instanties, tijdens een gerechtelijke procedure wegens inbreuk op een intellectuele-eigendomsrecht, op gerechtvaardigd en redelijk verzoek van de eiser kunnen gelasten dat informatie over de herkomst en de distributiekanalen van de goederen of diensten die inbreuk maken op een intellectuele-eigendomsrecht, wordt verstrekt door de inbreukmaker en/of door een andere persoon die

[...]

c)      op commerciële schaal diensten die bij inbreukmakende handelingen worden gebruikt, blijkt te verlenen,

[...]

2)      De in lid 1 bedoelde informatie omvat naargelang passend is:

a)      de naam en het adres van de producenten, fabrikanten, distributeurs, leveranciers en andere eerdere bezitters van de goederen of diensten, alsmede van de beoogde groot‑ en kleinhandelaren;

b)      [...]

3)      De leden 1 en 2 gelden onverminderd andere regelgeving waarbij:

a) – d) [...]

of

e)      de bescherming van de vertrouwelijkheid van informatiebronnen of de verwerking van persoonsgegevens wordt geregeld.”

12.      Tegelijkertijd doet richtlijn 2004/48 overeenkomstig artikel 2, lid 3, geen afbreuk aan

„a)      de communautaire bepalingen betreffende het materiële recht inzake de intellectuele eigendom, richtlijn 95/46/EG, richtlijn 1999/93/EG, of richtlijn 2000/31/EG in het algemeen en de artikelen 12 tot en met 15 daarvan in het bijzonder;

b)      [...]”

2.      Bepalingen betreffende gegevensbescherming

13.      Voor de gegevensbescherming is richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie(6) van belang.

14.      Deze richtlijn „harmoniseert [conform artikel 1, lid 1] de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronische-communicatieapparatuur en ‑diensten in de Gemeenschap”.

15.      Conform artikel 1, lid 2, vormen de bepalingen van deze richtlijn een specificatie van en aanvulling op richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(7), in het kader van de in lid 1 genoemde doelstellingen.

16.      In artikel 2, sub b, van richtlijn 2002/58 wordt het begrip verkeersgegevens gedefinieerd als „gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan”.

17.      De verwerking van verkeersgegevens is geregeld in artikel 6:

„1)      Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronische-communicatienetwerk of ‑dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1.

2)      Verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt. Die verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen.

3) – 5) [...]

6)      De leden 1, 2, 3 en 5 zijn van toepassing onverminderd de mogelijkheid voor de bevoegde organen om overeenkomstig de toepasselijke wetgeving in kennis te worden gesteld van verkeersgegevens met het oog op het beslechten van geschillen, in het bijzonder met betrekking tot interconnectie en facturering.”

18.      Het in artikel 6, lid 1, van richtlijn 2002/58 bedoelde voorbehoud van artikel 15, lid 1, luidt als volgt:

„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46/EG. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.”

19.      Dit voorbehoud wordt toegelicht in de elfde overweging van de considerans van de richtlijn:

„11)      Deze richtlijn is evenmin [als] richtlijn 95/46/EG van toepassing op vraagstukken met betrekking tot de bescherming van fundamentele rechten en vrijheden in verband met niet onder het gemeenschapsrecht vallende activiteiten. Zij verandert bijgevolg niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor de bescherming van de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied. Bijgevolg doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane interceptie van elektronische communicatie uit te voeren of andere maatregelen vast te stellen, wanneer dat voor één van voornoemde doeleinden noodzakelijk is, mits zij daarbij het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zoals geïnterpreteerd in de uitspraken van het Europees Hof voor de Rechten van de Mens, in acht nemen. Zulke maatregelen dienen passend te zijn voor, en strikt evenredig met, het beoogde doel en noodzakelijk in een democratische samenleving en moeten adequate waarborgen bevatten overeenkomstig het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.”

20.      In artikel 19 van richtlijn 2002/58 wordt de verhouding geregeld tussen deze richtlijn en haar voorgangster, richtlijn 97/66:

„Richtlijn 97/66/EG wordt ingetrokken met ingang van de in artikel 17, lid 1, bedoelde datum.

Verwijzingen naar de ingetrokken richtlijn 97/66/EG gelden als verwijzingen naar de onderhavige richtlijn.”

21.      Het in artikel 15, lid 1, van richtlijn 2002/58 bedoelde artikel 13, lid 1, van richtlijn 95/46 luidt:

„1)      De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van

a)       de veiligheid van de staat;

b)      de landsverdediging;

c)      de openbare veiligheid;

d)      het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen;

e)      een belangrijk economisch en financieel belang van een lidstaat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;

f)      een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c, d en e bedoelde gevallen;

g)      de bescherming van de betrokkene of van de rechten en vrijheden van anderen.”

22.      Verder dient erop te worden gewezen dat conform artikel 29 van richtlijn 95/46 een onafhankelijke groep van vertegenwoordigers van de nationale toezichthoudende autoriteiten op het gebied van gegevensbescherming (Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens; hierna: „Groep gegevensbescherming”)(8) is ingesteld. Deze heeft als taak, adviezen uit te brengen over kwesties op het gebied van het recht betreffende gegevensbescherming. Een soortgelijke functie heeft de conform artikel 286 EG en verordening nr. 45/2001(9) benoemde Toezichthouder voor gegevensbescherming.

23.      Ten slotte is in casu nog van belang richtlijn 2006/24/EG van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG.(10)

24.      Richtlijn 2006/24 verplicht de lidstaten, onder meer gegevens inzake internetverkeer te bewaren. Artikel 15 bepaalt dat deze richtlijn uiterlijk op 15 september 2007 in nationaal recht moet zijn omgezet, maar staat toe om de bewaring van internetverkeersgegevens nog 18 maanden uit te stellen. Spanje heeft van deze mogelijkheid geen gebruik gemaakt.

25.      Artikel 11 van richtlijn 2006/24 voegt een nieuw lid 1bis toe aan artikel 15 van richtlijn 2002/58:

„Lid 1 is niet van toepassing op de uit hoofde van richtlijn 2006/24/EG [...] te bewaren gegevens voor de in artikel 1, lid 1, van die richtlijn bedoelde doeleinden.”

26.      Het verstrekken van overeenkomstig richtlijn 2006/24 bewaarde gegevens is geregeld in artikel 4:

„De lidstaten nemen bepalingen aan om te waarborgen dat de overeenkomstig deze richtlijn bewaarde gegevens alleen in welbepaalde gevallen, en in overeenstemming met de nationale wetgeving, aan de bevoegde nationale autoriteiten worden verstrekt. De procedure en de te vervullen voorwaarden voor toegang tot gegevens die bewaard worden overeenkomstig de vereisten inzake noodzakelijkheid en evenredigheid, worden door elke lidstaat vastgesteld in de nationale wetgeving, rekening houdend met de relevante bepalingen van de wetgeving van de Europese Unie of publiek internationaal recht, met name het EVRM, zoals geïnterpreteerd door het Europees Hof voor de Rechten van de Mens.”

B –    Spaans recht

27.      Van de nationaalrechtelijke context noemt de verwijzende rechter eigenlijk alleen artikel 12, leden 1 tot en met 3, van Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (wet inzake de diensten van de informatiemaatschappij en de elektronische handel) van 11 juli 2002:

„Artikel 12. Verplichting om verkeersgegevens betreffende elektronische communicatie te bewaren

1.      De operatoren van elektronische-communicatienetwerken en ‑diensten, de telecomproviders en de hostingproviders bewaren gedurende een periode van maximaal twaalf maanden de verbindings‑ en verkeersgegevens betreffende communicaties die tijdens de verstrekking van een dienst van de informatiemaatschappij tot stand zijn gebracht, onder de voorwaarden die zijn vastgesteld in dit artikel en de uitvoeringsbepalingen daarvan.

2.      [...] De in dit artikel genoemde operatoren van elektronische-communicatienetwerken en ‑diensten en service providers mogen de bewaarde gegevens niet gebruiken voor andere dan de in het volgende lid genoemde of de wettelijk toegelaten doeleinden en nemen passende beveiligingsmaatregelen om het verlies of de wijziging van dergelijke gegevens of de niet-geautoriseerde toegang daartoe te voorkomen.

3.      De gegevens worden bewaard met het oog op het gebruik ervan in het kader van een strafrechtelijk onderzoek of ter waarborging van de openbare veiligheid en de landsverdediging en worden op desbetreffend verzoek ter beschikking gesteld van de rechters of rechterlijke instanties of het openbaar ministerie. De mededeling van deze gegevens aan de veiligheidsdiensten is onderworpen aan de regels inzake bescherming van persoonsgegevens.”

28.      Verder deelt de verwijzende rechter mee dat de inbreuk op auteursrechten in Spanje slechts strafbaar is, wanneer er sprake is van winstoogmerk.(11)

III – Technische achtergrond, feiten en hoofdgeding

29.      Verzoekster in het hoofdgeding (hierna: „Promusicae, voor Productores de Música de España”) is een vereniging zonder winstoogmerk die producenten en uitgevers van muzikale opnamen en audiovisuele opnamen van voornamelijk muzikale aard vertegenwoordigt. Zij heeft in rechte gevorderd dat een Spaanse internetprovider, Telefónica de España SAU, naam en adres van bepaalde internetgebruikers aan Promusicae bekend moest maken. Promusicae had deze personen getraceerd via hun IP-adres, alsook de dag en het tijdstip waarop zij daarvan gebruik hadden gemaakt.

30.      Het IP-adres is een numeriek adresformaat, vergelijkbaar met een telefoonnummer, dat de communicatie tussen aan een netwerk gekoppelde apparatuur als webservers, e-mailservers of pc’s via internet mogelijk maakt. Zo heeft de server waarmee de pagina’s van het Hof van Justitie worden opgeroepen, het IP-adres 147.67.243.28.(12) Wanneer een pagina wordt opgeroepen, wordt aan de computer waar de pagina is opgeslagen, het adres meegedeeld van de computer die de pagina oproept, zodat de gegevens via internet van de ene naar de andere computer kunnen worden gezonden.

