Language of document : ECLI:EU:C:2007:454

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

JULIANE KOKOTT

föredraget den 18 juli 2007 1(1)

Mål C‑275/06

Productores de Música de España (Promusicae)

mot

Telefónica de España SAU

(begäran om förhandsavgörande från Juzgado de lo mercantil no. 5, Madrid)

”Informationssamhälle – Upphovsrätt och närstående rättigheter – Dataskydd – Överföring av trafikuppgifter”





I –    Inledning

1.        Förevarande fall illustrerar att lagring av uppgifter för vissa ändamål leder till önskemål om att använda dessa uppgifter på ett mer omfattande sätt. I Spanien måste accessleverantörer lagra vissa uppgifter avseende användare så att dessa eventuellt kan användas i samband med en förundersökning eller för att säkerställa den allmänna säkerheten och det nationella försvaret. Nu vill en sammanslutning av upphovsrättsinnehavare med hjälp av dessa uppgifter identifiera användare som har gjort sig skyldiga till intrång i upphovsrätten genom utbyte av filer.

2.        Det är under dessa förutsättningar som den hänskjutande domstolen har begärt svar på frågan huruvida det enligt gemenskapsrätten är tillåtet eller till och med ett krav att överföra trafikuppgifter avseende Internetanvändare till innehavare av immateriella rättigheter. Den har utgått från att olika direktiv avseende skydd för immateriella rättigheter och informationssamhället ger innehavare av sådana rättigheter en rätt att kräva att tillhandahållare av elektroniska tjänster överför sådana uppgifter när dessa uppgifter utgör bevis för att det föreligger ett intrång.

3.        Jag kommer emellertid i det följande att visa att överföring av personrelaterade trafikuppgifter enligt de gemenskapsrättsliga bestämmelserna om dataskydd vid elektronisk kommunikation endast är tillåten till behöriga statliga myndigheter och att en direkt överföring till upphovsrättsinnehavare som vill vidta civilrättsliga åtgärder mot intrång i deras rättigheter inte är tillåten.

II – Tillämpliga bestämmelser

A –    Gemenskapslagstiftningen

4.        Av intresse i förevarande fall är bestämmelser om skyddet av immateriella rättigheter och om elektronisk handel samt särskilt bestämmelser om dataskydd.

1.      Skyddet av immateriella rättigheter i informationssamhället

5.        I fråga om skyddet av immateriella rättigheter i informationssamhället kan inledningsvis nämnas Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden.(2)

6.        I artikel 1.5 i direktiv 2000/31 avgränsas direktivets tillämpningsområde. Enligt artikel 1.5 b skall direktivet inte tillämpas på ”frågor beträffande informationssamhällets tjänster som omfattas av direktiv 95/46/EG och direktiv 97/66/EG”.(3)

7.        I artikel 15.2 i direktiv 2000/31 anges följande:

”Medlemsstaterna kan fastställa skyldigheter för leverantörer av informationssamhällets tjänster att omedelbart informera de behöriga myndigheterna om påstådda olagliga verksamheter som utförts eller olaglig information som tillhandahållits av mottagarna av deras tjänster eller att till behöriga myndigheter på deras begäran lämna information som gör det möjligt att identifiera de mottagare av deras tjänster med vilka de ingått lagringsavtal.”

8.        Artikel 18.1 i direktiv 2000/31 har följande lydelse:

”Medlemsstaterna skall se till att de möjligheter att föra talan inför domstol som är tillgängliga enligt nationell lagstiftning om informationssamhällets tjänster gör det möjligt att snabbt vidta åtgärder, även interimistiska sådana, i syfte att avbryta den påstådda överträdelsen och hindra ytterligare skada av berörda intressen.”

9.        Särskilda bestämmelser om skydd av immateriella rättigheter inom elektronisk handel finns i Europaparlamentets och rådets direktiv 2001/29/EG av den 22 maj 2001 om harmonisering av vissa aspekter av upphovsrätt och närstående rättigheter i informationssamhället.(4) I detta direktiv är särskilt artikel 8, som har rubriken ”Sanktioner och möjligheter att vidta rättsliga åtgärder”, av intresse:

”1. Medlemsstaterna skall se till att det finns lämpliga sanktioner och möjligheter att vidta rättsliga åtgärder i fråga om intrång i de rättigheter och skyldigheter som fastställs i detta direktiv samt vidta alla åtgärder som krävs för att säkerställa att dessa sanktioner och möjligheter att vidta rättsliga åtgärder tillämpas. Sanktionerna skall vara effektiva, proportionella och avskräckande.