31.      Om voor particuliere gebruikers verbinding met internet mogelijk te maken, kunnen – net als bij aansluitingen aan het telefoonnet – vaste IP-adressen worden afgegeven. Dit komt echter betrekkelijk weinig voor, omdat internet momenteel nog zo is georganiseerd dat elke internetprovider over een beperkt aantal adressen beschikt.(13) Om die reden worden meestal – zoals ook in het onderhavige geval – dynamische IP-adressen gebruikt, dat wil zeggen dat de provider aan zijn klanten bij elke toegang ad hoc een adres uit zijn adressenbestand toekent. Dit adres zal dus telkens wanneer een internetverbinding wordt gemaakt, anders zijn.

32.      Promusicae verklaarde een aantal IP-adressen te hebben geïdentificeerd die op bepaalde tijdstippen waren gebruikt voor het zogenoemde filesharing van muziekbestanden waarvan de auteurs‑ en licentierechten aan de leden van Promusicae toebehoren.

33.      Filesharing is een vorm van uitwisseling van bestanden, bijvoorbeeld muzieknummers of films. De gebruikers kopiëren eerst de bestanden naar hun computer en bieden deze later aan iedereen aan die via internet en een bepaald programma, in dit geval Kazaa, met hen verbonden is. Normaal(14) wordt daarbij het IP-adres van diegene gebruikt die het bestand aan anderen aanbiedt; dit adres kan derhalve worden getraceerd.

34.      Om maatregelen tegen deze gebruikers te kunnen nemen, vordert Promusicae van de provider, Telefónica, dat deze aangeeft aan welke gebruikers de door Promusicae geïdentificeerde IP-adressen op de door haar genoemde tijdstippen waren toegekend. Telefónica kan per geval de gebruikte aansluiting traceren, omdat zij ook na beëindiging van de verbinding opslaat wanneer en aan wie zij een bepaald IP-adres heeft toegekend.

35.      De verwijzende rechter heeft om te beginnen bij beschikking aan Telefónica opgedragen de gewenste informatie te verstrekken. Telefónica tekende echter verzet aan, op grond dat zij volgens artikel 12 van de Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico de rechter in geen geval informatie kon verstrekken. De verlener van elektronische-communicatiediensten of service provider mag de informatie die hij volgens de wet moet bewaren, enkel verstrekken in het kader van een strafrechtelijk onderzoek of wanneer dit nodig is ter bescherming van de openbare veiligheid of wanneer de nationale veiligheid in gevaar is.

36.      De verwijzende rechter acht het mogelijk dat deze opvatting naar Spaans recht juist is, maar is van oordeel dat de betrokken bepaling dan onverenigbaar is met het gemeenschapsrecht. Hij stelt het Hof daarom de volgende prejudiciële vraag:

„Kunnen de lidstaten volgens het gemeenschapsrecht en meer in het bijzonder de artikelen 15, lid 2, en 18 van richtlijn [2000/31], artikel 8, leden 1 en 2, van [richtlijn 2001/29], artikel 8 van richtlijn [2004/48] en de artikelen 17, lid 2, en 47 van het Handvest van de grondrechten van de Europese Unie bepalen dat operatoren van elektronische-communicatienetwerken en ‑diensten, telecomproviders en hostingproviders de verbindings‑ en verkeersgegevens betreffende elektronische communicaties die tijdens de verstrekking van een dienst van de informatiemaatschappij tot stand zijn gebracht, slechts ten behoeve van een strafrechtelijk onderzoek of ter waarborging van de openbare veiligheid en de landsverdediging, en dus niet ten behoeve van civiele procedures, dienen te bewaren en ter beschikking te stellen?”

37.      Aan de procedure hebben deelgenomen Promusicae, Telefónica, Finland, Italië, Slovenië, het Verenigd Koninkrijk en de Commissie. De Groep gegevensbescherming(15) en de Europese toezichthouder voor gegevensbescherming zijn niet in de procedure betrokken, met name omdat artikel 23 van het Statuut van het Hof niet in hun deelname voorziet. Omdat zij echter een belangrijke bijdrage kunnen leveren aan de behandeling van vragen op het gebied van het gegevensbeschermingsrecht, heb ik althans bijzondere aandacht besteed aan hun gepubliceerde standpunten over de thans aan de orde zijnde vraagstukken.

IV – Juridische beoordeling

38.      Het Hof dient de vraag te beantwoorden of het met de door de verwijzende rechter genoemde richtlijnen verenigbaar is om de plicht tot het verstrekken van verbindingsgegevens te beperken tot strafrechtelijke en vergelijkbare procedures, en civiele procedures daarvan uit te sluiten.

39.      De verwijzende rechter is dus van oordeel dat er tegenstrijdigheid bestaat tussen het Spaanse recht en het gemeenschapsrecht. Daarmee ziet hij er echter aan voorbij dat de bedoelde bepaling van Spaans recht is gebaseerd op artikel 15 van richtlijn 2002/58 en de bewoordingen daarvan voor een groot gedeelte overneemt. Deze richtlijn omvat regelingen inzake gegevensbescherming bij elektronische communicatie en vormt in zoverre een aanvulling op richtlijn 95/46, die algemene regelingen inzake gegevensbescherming bevat.

40.      Derhalve dient te worden onderzocht of het, gelet op de bepalingen inzake gegevensbescherming, verenigbaar is met de door de verwijzende rechter genoemde regelingen om internetproviders te verbieden, de gebruikers van bepaalde aansluitingen te identificeren om het voeren van civiele procedures wegens inbreuk op auteursrechten mogelijk te maken.

A –    Ontvankelijkheid van het verzoek

41.      Men zou zich kunnen afvragen of de beantwoording van de prejudiciële vragen beslissend is voor het onderhavige geschil, en dus of de prejudiciële verwijzing ontvankelijk is.(16) Een richtlijn kan niet zelf verplichtingen voor particulieren creëren.(17) Indien het Spaanse recht zonder enige twijfel het verstrekken van de in geding zijnde gegevens zou verbieden, dan zou ook de door de verwijzende rechter gevraagde uitlegging van richtlijnen niet tot gevolg kunnen hebben dat Telefónica tot informatieverstrekking kan worden verplicht. Op grond van de beschikbare informatie kan echter niet worden uitgesloten dat het Spaanse recht conform de richtlijnen kan worden uitgelegd. Zolang deze mogelijkheid bestaat, kan een prejudicieel verzoek zoals het onderhavige niet als irrelevant worden beschouwd.(18)

B –    Verhouding tussen de verschillende richtlijnen

42.      Enkele partijen concentreren zich – bijna uitsluitend – op de uitlegging van de door de verwijzende rechter genoemde richtlijnen. Daarbij benadrukken zij over het algemeen de noodzaak van een effectieve rechtsbescherming tegen inbreuken op het auteursrecht. De Commissie merkt in dit verband terecht op dat geen van de drie richtlijnen het recht op gegevensbescherming regelt.

43.      Conform artikel 1, lid 5, sub b, van richtlijn 2000/31 inzake de elektronische handel is deze richtlijn niet van toepassing op kwesties in verband met diensten van de informatiemaatschappij die vallen onder richtlijn 95/46 betreffende de gegevensbescherming en richtlijn 97/66 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector. Laatstgenoemde richtlijn is inmiddels vervangen door richtlijn 2002/58 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie.

44.      Voorts is in artikel 9 van richtlijn 2001/29 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij uitdrukkelijk vastgelegd dat de richtlijn geen afbreuk doet aan bepalingen betreffende onder meer de bescherming van persoonsgegevens en persoonlijke levenssfeer.

45.      Iets minder duidelijk is de verhouding met richtlijn 2004/48 betreffende de handhaving van intellectuele-eigendomsrechten. Artikel 2, lid 3, sub a, bepaalt dat deze richtlijn geen afbreuk doet aan richtlijn 95/46. Promusicae concludeert daaruit dat de aldaar niet genoemde richtlijn 2002/58 niet kan worden toegepast binnen de werkingssfeer van richtlijn 2004/48.

46.      Dit standpunt zou aldus kunnen worden opgevat dat richtlijn 2004/48 overeenkomstig het beginsel lex posterior derogat legi priori voorgaat op richtlijn 2002/58, maar niet op de uitdrukkelijk uitgezonderde richtlijn 95/46. Daartegen moet echter worden ingebracht dat richtlijn 2002/58 blijkens artikel 1, lid 2, de bedoeling heeft, een specificatie en aanvulling te vormen op richtlijn 95/46. Deze functie wordt door richtlijn 2004/48 niet geambieerd. De door laatstgenoemde richtlijn geboden bescherming van de intellectuele eigendom mag volgens de tweede overweging van de considerans geen belemmering vormen voor de bescherming van persoonsgegevens – ook niet op internet. Het zou echter tegenstrijdig zijn om specificerende en aanvullende bepalingen die in het bijzonder de gegevensbescherming op internet betreffen, welke bescherming uitdrukkelijk niet mag worden aangetast, te laten terugtreden zonder in een alternatief te voorzien, terwijl de algemene regelingen wel moeten worden gerespecteerd. Het ligt meer voor de hand, het voor richtlijn 95/46 gemaakte voorbehoud ook te laten gelden voor richtlijn 2002/58.

47.      Vóór deze gevolgtrekking spreekt met betrekking tot het hier te bespreken recht op informatie volgens artikel 8, leden 1 en 2, van richtlijn 2004/48 tevens dat deze bepaling volgens artikel 8, lid 3, sub e, van toepassing is onverminderd andere regelgeving waarbij de verwerking van persoonsgegevens wordt geregeld. Deze herhaalde, uitdrukkelijke beklemtoning van de gegevensbescherming stond nog niet in het voorstel van de Commissie, maar werd pas tijdens de raadpleging van de Raad en het Parlement in de richtlijn opgenomen.(19) Richtlijn 2002/58 bevat precies zulke bepalingen en wordt dus althans door het in geding zijnde recht op informatie krachtens artikel 8 van richtlijn 2004/48 niet opengebroken.

48.      Verder dient erop te worden gewezen dat ook de TRIPs-overeenkomst(20) niet eist dat de gegevensbescherming moet wijken voor richtlijn 2004/48. Promusicae voert terecht aan dat de artikelen 41 en 42 van de TRIPs-overeenkomst een effectieve bescherming van de intellectuele eigendom eisen en dat in het bijzonder bescherming langs gerechtelijke weg mogelijk moet zijn. Een recht op informatie is echter in artikel 47 TRIPs uitsluitend rechtstreeks jegens de inbreukmaker neergelegd.(21) De verdragsstaten kunnen een dergelijk recht invoeren, maar zijn daartoe volgens de bewoordingen van artikel 47 niet verplicht.(22) De uitbreiding van de informatieplicht tot derden bij artikel 8 van richtlijn 2004/48 gaat zelfs verder dan deze optie. Deze verplichting kan dus door de gegevensbescherming worden beperkt zonder in conflict te komen met de TRIPs-overeenkomst.

49.      Alle drie de door de verwijzende rechter genoemde richtlijnen moeten dus wijken voor de richtlijnen inzake gegevensbescherming, 95/46 en 2002/58. Anders dan door enkele partijen is gesteld, betekent dit niet dat de gegevensbescherming voorrang heeft op de doelstellingen van deze richtlijnen. Het gaat er veeleer om, de gegevensbescherming en deze doelstellingen in het kader van de richtlijnen inzake gegevensbescherming met elkaar in evenwicht te brengen.

C –    Gegevensbescherming

50.      Voor het onderhavige geval van belang zijn uit het afgeleide recht richtlijn 2002/58 met bepalingen inzake de gegevensbescherming bij elektronische communicatie, en richtlijn 95/46, met algemene bepalingen inzake gegevensbescherming. Belangrijke aanknopingspunten voor de uitlegging van deze bepalingen van afgeleid recht ontleent het Hof echter aan het grondrechtelijke fundament van de gegevensbescherming.

1.      Gebondenheid van de gegevensbescherming aan de grondrechten

51.      De gegevensbescherming berust op het fundamentele recht op privéleven, zoals dit met name voortvloeit uit artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: „EVRM”).(23) Dit grondrecht is bevestigd in het op 7 december 2000 te Nice afgekondigde Handvest van de grondrechten van de Europese Unie(24) (hierna: „Handvest”) in artikel 7, en in artikel 8 is het recht op bescherming van persoonsgegevens, met inbegrip van belangrijke grondbeginselen van gegevensbescherming, speciaal benadrukt.

52.      Het meedelen van persoonsgegevens aan een derde is derhalve een inbreuk op het recht van de betrokkenen op eerbiediging van hun privéleven, ongeacht welk gebruik vervolgens van de meegedeelde gegevens wordt gemaakt, en dus een inmenging in de zin van artikel 8 EVRM.(25)

53.      Een dergelijke inmenging is in strijd met artikel 8 EVRM, tenzij „bij de wet voorzien”.(26) Conform het vereiste van voorzienbaarheid moet deze derhalve zo nauwkeurig geformuleerd zijn dat degenen tot wie de wet is gericht, op grond daarvan hun gedrag kunnen bepalen.(27) Het voorzienbaarheidsvereiste heeft binnen het recht van de gegevensbescherming een bijzondere vorm gekregen, en wel in die zin dat de gegevensverstrekking uitsluitend mag geschieden – zoals in artikel 8, lid 2, van het Handvest uitdrukkelijk wordt gesteld – voor bepaalde doeleinden, de „purpose limitation”. Overeenkomstig de in artikel 6, lid 1, sub b, van richtlijn 95/46 nauwkeurig omschreven doeleinden mogen persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en mogen zij vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden.

54.      Bovendien moet een inmenging in het privéleven – de verwerking van persoonsgegevens – evenredig zijn aan de nagestreefde doelstellingen.(28) Er moet dus een dringende maatschappelijke behoefte bestaan en de maatregel moet evenredig zijn aan het nagestreefde legitieme doel.(29)

55.      In het kader van de legitieme doelstellingen moet in casu rekening worden gehouden met de relevante grondrechten van de auteursrechthebbenden, in het bijzonder met de bescherming van de eigendom en het recht op effectieve rechtsbescherming. Ook deze twee grondrechten behoren volgens vaste rechtspraak tot de algemene beginselen van het gemeenschapsrecht(30), hetgeen is bevestigd in de artikelen 17 en 47 van het Handvest. In artikel 17, lid 2, van het Handvest wordt in dit verband benadrukt dat ook de intellectuele eigendom onder de bescherming van het grondrecht van de eigendom valt.(31)

56.      Het evenwicht tussen de relevante grondrechten moet allereerst door de wetgever van de Gemeenschap worden aangebracht, en bij de uitlegging van het gemeenschapsrecht door het Hof. Ook de lidstaten zijn evenwel verplicht daarmee rekening te houden bij de gebruikmaking van de in het kader van de omzetting van richtlijnen in nationaal recht overgebleven beoordelingsmarges. Bovendien moeten de autoriteiten en rechterlijke instanties van de lidstaten niet alleen hun nationaal recht conform de richtlijnen inzake gegevensbescherming uitleggen, maar er ook op toezien dat zij zich niet baseren op een uitlegging daarvan die in conflict zou komen met de door de communautaire rechtsorde beschermde grondrechten of met de andere algemene beginselen van gemeenschapsrecht.(32)

2.      Toepasselijkheid van de richtlijnen inzake gegevensbescherming

57.      Het afgeleide recht concretiseert de grondrechtelijke vereisten voor gegevensbescherming en breidt ze uit op een punt dat voor de beslissing in het onderhavige geval medebepalend is. De richtlijnen voorzien namelijk niet slechts in een verplichting voor overheidsinstanties om rekening te houden met de gegevensbescherming, maar breiden deze verplichting ook uit tot particulieren, mits het niet gaat om een activiteit die door een natuurlijk persoon wordt verricht voor uitsluitend persoonlijke of huishoudelijke doeleinden (artikel 3, lid 2, tweede streepje, van richtlijn 95/46).(33) Daarmee verwezenlijkt en concretiseert de Gemeenschap een beschermingsdoelstelling die resulteert uit het fundamentele recht op gegevensbescherming.(34)

58.      De civielrechtelijke vervolging van schendingen van het auteursrecht door Promusicae en de verwerking van verbindingsgegevens door Telefónica kunnen niet worden beschouwd als activiteiten voor uitsluitend persoonlijke of huishoudelijke doeleinden. Ten aanzien van de verwerking van verbindingsgegevens blijkt dit ook uit het bestaan van richtlijn 2002/58, waarin geen uitzondering is opgenomen voor activiteiten voor persoonlijke of huishoudelijke doeleinden, maar die ervan uitgaat dat de verwerking van persoonsgegevens door aanbieders van elektronische-communicatiediensten principieel onder de gegevensbescherming valt. De mededeling van dergelijke gegevens door de ene particuliere onderneming aan de andere valt dus zonder enige twijfel onder de gegevensbescherming. Dientengevolge moet worden onderzocht of in casu is voldaan aan de overige voorwaarden voor de toepassing van de wettelijke bepalingen op het gebied van de gegevensbescherming.

59.      Richtlijn 2002/58 is conform artikel 3, lid 1, van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken in de Gemeenschap. Deze begrippen worden conform artikel 2 van richtlijn 2002/58 gedefinieerd in richtlijn 95/46 en in richtlijn 2002/21.(35)

60.      Het ter beschikking stellen van toegang tot internet is een openbare elektronische-communicatiedienst in de zin van artikel 2, sub c, van richtlijn 2002/21, dat wil zeggen een gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische-communicatienetwerken.

61.      De mededeling aan welke gebruikers welke IP-adressen op een bepaald moment waren toegekend, omvat persoonsgegevens conform artikel 2, sub a, van richtlijn 95/46, namelijk informatie betreffende een geïdentificeerde of identificeerbare(36) natuurlijk persoon. Met behulp van deze gegevens worden de met gebruikmaking van het betrokken IP-adres verrichte handelingen aan de houder van de aansluiting gekoppeld.

62.      Het verstrekken van dergelijke gegevens wordt in artikel 2, sub b, van richtlijn 95/46 uitdrukkelijk genoemd als voorbeeld van een bewerking, dat wil zeggen van een bewerking die al dan niet geautomatiseerd wordt uitgevoerd.

63.      Tegelijkertijd zijn in ieder geval de voorlopig toegekende IP-adressen van gebruikers te beschouwen als verkeersgegevens in de zin van artikel 2, sub b, van richtlijn 2002/58, namelijk gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk.

3.      Toepasselijke verwerkingsverboden

64.      Volgens artikel 5, lid 1, van richtlijn 2002/58 heeft het vereiste van vertrouwelijkheid van de communicatie ook betrekking op de in het kader van de communicatie gegenereerde verkeersgegevens. De lidstaten moeten met name het bewaren evenals andere wijzen van verzamelen of controleren van verkeersgegevens door andere personen dan de gebruikers verbieden, indien de gebruikers geen toestemming hebben verleend, tenzij deze personen krachtens artikel 15, lid 1, daartoe wettelijk bevoegd zijn.

65.      Artikel 6, lid 1, van richtlijn 2002/58 bepaalt voor het eventuele opslaan van verkeersgegevens bij het aanbieden van communicatienetwerken dat deze gegevens die betrekking hebben op abonnees en gebruikers en door de operator van een openbaar communicatienetwerk of van een openbaar toegankelijke communicatiedienst worden verwerkt en opgeslagen, moeten worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5 van dit artikel, alsmede artikel 15, lid 1, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie.

66.      Derhalve dient in beginsel een verbod te gelden voor zowel het bewaren als het verstrekken van persoons‑ en verkeersgegevens met betrekking tot internetgebruik.

4.      Uitzonderingen op de verwerkingsverboden

67.      Er zijn echter ook uitzonderingen op deze verwerkingsverboden. Deze zijn neergelegd in artikel 6 en artikel 15 van richtlijn 2002/58.

a)      Uitzonderingen krachtens artikel 6, leden 2, 3 en 5, van richtlijn 2002/58

68.      De in artikel 6, lid 1, van richtlijn 2002/58 uitdrukkelijk als uitzondering genoemde leden 2, 3 en 5 kunnen niet worden gebruikt om het doorbreken van het verwerkingsverbod conform lid 1 door het verstrekken van de gegevens aan Promusicae, te rechtvaardigen.