2. Varje medlemsstat skall vidta de åtgärder som krävs för att säkerställa att rättsinnehavare, vilkas intressen berörs av en intrångshandling som utförs inom dess territorium, kan föra talan om skadestånd och/eller begära föreläggande samt, i tillämpliga fall, föra talan om beslag av det material som använts vid intrånget och även av sådana anordningar, produkter eller komponenter som avses i artikel 6.2.

…”

10.      I artikel 9 i direktiv 2001/29 begränsas direktivets tillämpning enligt följande:

”Detta direktiv påverkar inte bestämmelser om i synnerhet patenträtt, varumärkesrätt, mönsterrätt, bruksmodeller, kretsmönster i halvledarprodukter, typsnitt, villkorad tillgång, tillgång till kabelöverföringar av radio- och televisionstjänster, skyddet för nationalskatter, deponeringsskyldighet enligt lag, lagstiftning om kartellbildning och illojal konkurrens, affärshemligheter, säkerhet, sekretess, dataskydd och skydd för privatlivet, tillgång till allmänna handlingar samt avtalsrätt.”

11.      En särskild rätt till information för innehavare av immateriella rättigheter föreskrivs i artikel 8 i Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter.(5)

”1. Medlemsstaterna skall se till att de behöriga rättsliga myndigheterna, i samband med en rättegång om immaterialrättsintrång och som svar på en berättigad och proportionell begäran av käranden, får besluta att information om ursprung och distributionsnät för de intrångsgörande varorna eller tjänsterna skall lämnas av intrångsgöraren och/eller annan person som

c)      har befunnits i kommersiell skala tillhandahålla tjänster som använts i intrångsgörande verksamhet,

2. Informationen i punkt 1 skall, om lämpligt, omfatta

a)      namn och adress på producenter, tillverkare, distributörer, leverantörer och andra som tidigare innehaft respektive använt varorna eller tjänsterna, samt på tilltänkta grossister och detaljister,

b)      …

3. Punkterna 1 och 2 skall inte påverka tillämpningen av andra lagbestämmelser som:

eller

e)      reglerar sekretesskydd för informationskällor eller behandling av personuppgifter.”

12.      Enligt artikel 2.3 skall direktiv 2004/48 samtidigt inte påverka

”a)      de gemenskapsrättsliga bestämmelser som reglerar den materiella delen av immaterialrätten, direktiv 95/46/EG, 1999/93/EG eller 2000/31/EG i allmänhet och i synnerhet artiklarna 12–15 i direktiv 2000/31/EG,

b)      ...”

2.      Bestämmelser om skydd för personuppgifter

13.      När det gäller skydd för personuppgifter är Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation(6) relevant.

14.      ”Genom detta … harmoniseras [enligt artikel 1.1] medlemsstaternas bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integritet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation, samt för att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom gemenskapen.”

15.      Enligt artikel 1.2 skall bestämmelserna i detta direktiv precisera och komplettera Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(7) avseende de ändamål som avses i punkt 1.

16.      I artikel 2 b i direktiv 2002/58 definieras begreppet trafikuppgifter som ”alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den”.

17.      Behandling av trafikuppgifter regleras i artikel 6:

”1. Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.

2. Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter får behandlas. Sådan behandling är tillåten endast fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning.

6. Punkterna 1, 2, 3 och 5 skall tillämpas utan att det påverkar behöriga organs möjlighet att få information om trafikuppgifter, i enlighet med tillämplig lagstiftning, i syfte att avgöra tvister, i synnerhet sådana som gäller samtrafik och fakturering.”

18.      Det förbehåll för artikel 15, som nämns i artikel 6.1 i direktiv 2002/58, har följande lydelse:

”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.”