69.      Artikel 6, lid 2, van richtlijn 2002/58 bepaalt dat de verwerking van zulke verkeersgegevens geoorloofd is voor zover en zolang deze noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen. Het is reeds de vraag of deze uitzondering het überhaupt mogelijk maakt om op te slaan aan wie een dynamisch IP-adres op welk moment was toegekend. Deze informatie is over het algemeen niet nodig voor de facturering door de internetprovider. De gebruikelijke factureringsprocedures berusten op de duur van de verbinding bij de internetprovider of op het volume van de door de gebruiker gegenereerde gegevensstroom, voor zover niet al een onbeperkt gebruik van de toegang tegen een vast bedrag is afgesproken. Indien de verwerking van een IP-adres niet nodig is voor de facturering, dan mag dit adres ook niet voor dit doel worden opgeslagen.(37)

70.      Los daarvan kan artikel 6, lid 2, in ieder geval niet worden aangevoerd als grondslag voor het verstrekken van verkeersgegevens aan derden die maatregelen willen treffen tegen gebruikers op grond van handelingen die met gebruikmaking van het IP-adres zijn verricht. Dergelijke maatregelen houden geen verband met de facturering of met interconnectiebetalingen.

71.      Evenmin is de uitzondering op grond van artikel 6, lid 3, van richtlijn 2002/58 van toepassing. Op grond daarvan is slechts met toestemming van de gebruiker toegestaan dat de internetprovider gegevens verwerkt ten behoeve van de marketing van elektronische-communicatiediensten of voor de levering van diensten met toegevoegde waarde.

72.      Verder kan Promusicae ook geen beroep doen op artikel 6, lid 5, van richtlijn 2002/58. Op grond daarvan mogen verkeersgegevens door derden in opdracht van de internetprovider slechts worden verwerkt voor bepaalde doelen, in het bijzonder fraudebestrijding. Dienaangaande wordt in overweging 29 van de considerans bepaald dat onder fraude wordt verstaan het niet betalen voor het gebruik van de elektronische-communicatiedienst. Promusicae handelt noch in opdracht van Telefónica noch is de inbreuk op auteursrechten te beschouwen als fraude in de zin van deze richtlijn.

b)      Artikel 6, lid 6, van richtlijn 2002/58

73.      Naar de opvatting van Promusicae is het verstrekken en het gebruik van verkeersgegevens voor de civielrechtelijke handhaving van aanspraken in verband met auteursrechten toegestaan op grond van artikel 6, lid 6, van richtlijn 2002/58. Volgens deze bepaling hebben de bevoegde organen de mogelijkheid om overeenkomstig de toepasselijke wetgeving in kennis te worden gesteld van verkeersgegevens met het oog op het beslechten van geschillen, in het bijzonder met betrekking tot interconnectie en facturering.

74.      Deze bepaling kan echter niet worden aangevoerd ter rechtvaardiging van het verstrekken van verkeersgegevens aan Promusicae, omdat Promusicae geen bevoegd orgaan op het gebied van de geschillenbeslechting is. Ook in het kader van het hoofdgeding tussen Promusicae en Telefónica bestaat geen aantoonbare noodzaak voor het verstrekken van de betrokken verbindingsgegevens aan de rechter. Voor de beslissing over de vraag of Telefónica bevoegd en verplicht is om deze gegevens aan Promusicae te verstrekken, is niet vereist dat de rechter deze gegevens kent.

75.      Ook het feit dat Promusicae de verkeersgegevens opeist om gerechtelijke procedures tegen de betrokken gebruikers aanhangig te kunnen maken, heeft niet tot gevolg dat gegevens op grond van artikel 6, lid 6, van richtlijn 2002/58 kunnen worden verstrekt.

76.      Indien artikel 6, lid 6, van richtlijn 2002/58 zo zou worden uitgelegd dat reeds door het beoogde gebruik van verkeersgegevens in een gerechtelijke procedure het verstrekken daarvan aan de potentiële tegenpartij gerechtvaardigd zou zijn, zou dit bij gebrek aan voldoende aanknopingspunten in de tekst onverenigbaar zijn met het vereiste van de voorzienbaarheid waaraan bij de wettelijke rechtvaardiging van inbreuken op de persoonlijke levenssfeer en de bescherming van persoonsgegevens moet zijn voldaan. Naast de in artikel 6, lid 1, uitdrukkelijk genoemde en relatief helder afgebakende uitzonderingen volgens artikel 6, leden 2, 3 en 5, en volgens artikel 15, lid 1, zou een nieuwe, bijna oneindige uitzonderingsmogelijkheid ontstaan.(38) Met deze mogelijkheid hoeft de gebruiker van elektronische-communicatiediensten volgens de bewoordingen van artikel 6 geen rekening te houden.

77.      Tegelijkertijd zou deze uitzonderingsmogelijkheid erg ver gaan en derhalve niet als evenredig aan de nagestreefde doelstellingen kunnen worden beschouwd. De gebruiker zou er in principe altijd – niet alleen bij een inbreuk op auteursrechten – rekening mee moeten houden dat zijn verkeersgegevens worden verstrekt aan derden die om de een of andere reden een gerechtelijke procedure tegen hem aanhangig willen maken. Het kan worden uitgesloten dat dergelijke geschillen steeds voortvloeien uit een dringende maatschappelijke behoefte in de zin van de rechtspraak met betrekking tot artikel 8 EVRM.(39)

78.      Indien de doelstellingen van het bewaren van verkeersgegevens conform artikel 6 van richtlijn 2002/58 nader worden bekeken, ligt zelfs een verder gaande beperking van de gegevensverstrekking voor de hand. Gegevens mogen op grond van artikel 6, lid 1, sub b, van richtlijn 95/46 alleen worden verstrekt, indien dit verenigbaar is met de met het bewaren van de gegevens nagestreefde doelstellingen. In het geval van verkeersgegevens zijn dergelijke doelstellingen conform artikel 6 van richtlijn 2002/58 het aanbieden van een communicatienetwerk, de facturering, de marketing na toestemming van de gebruiker evenals aanvullende diensten en – bovendien – de verwerking in opdracht van de aanbieder voor behandeling van verzoeken om inlichtingen van klanten en opsporing van fraude in de reeds(40) genoemde zin. Geschillenbeslechting is geen zelfstandige doelstelling van het opslaan van verkeersgegevens, maar maakt slechts de mededeling van gegevens aan de bevoegde organen mogelijk. Zij kan derhalve alleen betrekking hebben op geschillen die in verband staan met de doelstellingen die met het bewaren van gegevens worden nagestreefd.(41) Het aanleveren van bewijzen voor gerechtelijke procedures met derden is echter geen aantoonbare doelstelling van de bewaring van gegevens.

79.      Derhalve kan het verstrekken van de gewenste verkeersgegevens aan Promusicae niet worden gebaseerd op artikel 6, lid 6, van richtlijn 2002/58.

c)      Artikel 15, lid 1, van richtlijn 2002/58

80.      Artikel 15, lid 1, van richtlijn 2002/58 staat verder de beperking toe van de in artikel 6, lid 1, bedoelde rechten. Een dergelijke beperking moet op grond van artikel 13, lid 1, van richtlijn 95/46 in een democratische samenleving noodzakelijk, redelijk en proportioneel zijn ter waarborging van de nationale, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, evenals het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of van een onbevoegd gebruik van elektronische-communicatiesystemen.

81.      Spanje heeft van deze uitzonderingsregeling gebruikgemaakt door aan internetproviders in artikel 12, lid 1, van Ley 34/2002 de verplichting op te leggen verkeers‑ en verbindingsgegevens te bewaren. Het verstrekken daarvan is echter uitdrukkelijk beperkt tot strafrechtelijke onderzoeken en ter waarborging van de openbare en nationale veiligheid. Het is uitdrukkelijk niet toegestaan de opgeslagen gegevens voor andere doeleinden te verstrekken.

82.      Men kan zich afvragen of het bewaren van verkeersgegevens van alle gebruikers – in zekere zin op voorhand – niet een schending van grondrechten oplevert(42), in het bijzonder omdat dit zonder enige concrete verdenking gebeurt.(43) Maar omdat de Spaanse regeling althans met de tekst van artikel 15, lid 1, van richtlijn 2002/58 verenigbaar is, kan de bewaring van gegevens in ieder geval voor de onderhavige procedure als toelaatbaar worden beschouwd. Wanneer aan de grondrechten meer gewicht zou worden toegekend, overeenkomstig bovengenoemde twijfels, dan zou dit buiten het kader van de procedure treden, omdat deze procedure niet de geldigheid van artikel 15, lid 1, betreft.(44) Mogelijk dient deze vraag op een zeker moment te worden onderzocht naar aanleiding van richtlijn 2006/24, waarbij een gemeenschapsrechtelijke verplichting tot bewaring is ingevoerd.(45) Indien het Hof de rechtmatigheid van de bewaring echter reeds in het onderhavige geval als voorvraag zou willen toetsen, zou de mondelinge behandeling zeker moeten worden heropend om de personen die conform artikel 23 van het Statuut memories of schriftelijke opmerkingen kunnen indienen, daartoe de gelegenheid te geven.

83.      In wezen is hier echter de vraag aan de orde of het verstrekken van de gewenste – op voorhand opgeslagen – gegevens aan Promusicae op grond van artikel 15, lid 1, van richtlijn 2002/58 toelaatbaar is. Indien dit in het kader van de gegevensbescherming het geval zou zijn, zou namelijk moeten worden onderzocht of de door de verwijzende rechter genoemde richtlijnen – en de in dit verband beschermde eigendom van de auteursrechthebbenden – vereisen dat van deze mogelijkheid ook daadwerkelijk gebruik wordt gemaakt. In dat geval zouden de Spaanse rechters verplicht zijn een eventueel bestaande uitleggingsmarge te benutten om een dergelijke verstrekking mogelijk te maken.(46)

84.      In het kader van artikel 15, lid 1, van richtlijn 2002/58 worden twee soorten grondslagen voor uitzonderingen genoemd, namelijk enerzijds in de eerste vier gevallen de nationale veiligheid (d.w.z. de staatsveiligheid), de landsverdediging, de openbare veiligheid evenals het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, en anderzijds het onbevoegd gebruik van elektronische-communicatiesystemen, in het vijfde geval. Bovendien verwijst artikel 15, lid 1, van richtlijn 2002/58 naar artikel 13, lid 1, van richtlijn 95/46, waarin verdere uitzonderingsgronden zijn opgenomen.