19.      I skäl 11 anges följande:

”(11) I likhet med direktiv 95/46/EG omfattar det här direktivet inte sådana frågor om skydd av grundläggande fri- och rättigheter som rör verksamhet som inte regleras av gemenskapslagstiftningen. Det ändrar därför inte den befintliga jämvikten mellan den enskildes rätt till integritet och medlemsstaternas möjligheter att vidta sådana åtgärder, enligt artikel 15.1 i det här direktivet, som krävs för att skydda allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och brottsbekämpning. Det här direktivet påverkar följaktligen inte medlemsstaternas möjlighet att utföra laglig avlyssning av elektronisk kommunikation eller att vidta andra åtgärder om det är nödvändigt för något av dessa ändamål och sker i enlighet med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna i den tolkning dessa fått i rättspraxis från Europeiska domstolen för de mänskliga rättigheterna. Sådana åtgärder måste vara lämpliga, i strikt proportion till det avsedda ändamålet och nödvändiga i ett demokratiskt samhälle. De bör omfattas av lämpliga skyddsmekanismer i överensstämmelse med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.”

20.      Artikel 19 i direktiv 2002/58, i vilken direktivets förhållande till det föregående direktivet 97/66 regleras, har följande lydelse:

”Direktiv 97/66/EG skall upphöra att gälla med verkan från och med den dag som avses i artikel 17.1. Hänvisningar till det upphävda direktivet skall anses som hänvisningar till det här direktivet.”

21.      Artikel 13.1 i direktiv 95/46, till vilken det hänvisas i artikel 15.1 i direktiv 2002/58, har följande lydelse:

”1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till

a)      statens säkerhet,

b)      försvaret,

c)      allmän säkerhet,

d)      förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,

e)      ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,

f)      en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,

g)      skydd av den registrerades eller andras fri- och rättigheter.”

22.      Det skall också påpekas att en oberoende arbetsgrupp av företrädare för medlemsstaternas tillsynsmyndigheter för dataskydd (arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter, nedan kallad dataskyddsgruppen)(8) inrättades genom artikel 29 i direktiv 95/46. Den skall yttra sig i frågor som rör skyddet av uppgifter. Den datatillsynsman som inrättades genom artikel 286 EG och förordning nr 45/2001(9) har en liknande funktion.

23.      Av intresse för förevarande mål är slutligen även direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG.(10)

24.      I direktiv 2006/24 föreskrivs att medlemsstaterna bland annat skall lagra trafikuppgifter i Internettrafiken. Enligt artikel 15 i direktivet skall det införlivas senast den 15 september 2007. Det är enligt samma artikel emellertid möjligt att skjuta upp lagringen i Internettrafiken ytterligare 18 månader. Spanien har inte utnyttjat denna möjlighet.

25.      Genom artikel 11 i direktiv 2006/24 införs en ny punkt 1 a i artikel 15 i direktiv 2002/58. Denna punkt har följande lydelse:

”Punkt 1 skall inte tillämpas på uppgifter som specifikt skall lagras enligt … direktiv 2006/24/EG … för de ändamål som avses i artikel 1.1 i det direktivet.”

26.      Överföring av uppgifter som lagras i enlighet med direktiv 2006/24 regleras i artikel 4, som har följande lydelse:

”Medlemsstaterna skall anta åtgärder för att säkerställa att uppgifter som lagras i enlighet med detta direktiv endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall och i enlighet med nationell lagstiftning. De förfaranden som skall följas och de villkor som skall uppfyllas för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven skall fastställas av varje enskild medlemsstat i den nationella lagstiftningen och följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särskilt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, i enlighet med den tolkning som görs av Europeiska domstolen för mänskliga rättigheter.”

B –    Spansk lagstiftning

27.      Den hänskjutande domstolen har vid redogörelsen för de tillämpliga nationella bestämmelserna huvudsakligen begränsat sig till artikel 12.1–12.3 i Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (lag om informationssamhällets tjänster och elektronisk handel) av den 11 juli 2002, som har följande lydelse:

”Artikel 12. Skyldighet att lagra trafikuppgifter avseende elektronisk kommunikation

1.      Operatörer av elektroniska kommunikationsnät och kommunikationstjänster, accessleverantörer och tillhandahållare av hostingtjänster är skyldiga att lagra uppgifter vid uppkoppling och trafikuppgifter som genereras i samband med att en kommunikation sker inom ramen för tillhandahållande av en informationssamhällets tjänst under högst tolv månader och i enlighet med de villkor som uppställs i denna artikel och i därtill hänförliga tillämpningsföreskrifter.

2. … Operatörer av elektroniska kommunikationsnät och kommunikationstjänster och de tjänsteleverantörer som denna artikel avser får inte använda de lagrade uppgifterna för andra ändamål än de som anges i följande stycke eller som är tillåtna enligt lag. De skall vidta lämpliga säkerhetsåtgärder för att förhindra att uppgifterna försvinner eller förvanskas, och för att förhindra otillåten tillgång till desamma.

3.      Uppgifterna skall lagras för att kunna användas i samband med en förundersökning eller för att säkerställa den allmänna säkerheten och det nationella försvaret genom att de på begäran lämnas ut till domstolar eller till åklagarmyndigheten. Utlämnandet av dessa uppgifter till ordnings- och säkerhetsmakten skall ske med iakttagande av skyddsbestämmelserna i personuppgiftslagstiftningen.”

28.      Den hänskjutande domstolen har vidare framhållit att intrång i upphovsrätten endast är straffbart i Spanien om handlingen har begåtts i vinstsyfte.(11)

III – Teknisk bakgrund, faktiska omständigheter och tvisten vid den nationella domstolen

29.      Klaganden i målet vid den nationella domstolen (nedan kallad Promusicae, kort för Productores de Música de España) är en ideell förening som består av producenter och utgivare av musikinspelningar och ljud- och bildupptagningar med huvudsakligen musikaliskt innehåll. Promusicae ansökte om att domstolen skulle ålägga en spansk leverantör av Internetaccess, Telefónica de España SAU, att till Promusicae lämna ut vissa Internetanvändares uppgifter avseende identitet och hemvist. Promusicae hade identifierat dessa personer genom så kallade IP-adresser samt det datum och klockslag då dessa användes.

30.      IP-adressen är en numerisk adress, jämförbar med ett telefonnummer, som möjliggör kommunikation mellan uppkopplade apparater som Internetservrar, E-mailservrar eller privatdatorer på Internet. Den server från vilken domstolens hemsida kan öppnas har IP-adress 147.67.243.28.(12) När en sida öppnas informeras den dator på vilken sidan är lagrad om adressen på den dator från vilken sidan öppnas, så att uppgifterna kan överföras via Internet från den ena till den andra datorn.

31.      För privatanvändares uppkopplig till Internet kan, i likhet med anslutningen till telefonnätet, fasta IP-adresser tilldelas. Detta förekommer emellertid inte ofta, eftersom Internet för närvarande fortfarande är organiserat på så sätt att varje accessleverantör endast förfogar över ett begränsat antal adresser.(13) Därför används för det mesta, såsom även i förevarande fall, dynamiska IP-adresser, det vill säga accessleverantören tilldelar sina kunder en adress ad hoc ur sin adresskontingent vid varje uppkoppling. På grund av själva dess natur kan denna ändra sig vid varje uppkoppling.

32.      Promusicae anförde att den hade identifierat ett antal IP-adresser som hade använts vid vissa bestämda datum för så kallad fildelning av musikfiler som dess medlemmar äger upphovs- och licensrättigheterna till.

33.      Fildelning är en form av utbyte av filer, till exempel av musik eller filmer. Användarna kopierar först filerna till sina datorer och gör dem därefter tillgängliga för varje person som är uppkopplad till dem via Internet och ett visst program, i förevarande fall Kazaa. Därvid används normalt sett IP-adressen(14) hos den som gör filen tillgänglig för andra personer och kan därmed identifieras.

34.      För att kunna vidta åtgärder mot en sådan användare kräver Promusicae att den berörda accessleverantören, Telefónica, lämnar ut uppgifter om vilka användare som vid de tidpunkter som angetts av Promusicae hade tilldelats de IP-adresser som hade identifierats av Promusicae. Telefónica kan ta reda på vilket accessnät som har använts, eftersom information om när en viss person tilldelats en viss IP-adress lagras av Telefónica även efter det att förbindelsen avslutats.

35.      Den hänskjutande domstolen meddelade först ett beslut enligt vilket Telefónica ålades att lämna ut de uppgifter som hade begärts. Telefónica överklagade emellertid detta beslut, eftersom det inte under några omständigheter kunde lämna ut uppgifterna till domstolen med stöd av artikel 12 i Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. Det är endast i samband med en förundersökning – eller när syftet är att säkerställa den allmänna säkerheten eller när den nationella säkerheten berörs – som operatören av ett elektroniskt kommunikationsnät eller tjänsteleverantören är skyldig att tillhandahålla de uppgifter som enligt lag skall lagras.