Artikel 15, lid 1, van richtlijn 2002/58 juncto artikel 13, lid 1, sub g, van richtlijn 95/46

85.      Een eerste grondslag voor het verstrekken van gegevens zou kunnen worden gevormd door artikel 15, lid 1, van richtlijn 2002/58 juncto artikel 13, lid 1, sub g, van richtlijn 95/46. Artikel 13, lid 1, sub g, van richtlijn 95/46 staat het verstrekken van persoonsgegevens toe ter bescherming van de rechten en vrijheden van anderen. Anders dan andere uitzonderingsgronden van artikel 13, lid 1, van richtlijn 95/46 wordt deze grond weliswaar niet uitdrukkelijk genoemd in artikel 15, lid 1, van richtlijn 2002/58, maar artikel 15, lid 1, van richtlijn 2002/58 staat volgens de Duitse versie beperkingen toe „gemäß” artikel 13, lid 1, van richtlijn 95/46.

86.      Op zichzelf genomen zou dit kunnen worden opgevat als een verwijzing naar alle uitzonderingsgronden van artikel 13, lid 1, van richtlijn 95/46.(47) Daar kan tegenin worden gebracht dat artikel 15, lid 1, van richtlijn 2002/58 zelf uitzonderingsgronden noemt die een beperking „gemäß” artikel 13, lid 1, van richtlijn 95/46 mogelijk maken. Deze gronden komen slechts gedeeltelijk overeen met de gronden van artikel 13, lid 1, van richtlijn 95/46 en omvatten niet de sub g genoemde uitzondering voor rechten van anderen. Derhalve gelden de in artikel 13, lid 1, van richtlijn 95/46 bedoelde gronden op het gebied van de elektronische communicatie slechts voor zover zij in artikel 15, lid 1, van richtlijn 2002/58 uitdrukkelijk worden genoemd.

87.      Andere taalversies dan de Duitse geven deze regeling duidelijker weer. In plaats van het woord „gemäß”, dat gemakkelijk verkeerd kan worden begrepen, werd daarin gekozen voor de formulering „zoals bedoeld in artikel 13, lid 1, van richtlijn 95/46”.(48) Dit berust op een bewuste keuze tijdens de wetgevingsprocedure. Zoals de Commissie benadrukt, heeft de Raad namelijk bij de eerste invoering van deze regeling bij richtlijn 97/66, besloten de uitzonderingsgronden van artikel 13, lid 1, van richtlijn 95/46 niet in hun geheel over te nemen en in plaats daarvan gekozen voor de onderhavige, gedifferentieerde regeling.(49)

88.      Een argument voor deze conclusie is het feit dat artikel 15, lid 1, van richtlijn 2002/58 kan worden beschouwd als lex specialis ten opzichte van artikel 13, lid 1, van richtlijn 95/46.(50) Laatstgenoemd artikel geldt voor alle persoonsgegevens ongeacht in welk verband zij worden gegenereerd. Dit artikel is dus betrekkelijk algemeen geformuleerd, aangezien het voor een groot aantal zeer uiteenlopende situaties moet gelden.(51) Het eerstgenoemde artikel heeft daarentegen betrekking op die persoonsgegevens die in het kader van de elektronische communicatie worden gegenereerd, en berust daarom op een naar verhouding nauwkeurige inschatting van de mate waarin het verstrekken van persoonsgegevens ingrijpt in het grondrecht van de gegevensbescherming.

89.      Bijgevolg kan de bescherming van rechten en vrijheden van anderen conform artikel 13, lid 1, sub g, van richtlijn 95/46 geen rechtvaardigingsgrond zijn voor het verstrekken van persoonsgegevens.

Onbevoegd gebruik van elektronische-communicatiesystemen

90.      Verder kan het vijfde geval van artikel 15, lid 1, van richtlijn 2002/58, het onbevoegd gebruik van elektronische-communicatiesystemen, worden aangevoerd als grondslag voor de gegevensverstrekking.

91.      Binnen het begrip van het onbevoegd gebruik van elektronische-communicatiesystemen kunnen in wezen twee verschillende vormen van gedragingen worden onderscheiden, namelijk het gebruik voor onrechtmatige doeleinden of het gebruik in strijd met het systeem. Een onrechtmatig doel is zeker ook de schending van auteursrechten. Daarbij kan het communicatiesysteem echter wel overeenkomstig zijn bestemming worden gebruikt, namelijk voor het binnenhalen van gegevens van andere aan internet aangesloten computers. Daarvoor hoeft het communicatiesysteem niet – in strijd met het systeem – te worden gemanipuleerd, door bijvoorbeeld het verzamelen van passwords voor computers van derden of het zich met een valse identiteit toegang verschaffen tot een andere computer.(52)

92.      Volgens de Commissie wordt in artikel 15, lid 1, van richtlijn 2002/58 het niet-systeemconforme gebruik bedoeld waardoor de integriteit of de veiligheid van het communicatiesysteem in gevaar wordt gebracht. Dit blijkt volgens de Commissie ook uit de wetgevingsgeschiedenis, aangezien dit begrip in verordening 97/66 is ingevoerd om een juist frequentiegebruik te garanderen.

93.      Deze enge uitlegging van het begrip onbevoegd gebruik komt overeen met het op grond van artikel 5 van richtlijn 2002/58 beschermde communicatiegeheim. Een gebruik voor onrechtmatige doeleinden kan normaal gesproken alleen worden geconstateerd door de inhoud van de communicatie te controleren.

94.      Weliswaar zijn conform artikel 15, lid 1, ook uitzonderingen op het communicatiegeheim toegestaan, maar bij een ruime uitlegging van het begrip onbevoegd gebruik zouden de overige uitdrukkelijk genoemde uitzonderingsgronden overbodig en in de praktijk nauwelijks nog van betekenis zijn, aangezien risico’s voor de nationale en openbare veiligheid en de landsverdediging alsmede strafbare feiten door het gebruik van elektronische- communicatiesystemen, over het algemeen gepaard gaan met een onrechtmatig doel.

95.      Tegelijkertijd zou een ruim opgevatte uitzondering voor de communicatie voor onrechtmatige doeleinden, in de praktijk moeilijk voorspelbaar zijn, waardoor het recht op bescherming van persoons‑ en verkeersgegevens sterk zou worden uitgehold.

96.      De groep van strafrechtelijk ongeoorloofde communicatiehandelingen is al betrekkelijk groot. Bovendien kan communicatie ook in conflict komen met niet strafrechtelijk gesanctioneerde plichten op grond van bepaalde rechtsbetrekkingen, bijvoorbeeld de arbeidsverhouding of familieverplichtingen. De mogelijkheid bestaat zelfs dat de aanbieder van de elektronische-communicatiedienst de toegang tot bepaalde informatie of de verspreiding ervan afkeurt. Het is derhalve moeilijk aan te geven binnen welke van deze rechtsbetrekkingen het bewaren en verstrekken van verkeersgegevens of misschien zelfs van de inhoud van de communicatie, geoorloofd zouden kunnen zijn. Om die reden zou een dergelijke beperkingsgrond bij een ruime uitlegging niet verenigbaar zijn met het vereiste van voorzienbaarheid.

97.      Daarbij komt dat een ruime uitlegging zou leiden tot verregaande uitholling van de bescherming van persoons‑ en verkeersgegevens, maar ook van de bescherming van het communicatiegeheim. Om effectief te kunnen toetsen of elektronische-communicatiesystemen worden gebruikt voor onrechtmatige doeleinden, zou de volledige communicatie moeten worden opgeslagen en aan een intensief inhoudelijk onderzoek onderworpen. Daarmee zou de „glazen” burger realiteit zijn.

98.      Om deze reden verdient de uitlegging van de Commissie de voorkeur. Het begrip onbevoegd gebruik van elektronische-communicatiesystemen heeft dan uitsluitend betrekking op het gebruik in strijd met het systeem en niet op het gebruik voor onrechtmatige doeleinden.

Uitzonderingsgronden op grond van de eerste vier gevallen van artikel 15, lid 1, van richtlijn 2002/58

99.      Als grondslag voor het verstrekken van verbindingsgegevens blijven zodoende slechts over de eerste vier gevallen van artikel 15, lid 1, van richtlijn 2002/58, in het bijzonder het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, en de openbare veiligheid.

100. In de elfde overweging van de considerans van richtlijn 2002/58 worden de eerste vier gevallen van artikel 15, lid 1, toegelicht. Volgens deze overweging geldt de richtlijn niet voor activiteiten die niet onder het gemeenschapsrecht vallen. Bijgevolg verandert zij niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor de bescherming van de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied.

101. Zoals het Hof reeds heeft vastgesteld, gaat het daarbij om specifieke activiteiten van de staten of de overheidsdiensten.(53) Weliswaar kunnen overheidsdiensten particulieren verplichten om ondersteuning te bieden(54), maar de vervolging van rechtsschendingen onder de eigen verantwoordelijkheid van particulieren valt niet meer onder deze uitzonderingen. Alleen al om die reden kunnen de eerste vier alternatieven van artikel 15, lid 1, van richtlijn 2002/58 slechts het verstrekken van gegevens aan overheidsdiensten mogelijk maken en niet het rechtstreeks verstrekken van verkeersgegevens aan Promusicae.(55)

102. Te betwijfelen valt verder of in het onderhavige geval het verstrekken van gegevens aan overheidsdiensten op grond van artikel 15, lid 1, vierde geval, van richtlijn 2002/58, ten behoeve van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, mogelijk zou zijn. Zoals de Commissie terecht heeft aangevoerd, is daarvoor vereist dat de door Promusicae genoemde inbreuken op de auteursrechten tevens als strafbare feiten kunnen worden beschouwd.