36.      Den hänskjutande domstolen anser att denna uppfattning kan vara riktig enligt spansk lagstiftning men har anfört att den aktuella bestämmelsen i så fall inte är förenlig med gemenskapsrätten. Den har därför ställt följande tolkningsfråga till domstolen:

”Är det tillåtet för medlemsstaterna enligt gemenskapsrätten – och närmare bestämt enligt artiklarna 15.2 och 18 i direktiv 2000/31, artikel 8.1 och 8.2 i direktiv 2001/29, artikel 8 i direktiv 2004/48, och artiklarna 17.2 och 47 i stadgan – att inskränka skyldigheten för operatörer av elektroniska kommunikationsnät och kommunikationstjänster, accessleverantörer och tillhandahållare av hostingtjänster att lagra och lämna ut uppgifter vid uppkoppling och trafikuppgifter vilka genereras i samband med att en kommunikation uppstår inom ramen för tillhandahållande av en informationssamhällets tjänst till att endast gälla i samband med en förundersökning eller för att säkerställa den allmänna säkerheten och det nationella försvaret, och således inte i tvistemål?”

37.      Promusicae, Telefónica, Finland, Italien, Slovenien, Förenade kungariket och kommissionen har yttrat sig under förfarandet. Dataskyddsgruppen(15) och den europeiska datatillsynsmannen har inte yttrat sig under förfarandet, främst av det skälet att det i artikel 23 i domstolens stadga inte föreskrivs att de skall yttra sig. Men eftersom de kan lämna ett viktigt bidrag vad gäller behandlingen av dataskyddsrättsliga frågor har jag tagit särskild hänsyn till åtminstone deras offentliggjorde yttranden avseende de frågor som ställts här.

IV – Rättslig bedömning

38.      Domstolen skall fastställa om det är förenligt med de direktiv som den hänskjutande domstolen angett att endast låta skyldigheten att lämna ut trafikuppgifter gälla i samband med förundersökningar i brottmål och liknande förfaranden, och således inte i tvistemål.

39.      Den hänskjutande domstolen anser således att det finns en motsättning mellan spansk lagstiftning och gemenskapslagstiftning. Därmed har den emellertid förbisett att den berörda bestämmelsen i den spanska lagstiftningen grundar sig på artikel 15 i direktiv 2002/58 och i stort sett har samma ordalydelse som denna. Detta direktiv innehåller bestämmelser om dataskydd vid elektronisk kommunikation och kompletterar i det avseendet direktiv 95/46 med allmänna bestämmelser om dataskydd.

40.      Det skall följaktligen undersökas om det med beaktande av bestämmelserna om dataskydd är förenligt med de bestämmelser som har nämnts av den hänskjutande domstolen att förbjuda leverantörer av Internetaccess att identifiera innehavare av vissa accessnät för att möjliggöra civilrättsliga förfaranden avseende intrång i upphovsrätten.

A –    Huruvida begäran kan tas upp till sakprövning

41.      Med avseende på dess relevans råder det tvivel om huruvida begäran om förhandsavgörande kan tas upp till sakprövning.(16) Ett direktiv kan inte i sig medföra skyldigheter för en enskild.(17) Även om den spanska lagstiftningen utan tvekan skulle utgöra hinder mot att lämna ut de aktuella uppgifterna, skulle inte heller den tolkning av direktiven som den hänskjutande domstolen har begärt, kunna medföra att Telefónica åläggs att lämna uppgifterna. Det kan emellertid på grundval av de tillgängliga uppgifterna inte uteslutas att den spanska lagstiftningen kan tolkas i överensstämmelse med direktiven. Så länge som denna möjlighet finns kan en begäran om förhandsavgörande som den förevarande inte anses sakna relevans.(18)

B –    Förhållandet mellan de olika direktiven

42.      Vissa av parterna har – nästan uteslutande – koncentrerat sig på tolkningen av de direktiv som har nämnts av den hänskjutande domstolen. De har därvid betonat nödvändigheten av ett effektivt rättsskydd mot intrång i upphovsrätten. Kommissionen har däremot med rätta påpekat att inget av de tre direktiven påverkar lagstiftningen om uppgiftsskydd.