103. Naar gemeenschapsrecht is strafbaarheid niet uitgesloten, aangezien – zoals ook blijkt uit artikel 8, lid 1, van richtlijn 2001/29 en artikel 16 van richtlijn 2004/48 – de nationale wetgever moet beslissen of en in welke vorm inbreuken op het auteursrecht gesanctioneerd worden. Een inbreuk op auteursrechten door filesharing kan dus strafbaar worden gesteld. De verwijzende rechter heeft echter meegedeeld dat de inbreuk op auteursrechten in Spanje slechts strafbaar is wanneer er sprake is van winstoogmerk.(56) Tot dusver is echter niets aangevoerd dat hierop wijst.

104. Verder kan naast de uitzonderingen van artikel 15, lid 1, van richtlijn 2002/58 ook het derde geval, de openbare veiligheid, nog een rol spelen. Volgens de rechtspraak op het gebied van de fundamentele vrijheden kan de openbare orde en de openbare veiligheid slechts worden aangevoerd in geval van een werkelijke en voldoende ernstige bedreiging, die een fundamenteel belang van de samenleving aantast.(57)

105. De bescherming van auteursrechten is een maatschappelijk belang waarvoor in het bijzonder de Gemeenschap herhaaldelijk de grote betekenis heeft benadrukt. Dit doel kan dus als een fundamenteel belang van de samenleving worden beschouwd, ook al heeft het belang van de rechthebbende primair geen openbaar, maar een particulier karakter. Onrechtmatige filesharing brengt de bescherming van auteursrechten ook daadwerkelijk in gevaar.

106. Het is echter niet zeker dat particuliere filesharing, in het bijzonder als dit zonder winstoogmerk geschiedt, een voldoende ernstige bedreiging voor de bescherming van auteursrechten vormt om een beroep op deze uitzondering te rechtvaardigen. Het is namelijk omstreden in hoeverre particuliere filesharing reële schade veroorzaakt.(58)

107. De beoordeling daarvan zou aan de wetgever moeten worden overgelaten – onder voorbehoud van toetsing door het Hof. Vooral als de lidstaten een inbreuk op auteursrechten door particuliere filesharing strafbaar stellen, voeren zij een dergelijke beoordeling uit; in dat geval geldt dan echter reeds artikel 15, lid 1, vierde geval, van richtlijn 2002/58, zodat een beroep op de openbare veiligheid niet nodig is.

108. Strafbaarheid zou weliswaar een belangrijke aanwijzing zijn voor een voldoende ernstige bedreiging van de bescherming van auteursrechten, maar het strafrecht is niet de enige mogelijkheid voor de wetgever om een dergelijk negatief waardeoordeel tot uitdrukking te brengen. De wetgever kan een dergelijk oordeel met name ook tot uitdrukking laten komen doordat hij in eerste instantie alleen het verstrekken van persoons‑ en verkeersgegevens in het kader van een civiele procedure regelt. Voorwaarde voor een dergelijke regeling is echter steeds dat de gegevensbescherming niet wordt ingeperkt in verband met de mogelijke schending van auteursrechten in onbelangrijke gevallen.

109. Een dergelijke regeling moet overeenkomstig het voorzienbaarheidsbeginsel en het beginsel van purpose limitation voldoende duidelijk aangeven dat het opslaan en verstrekken van persoons‑ en verkeersgegevens door internetproviders inderdaad geschiedt ter bescherming van auteursrechten. Daar zulk een regeling berust op artikel 15, lid 1, derde geval, van richtlijn 2002/58, zou tevens rekening moeten worden gehouden met het feit dat de bescherming van de openbare veiligheid een taak is van de overheid en dat verkeersgegevens derhalve niet aan particuliere rechthebbenden mogen worden verstrekt buiten instanties om – bijvoorbeeld rechterlijke instanties of toezichthoudende instanties op het gebied van de gegevensbescherming.

110. De gemeenschapswetgever heeft in ieder geval tot dusver geen beslissing betreffende de doorbreking van de gegevensbescherming ten behoeve van de vervolging van auteursrechtinbreuken genomen. Met name de door de verwijzende rechter genoemde richtlijnen zijn niet relevant, omdat zij, zoals reeds uiteengezet(59), de bescherming van persoonsgegevens niet regelen. Dit geldt in het bijzonder voor het recht op informatie conform artikel 8 van richtlijn 2004/48, waaronder ook de openbaarmaking van de identiteit van internetgebruikers zou kunnen worden begrepen. Deze bepaling geldt blijkens lid 3, sub e, onverminderd andere regelgeving waarbij de verwerking van persoonsgegevens wordt geregeld.

111. Het zou derhalve niet voorzienbaar zijn, uit deze richtlijnen een daarin niet uitdrukkelijk neergelegd doel, het opslaan van verkeersgegevens, af te leiden, zoals dit volgens het voorzienbaarheidsvereiste en artikel 6, lid 1, sub b, van richtlijn 95/46 vereist is.(60) Verder bevatten de richtlijnen geen aanknopingspunten voor de betrokkenheid van overheidsinstanties bij het verstrekken van persoons‑ en verkeersgegevens aan particuliere rechthebbenden.

112. Wel kunnen de lidstaten bij de huidige stand van het gemeenschapsrecht conform artikel 15, lid 1, derde en vierde geval, van richtlijn 2002/58 regelen dat persoons‑ en verkeersgegevens aan overheidsinstanties worden verstrekt, om zowel strafrechtelijke als civiele procedures wegens auteursrechtschending door filesharing, mogelijk te maken. Zij zijn daartoe echter niet verplicht.

113. Dit is in de onderhavige situatie een minder vergaand middel dan het rechtstreeks verstrekken van persoons‑ en verkeersgegevens aan personen wier rechten zijn geschonden, en er wordt tegelijkertijd mee gewaarborgd dat het verstrekken van gegevens evenredig is aan de beschermde rechtsposities.

114. Het inschakelen van overheidsinstanties is een minder vergaand middel, omdat deze, anders dan particulieren, rechtstreeks gebonden zijn aan de grondrechten. Zij moeten met name de procedurele waarborgen eerbiedigen. Bovendien houden zij over het algemeen ook rekening met omstandigheden die de van een inbreuk op auteursrechten beschuldigde gebruiker ontlasten.

115. Zo volgt uit het feit dat met gebruikmaking van een IP-adres op een bepaald tijdstip auteursrechten zijn geschonden, nog niet onomstotelijk dat deze handelingen ook daadwerkelijk zijn verricht door de aangeslotene aan wie dit adres op dat moment was toegekend. Het is ook mogelijk dat anderen van zijn aansluiting of computer gebruik hebben gemaakt. Dit kan zelfs het geval zijn zonder dat hij daarvan op de hoogte was, wanneer hij bijvoorbeeld van een onvoldoende beveiligd lokaal draadloos netwerk gebruikmaakt, om kabelverbindingen te vermijden(61), of wanneer zijn computer door derden via internet is „gekaapt”.

116. Auteursrechthebbenden zullen er – in tegenstelling tot overheidsinstanties – geen belang bij hebben, met dergelijke omstandigheden rekening te houden of deze uit te zoeken.

117. Ook de redelijkheid van het verstrekken van persoons‑ en verkeersgegevens wordt beter gewaarborgd wanneer overheidsinstanties worden ingeschakeld.

118. De wetgever zal het optreden van die instanties alleen voorschrijven wanneer voldoende verdenking van een rechtsschending bestaat. Daarbij bestaat een ruime vormgevings‑ en beslissingsbevoegdheid. Weliswaar moeten de sancties conform artikel 8, lid 1, van richtlijn 2001/29 en artikel 16 van richtlijn 2004/48 redelijk, doeltreffend en proportioneel zijn en preventieve werking hebben, maar daarbij dient ook rekening te worden gehouden met de zwaarte van de betrokken inbreuk op auteursrechten.

119. Hieruit volgt dat de mogelijkheid voor het verstrekken van persoons‑ en verkeersgegevens kan worden beperkt tot bijzonder ernstige gevallen – bijvoorbeeld tot handelingen met winstoogmerk, dat wil zeggen een onrechtmatig gebruik van beschermde werken waardoor de economische exploitatie ervan door de rechthebbende aanmerkelijk wordt aangetast. Dat de handhaving van auteursrechten ten opzichte van schendingen op internet juist gericht moet zijn op ernstige gevallen, blijkt ook uit de negende overweging van de considerans van richtlijn 2004/48. Het Verenigd Koninkrijk wijst er weliswaar terecht op dat daarin het verspreiden van illegale kopieën op internet wordt genoemd, maar dit komt ter sprake in verband met de georganiseerde misdaad.

120. De grondrechten van de eigendom en van het recht op een effectieve rechtsbescherming doen aan deze beoordeling van de redelijkheid niet af. Uit het oogpunt van grondrechten is het zeker noodzakelijk, auteursrechthebbenden de mogelijkheid te bieden zich in rechte tegen inbreuken op hun rechten te verweren. In casu gaat het echter – anders dan in de door Promusicae aangevoerde zaak Moldovan e.a./Roemenië(62) – niet om de vraag of daartegen überhaupt een rechtsgang openstaat, maar om de middelen die aan de rechthebbenden ter beschikking worden gesteld om de inbreuk te bewijzen.

121. In dit verband gaan de beschermingsplichten van de staat niet zo ver dat aan de rechthebbende onbeperkte middelen voor de opsporing van inbreuken ter beschikking moeten worden gesteld. Het valt niet te ontkennen dat bepaalde opsporingsrechten voorbehouden moeten blijven aan overheidsinstanties, of helemaal niet ter beschikking mogen staan.