43.      Enligt artikel 1.5 b i direktiv 2000/31 om elektronisk handel skall direktivet inte tillämpas på frågor beträffande informationssamhällets tjänster som omfattas av direktiv 95/46 om uppgiftsskydd och direktiv 97/66 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet. Det sistnämnda direktivet har under tiden ersatts av direktiv 2002/58 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation.

44.      Likaså fastställs i artikel 9 i direktiv 2001/29 om harmonisering av vissa aspekter av upphovsrätt och närstående rättigheter i informationssamhället uttryckligen att direktivet bland annat inte påverkar bestämmelser om dataskydd och skydd för privatlivet.

45.      Förhållandet mellan direktiv 2004/48 om säkerställande av skyddet för immateriella rättigheter och dataskyddet är inte lika klart. I artikel 2.3 a föreskrivs att detta direktiv inte skall påverka direktiv 95/46. Promusicae har därav dragit slutsatsen att direktiv 2002/58, som inte nämns där, inte är tillämpligt inom tillämpningsområdet för direktiv 2004/48.

46.      Denna argumentation skulle kunna förstås på så sätt att direktiv 2004/48 enligt principen lex posterior derogat priori har företräde framför direktiv 2002/58, men inte direktiv 95/46, som uttryckligen har undantagits. I detta avseende skall det emellertid erinras om att direktiv 2002/58 enligt artikel 1.2 skall precisera och komplettera direktiv 95/46. Direktiv 2004/48 har inte denna funktion. Det skydd för immateriella rättigheter som direktivet ger skall enligt skäl 2 inte hindra skydd för personuppgifter, inte heller på Internet. Det skulle emellertid vara motsägelsefullt att åsidosätta preciserande och kompletterande bestämmelser som särskilt avser dataskydd på Internet, vilket uttryckligen inte skall inskränkas, utan att ersätta dem, och trots detta fortsätta att beakta de allmänna bestämmelserna. Det ligger närmare till hands att till förmån för direktiv 95/46 utvidga bestämmelsen till att omfatta direktiv 2002/58.

47.      Med avseende på rätten till information enligt artikel 8.1 och 8.2 i direktiv 2004/48, som skall behandlas här, stöds denna slutsats även av att denna rätt enligt artikel 8.3 e inte skall påverka tillämpningen av andra lagbestämmelser som reglerar behandling av personuppgifter. Denna ytterligare och uttryckliga betoning av dataskydd fanns ännu inte i kommissionens förslag utan integrerades i direktivet i samband med förhandlingarna i rådet och parlamentet.(19) Direktiv 2002/58 innehåller just sådana bestämmelser och ger följaktligen inte vika för rätten till information enligt artikel 8 i direktiv 2004/48 som det är fråga om i förevarande mål.

48.      Det skall tilläggas att det enligt TRIPs-avtalet(20) inte heller krävs att dataskyddet skall ge vika för direktiv 2004/48. Promusicae har med rätta visserligen anfört att det enligt artiklarna 41 och 42 i TRIPs-avtalet krävs ett effektivt rättsskydd för immateriella rättigheter, och särskilt att ett rättsligt skydd skall vara möjligt. I artikel 47 i TRIPs-avtalet föreskrivs det emellertid en rätt till information som enbart kan göras gällande direkt gentemot intrångsgörare.(21) De avtalsslutande staterna kan införa en sådan rätt, men är enligt artikel 47 emellertid inte skyldiga att göra detta.(22) Utvidgningen av rätten till information genom artikel 8 i direktiv 2004/48 till att även gälla gentemot tredje man går utöver denna möjlighet. Den kan följaktligen inskränkas av uppgiftsskyddet utan att detta skulle strida mot TRIPs-avtalet.

49.      Alle tre direktiv som har nämnts av den hänskjutande domstolen ger följaktligen vika för dataskyddsdirektiven 95/46 och 2002/58. Till skillnad från vad som har framförts av vissa intervenienter betyder detta inte att dataskydd har företräde framför de mål som eftersträvas i dessa direktiv. I stället måste det inom ramen för dataskyddsdirektiven upprättas en proportionerlig balans mellan dataskyddet och dessa mål.