5.      Richtlijn 2006/24

122. Ook richtlijn 2006/24 leidt in casu niet tot een andere conclusie. Weliswaar geldt op grond daarvan artikel 15, lid 1, van richtlijn 2002/58 niet voor de conform richtlijn 2006/24 opgeslagen gegevens, maar de in het geding zijnde gegevens zijn niet overeenkomstig de nieuwe richtlijn opgeslagen. Zoals ook Promusicae betoogt, is deze richtlijn derhalve ratione temporis niet toepasselijk.

123. Zelfs wanneer richtlijn 2006/24 toepasselijk zou zijn, zouden persoons‑ en verkeersgegevens niet rechtstreeks aan Promusicae mogen worden verstrekt. Volgens artikel 1 heeft het opslaan van gegevens uitsluitend het onderzoeken, opsporen en vervolgen van ernstige criminaliteit tot doel. Derhalve mogen deze gegevens overeenkomstig artikel 4 uitsluitend worden verstrekt aan de bevoegde autoriteiten.

124. Voor zover aan richtlijn 2006/24 in casu überhaupt iets valt te ontlenen, dan is dit het waardeoordeel van de gemeenschapswetgever dat tot op heden uitsluitend ernstige criminaliteit noopt tot het opslaan en het gebruik van verkeersgegevens in de gehele Gemeenschap.

6.      Conclusie met betrekking tot de gegevensbescherming

125. Derhalve is tegen de achtergrond van richtlijn 2002/58 met het gemeenschapsrecht, in het bijzonder met richtlijn 2000/31, richtlijn 2001/29 en richtlijn 2004/48, verenigbaar dat lidstaten het verstrekken van persoons‑ en verkeersgegevens voor het doel van civiele procedures wegens inbreuk op auteursrechten, uitsluiten.

126. Indien de Gemeenschap een verder gaande bescherming van de auteursrechthebbenden noodzakelijk zou achten, zou daarvoor een wijziging van de bepalingen betreffende de gegevensbescherming noodzakelijk zijn. Tot dusver heeft de wetgever op dat gebied echter geen stappen ondernomen. Bij de vaststelling van de richtlijnen 2000/31, 2001/29 en 2004/48 heeft hij juist de gegevensbescherming onverlet gelaten en ook bij de vaststelling van de op dit gebied specifieke richtlijnen 2002/58 en 2006/24 heeft hij geen aanleiding gezien om beperkingen van de gegevensbescherming in te voeren ten gunste van de bescherming van de intellectuele eigendom.

127. Richtlijn 2006/24 zou zelfs tot gevolg kunnen hebben dat de gemeenschapsrechtelijke gegevensbescherming in geschillen wegens auteursrechtschendingen wordt versterkt. Zelfs in strafrechtelijke onderzoeken is dan namelijk de vraag in hoeverre met het gemeenschapsrechtelijke grondrecht op gegevensbescherming verenigbaar is dat gelaedeerde rechthebbenden inzage in de opsporingsresultaten wordt gegeven, wanneer deze berusten op de interpretatie van op voorhand opgeslagen verkeersgegevens in de zin van richtlijn 2006/24. Tot dusver is deze kwestie in het gemeenschapsrecht niet geregeld, aangezien de richtlijnen inzake de gegevensbescherming niet gelden voor strafrechtelijke vervolgingen.(63)

V –    Conclusie

128. Op grond van het bovenstaande geef ik het Hof in overweging de prejudiciële vraag als volgt te beantwoorden:

„Het is met het gemeenschapsrecht verenigbaar wanneer lidstaten het verstrekken van persoons‑ en verkeersgegevens ten behoeve van civiele procedures wegens inbreuken op het auteursrecht, uitsluiten.”


1 – Oorspronkelijke taal: Duits.


2 – PB L 178, blz. 1.


3 – Het gaat om richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31), en richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector (PB 1998, L 24, blz. 1).


4 – PB L 167, blz. 10.


5 – PB L 157, blz. 45; er is uitgegaan van de in PB L 195, blz. 16, gepubliceerde gerectificeerde versie.


6 – PB L 201, blz. 37.


7 – PB L 281, blz. 31.


8 – De documenten van deze Groep gegevensbescherming zijn te vinden op http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm.


9 – Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB 2001, L 8, blz. 1).


10 – PB L 105, blz. 54.


11 – Daarbij refereert de rechter aan Circular 1/2006, 5 de mayo de 2006, sobre los delitos contra la propiedad intelectual e industrial tras la reforma de la Ley Orgánica 15/2003, http://www.fiscal.es/csblob/CIRCULAR%201-2006.doc?blobcol=urldata&blobheader=application%2Fmsword&blobkey=id&blobtable=MungoBlobs&blobwhere=1109248064092&ssbinary=true, blz. 37 e.v., van de Fiscalia General del Estado.


12 – Volgens www.dnsstuff.com.


13 – Zie in dit verband de mededeling van de Commissie aan de Raad en het Europees Parlement: Het internet van de volgende generatie – Actieprioriteiten voor de overgang naar het nieuwe internetprotocol IPv6, COM(2002) 96.


14 – Technisch is het kennelijk tevens mogelijk het eigen IP-adres te verbergen. Deze optie is echter betalend en/of traag. Zie bijvoorbeeld het artikel op Wikipedia Anonymous P2P, http://en.wikipedia.org/wiki/Anonymous_p2p, en – waarin filesharing nog niet ter sprake komt – werkdocument WP 37 van de Groep gegevensbescherming van 21 november 2000, Privacy op internet, blz. 86 e.v.


15 – Zie hierboven, punt 22.


16 – Zie arresten van 16 maart 2006, Poseidon Chartering (C‑3/04, Jurispr. blz. I‑2505, punt 14), en 14 december 2006, Confederación Española de Empresarios de Estaciones de Servicio (C‑217/05, Jurispr. blz. I‑11987, punt 17), en aldaar aangehaalde rechtspraak.


17 – Arresten van 5 oktober 2004, Pfeiffer e.a. (C‑397/01–C‑403/01, Jurispr. blz. I‑8835, punt 108), en 3 mei 2005, Berlusconi e.a. (C‑387/02, C‑391/02 en C‑403/02, Jurispr. blz. I‑3565, punt 73).


18 – Zie arrest van 16 juni 2005, Pupino (C‑105/03, Jurispr. blz. I‑5285, punten 31 e.v., in het bijzonder punt 48).


19 – Vergelijk artikel 9, lid 3, sub e, van het voorstel van de Commissie [COM(2003) 46] met dezelfde bepaling in het geconsolideerde ontwerp van de Raad van 19 december 2003 (Raadsdocument 16289/03) en met artikel 8, lid 3, sub e, van het door het Parlement geamendeerde ontwerp (PB 2004, C 102 E, blz. 242 e.v.) dat de Raad ongewijzigd heeft overgenomen.


20 – Overeenkomst inzake de handelsaspecten van de intellectuele eigendom, als bijlage 1C gehecht aan de Overeenkomst tot oprichting van de Wereldhandelsorganisatie; de TRIPs-overeenkomst is door de Gemeenschap wat betreft de onder haar bevoegdheid vallende aangelegenheden goedgekeurd bij besluit 94/800/EG van de Raad van 22 december 1994 (PB L 336, blz. 1). TRIPs staat voor Agreement on Trade-Related Aspects of Intellectual Property Rights.


21 – Artikel 42, vierde zin, TRIPs zou in zijn Duitse versie weliswaar zo kunnen worden (mis)verstaan dat een effectieve rechtsbescherming het traceren van vertrouwelijke informatie mogelijk moet maken, maar de bedoeling van deze bepaling is om vertrouwelijke informatie in het kader van een gerechtelijke procedure te beschermen, indien dit toegestaan is. Deze bedoeling blijkt duidelijker uit de authentieke taalversies (Engels, Frans en Spaans). Zie in deze zin ook Daniel Gervais, The TRIPS Agreement, Drafting History and Analysis, Londen 2003, blz. 291.


22 – In die zin ook de opvatting van de Raad en de Commissie in het kader van de procedure tot vaststelling van richtlijn 2004/48 (Raadsdocument 6052/04 van 9 februari 2004, blz. 6 e.v.).


23 – Arrest van 20 mei 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 en C‑139/01, Jurispr. blz. I‑4989, punten 73 e.v.).


24 – PB C 364, blz. 1.


25 – Arrest Österreichischer Rundfunk e.a. (aangehaald in voetnoot 23, punt 74).


26 – Arrest Österreichischer Rundfunk e.a. (aangehaald in voetnoot 23, punt 76).


27 – Arrest Österreichischer Rundfunk e.a. (aangehaald in voetnoot 23, punt 77), onder verwijzing naar de rechtspraak van het EHRM.


28 – Arrest Österreichischer Rundfunk e.a. (aangehaald in voetnoot 23, punt 80).


29 – Arrest Österreichischer Rundfunk e.a. (aangehaald in voetnoot 23, punt 83), onder verwijzing naar de rechtspraak van het EHRM.


30 – Zie met betrekking tot de eigendom bijvoorbeeld arresten van 11 juli 1989, Schräder (265/87, Jurispr. blz. 2237, punt 15); 28 april 1998, Metronome Musik (C‑200/96, Jurispr. blz. I‑1953, punt 21), en 6 december 2005, ABNA e.a. (C‑453/03, C‑11/04, C‑12/04 en C‑194/04, Jurispr. blz. I‑10423, punt 87), en met betrekking tot de effectieve rechtsbescherming arresten van 15 mei 1986, Johnston (222/84, Jurispr. blz. 1651, punten 18 en 19); 15 oktober 1987, Heylens e.a. (222/86, Jurispr. blz. 4097, punt 14); 25 juli 2002, Unión de Pequeños Agricultores/Raad (C‑50/00 P, Jurispr. blz. I‑6677, punt 39), en 13 maart 2007, Unibet (C‑432/05, Jurispr. blz. I‑2271, punt 37).


31 – In die zin reeds arrest Metronome Musik (aangehaald in voetnoot 30, punten 21 en 26), evenals onlangs arrest EHRM van 11 januari 2007, Anheuser-Busch Inc./Portugal (klachtnr. 73049/01, § 72).


32 – Zie arrest van 6 november 2003, Lindqvist (C‑101/01, Jurispr. blz. I‑12971, punt 87).


33 – Zie arrest Lindqvist (aangehaald in voetnoot 32, punten 46 e.v.).


34 – Voor het telecommunicatiegeheim gaat het Duitse Bundesverfassungsgericht in zijn besluiten van 9 oktober 2002 [1 BvR 1611/96 en 1 BvR 805/98, BVerfGE 106, 28 (37), punt 21, van de op www.bundesverfassungsgericht.de gepubliceerde versie] en 27 oktober 2006 (1 BvR 1811/99, Multimedia und Recht 2007, 308, punt 13, van de op www.bundesverfassungsgericht.de gepubliceerde versie) zelfs uit van een overeenkomstige beschermingsverplichting van de staat. De vraag of de verplichtingen van particulieren op het gebied van de gegevensbescherming binnen het gemeenschapsrecht ook berusten op een afdwingbare beschermingsverplichting van de Gemeenschap, hoeft in dit geval echter niet te worden beantwoord.


35 – Richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en ‑diensten (PB L 108, blz. 33).


36 – Voor zover de betrokken houders van de IP-adressen ten gevolge van de door de internetprovider opgeslagen toewijzing van het adres geïdentificeerd kunnen worden, gaat het overigens reeds bij het verzamelen van de IP-adressen door Promusicae om een verwerking van persoonsgegevens die aan de voorwaarden van de gegevensbescherming dient te voldoen; zie arrest van de Rechtbank Utrecht van 12 juli 2005, Brein (194741/KGZA 05-462, bijlage 5 bij de memorie van Promusicae, punten 4.24 e.v.), het werkdocument WP 104 van de Groep gegevensbescherming van 18 januari 2005, Datenschutzfragen im Zusammenhang mit Immaterialgüterrechten (vraagstukken op het gebied van de gegevensbescherming in verband met intellectuele-eigendomsrechten), blz. 4, evenals voor het Franse recht de overwegingen (délibérations) van de Commission nationale de l’informatique et des libertés (CNIL) 2005-235 van 18 oktober 2005 en 2006-294 van 21 december 2006 (op te vragen via http://www.legifrance.gouv.fr/WAspad/RechercheExperteCnil.jsp). In het register van aangemelde verwerkingshandelingen van de Agencia Española de Protección de Datos, https://www.agpd.es/index.php?idSeccion=100, is een dergelijke aanmelding van Promusicae te vinden.


37 – Zie in die zin punt 2.8 van het advies van de Groep gegevensbescherming met betrekking tot het opslaan van verkeersgegevens in verband met facturering, WP 69 van 29 januari 2003.


38 – Zie mijn conclusie van 29 januari 2004, Commissie/Nederland (C‑350/02, Jurispr. 2004, blz. I‑6213, punt 71), met betrekking tot de uitlegging van artikel 6, lid 4, van richtlijn 97/66.


39 – Zie hierboven, punt 54.


40 – Zie hierboven, punt 72.


41 – In zoverre mag in mijn uitlatingen in een andere context betreffende de „verscheidenheid van geschillen” in de conclusie Commissie/Nederland (aangehaald in voetnoot 38, punt 81) niet meer worden gelezen dan ermee is bedoeld.


42 – Zie het advies van de Europese toezichthouder voor gegevensbescherming met betrekking tot het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische-communicatiediensten en tot wijziging van richtlijn 2002/58/EG [COM(2005) 438 def.], PB 2005, C 298, blz. 1, evenals de adviezen van de Groep gegevensbescherming van 21 oktober 2005, 4/2005, met betrekking tot het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische-communicatiediensten en tot wijziging van richtlijn 2002/58/EG [COM(2005) 438 def. van 21 september 2005], en 25 maart 2006, 3/2006, met betrekking tot richtlijn 2006/24/EG van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische-communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG.


43 – Het Duitse Bundesverfassungsgericht acht dergelijke vormen van inmenging bijzonder ernstig, daar de particulier geen aanleiding tot de inmenging geeft, maar hoewel hij zich volkomen legaal gedraagt, kan worden geïntimideerd door het gevaar van misbruik en het gevoel dat hij wordt bespioneerd; zie besluit van 4 april 2006 met betrekking tot de systematische opsporing van misdadigers [1 BvR 518/02, Neue Juristische Wochenschrift 2006, 1939 (1944), punt 117 van de versie op www.bundesverfassungsgericht.de].


44 – Zie arrest van 11 november 1997, Eurotunnel e.a. (C‑408/95, Jurispr. blz. I‑6315, punten 33 e.v.).


45 – Op dit moment is het beroep Ierland/Raad en Parlement (C‑301/06, mededeling in PB 2006, C 237, blz. 5) aanhangig. Ierland verzoekt om nietigverklaring van richtlijn 2006/24 op grond van de keuze van een onjuiste rechtsgrondslag. Het beroep gaat daarentegen niet in op de vraag of de bewaring verenigbaar is met de grondrechten.


46 – Zie arrest Lindqvist (aangehaald in voetnoot 32, punt 87).


47 – Zo vertegenwoordigt bijvoorbeeld Christian Cychowski de opvatting dat de Duitse omzetting van deze uitzonderingsregeling het verstrekken aan de auteursrechthebbenden van de verkeersgegevens van inbreukmakers op auteursrechten toestaat: zie Auskunftsansprüche gegenüber Internetzugangsprovidern „vor” dem 2. Korb en „nach” der Enforcement-Richtlinie der EU, Multimedia und Recht 2004, 514 (517 e.v.).


48 – Zo gebruikt de Franse versie „comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE”, de Engelse versie „as referred to in Article 13(1) of Directive 95/46/EC” en de Spaanse versie „a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE”, telkens na een opsomming van de verschillende mogelijke rechtvaardigingsgronden.


49 – Zie voetnoot 6 van de schriftelijke opmerkingen van de Commissie.


50 – Ulrich Sieber/Frank Michael Höfiger, Drittauskunftsansprüche nach § 101a UrhG gegen Internetprovider zur Verfolgung von Urheberrechtsverletzungen, Multimedia und Recht 2004, 575 (582), en Gerald Spindler/Joachim Dorschel, Auskunftsansprüche gegen Internet-Service-Provider, Computer und Recht 2005, 38 (45 e.v.).


51 – Zie in die zin arrest Lindqvist (aangehaald in voetnoot 32, punt 83).


52 – Een gebruik in strijd met het systeem ligt over het algemeen ook besloten in handelingen die conform het kaderbesluit 2005/222/JBZ van de Raad van 24 februari 2005 over aanvallen op informatiesystemen (PB L 69, blz. 67) strafbaar gesteld moeten worden.


53 – Arrest Lindqvist (aangehaald in voetnoot 32, punt 43).


54 – Arrest van 30 mei 2006, Parlement/Raad en Parlement/Commissie (C‑317/04 en C‑318/04, Jurispr. blz. I‑4721, punt 58).


55 – Volgens Promusicae komt deze conclusie met betrekking tot het derde en het vierde geval van artikel 15, lid 1, van richtlijn 2002/58 overeen met de rechtssituatie in Frankrijk, Italië en België, waar volgens Promusicae geldt dat de bevoegde overheidsdiensten het verstrekken van persoons‑ en verkeersgegevens kunnen eisen. De Groep gegevensbescherming, werkdocument WP 104 (aangehaald in voetnoot 36, blz. 8), gaat zelfs nog een stap verder door te bepalen dat gegevens slechts mogen worden verstrekt aan rechtshandhavingsautoriteiten: „Op grond van het beginsel van de verenigbaarheid en het beginsel van vertrouwelijkheid van de richtlijnen 2002/58/EG en 95/46/EG is het niet toegestaan om gegevensbestanden van de internet service provider, die voor bepaalde doelen worden verwerkt en in wezen ook betrekking hebben op het verrichten van een telecommunicatiedienst, worden meegedeeld aan derden, bijvoorbeeld aan rechthebbenden; daarvan uitgezonderd zijn de rechtshandhavingsautoriteiten, mits hiervoor eenduidige wettelijke voorwaarden zijn vastgesteld.”


56 – Zie hierboven, punt 28.


57 – Zie bijvoorbeeld arresten van 29 april 2004, Orfanopoulos en Oliveri (C‑482/01 en C‑493/01, Jurispr. blz. I‑5257, punt 66), met betrekking tot het vrij verkeer van personen, en 14 maart 2000, Église de scientologie (C‑54/99, Jurispr. blz. I‑1335, punt 17), met betrekking tot het vrij verkeer van kapitaal.


58 – Zie rapport DSTI/ICCP/IE(2004)12/FINAL van 13 december 2005 (http://www.oecd.org/dataoecd/13/2/34995041.pdf, blz. 76 e.v.) ten behoeve van de werkgroep gewijd aan de informatie-economie van de Organisatie voor economische samenwerking en ontwikkeling (OESO).


59 – Zie hierboven, punten 42 e.v.


60 – Zie hierboven, punt 53.


61 – Zie werkdocument van de International Working Group on Data Protection in Telecommunications van 15 april 2004 met betrekking tot de mogelijke risico’s van draadloze netwerken, beschikbaar in de Engelse en de Duitse taal op http://www.datenschutz-berlin.de/doc/int/iwgdpt/index.htm. Volgens Stefan Dörhöfer, Empirische Untersuchungen zur WLAN-Sicherheit mittels Wardriving, https://pi1-old.informatik.uni-mannheim.de:8443/pub/research/theses/diplomarbeit-2006-doerhoefer.pdf, blz. 98, waren op het moment van het onderzoek in Duitsland ongeveer 23 % van alle telecommunicatienetwerken helemaal niet en ongeveer 60 % onvoldoende beveiligd. Met betrekking tot de aanvalsmethoden op netwerken, zie Erik Tews, Ralf-Philipp Weinmann en Andrei Pyshkin, Breaking 104 bit WEP in less than 60 seconds, http://eprint.iacr.org/2007/120.pdf.


62 – Arrest EHRM van 12 juli 2005 (klachtnrs. 41138/98 en 64320/01, §§ 118 e.v.).


63 – Zie arrest Parlement/Raad en Parlement/Commissie (aangehaald in voetnoot 54, punt 58).