C –    Uppgiftsskydd

50.      Vad gäller sekundärrättsliga bestämmelser är direktiv 2002/58 med bestämmelser om uppgiftsskydd vid elektronisk kommunikation och därutöver direktiv 95/46, i vilken uppgiftsskydd regleras, allmänt av betydelse för förevarande fall. Domstolen stöder sig emellertid på dataskyddets fundament som grundläggande rättighet vid tolkningen av dessa sekundärrättsliga bestämmelser.

1.      Dataskyddets bundenhet av de grundläggande rättigheterna

51.      Dataskydd grundar sig på den grundläggande rätten till privatliv, som särskilt framgår av artikel 8 i den i Rom den 4 november 1950 undertecknade Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen).(23) I Europeiska unionens stadga om de grundläggande rättigheterna, proklamerad i Nice den 7 december 2000(24) (nedan kallad stadgan) bekräftas denna grundläggande rättighet i artikel 7, och i artikel 8 i stadgan anges särskilt den grundläggande rätten till skydd av personuppgifter samt viktiga grundläggande principer för dataskydd.

52.      Att lämna ut personuppgifter till en utomstående oavsett hur de uppgifter som sålunda har lämnats används därefter innebär alltså ett åsidosättande av de berördas rätt till privatliv, och således en inskränkning i den mening som avses i artikel 8 i Europakonventionen.(25)

53.      Ett sådant intrång innebär åsidosättande av artikel 8 i Europakonventionen, såvida det inte sker ”med stöd av lag”.(26) Dess ordalydelse måste därför enligt kravet på förutsebarhet vara så precis att lagens adressater kan anpassa sitt handlingssätt därefter.(27) Kravet på förutsebarhet kommer till särskilt uttryck i lagstiftningen om uppgiftsskydd genom det ändamålskrav som uttryckligen anges i artikel 8.2 i stadgan. Enligt konkretiseringen av ändamålskravet i artikel 6.1 b i direktiv 95/46 får personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål.

54.      Därutöver skall ett intrång i privatlivet, behandling av personuppgifter, stå i proportion till sitt syfte.(28) Det skall således föreligga tvingande sociala hänsyn och den åtgärd som vidtas skall stå i proportion till det berättigade ändamålet med den.(29)

55.      Inom ramen för de berättigade ändamålen skall i förevarande fall de berörda grundläggande rättigheter som tillkommer upphovsrättsinnehavaren beaktas, särskilt skyddet för egendom och rätten till effektivt rättsskydd. Enligt fast rättspraxis tillhör även dessa båda grundläggande rättigheter gemenskapsrättens allmänna principer,(30) vilket har bekräftats genom artikel 17 och artikel 47 i stadgan. I artikel 17.2 i stadgan betonas att även immateriell egendom faller inom tillämpningsområdet för den grundläggande rätten till egendom.(31)

56.      Balansen mellan de berörda grundläggande rättigheterna måste först beaktas av gemenskapslagstiftaren samt av domstolen vid dess tolkning av gemenskapsrätten. Medlemsstaterna är emellertid också skyldiga att beakta denna vid utnyttjandet av det utrymme för skönsmässig bedömning som de har inom ramen för införlivandet av direktiv. Dessutom ankommer det på myndigheterna och domstolarna i medlemsstaterna att inte bara tolka sin nationella rätt på ett sätt som står i överensstämmelse med dataskyddsdirektiven, utan även att se till att de inte tolkar dessa direktiv i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer.(32)

2.      Tillämpningen av dataskyddsdirektiven

57.      Genom sekundärrätten konkretiseras den grundläggande rättigheten till dataskydd och utvidgas på en punkt som är viktig i förevarande fall. I direktiven föreskrivs nämligen inte endast att statliga myndigheter är bundna av dataskyddet utan även att enskilda personer är bundna i den mån som det enligt artikel 3.2 andra strecksatsen i direktiv 95/46 inte rör sig om en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk.(33) Därmed förverkligar och konkretiserar gemenskapslagstiftaren ett skyddssyfte som följer av den grundläggande rätten till dataskydd.(34)

58.      Promusicaes civilrättsliga åtgärder mot intrång i upphovsrätten och Telefónicas behandling av trafikuppgifter kan inte anses som behandling av uppgifter för personliga ändamål eller för hemmabruk. Med avseende på behandling av trafikuppgifter framgår detta även av existensen av direktiv 2002/58, i vilket det inte föreskrivs något undantag för behandling av uppgifter för personliga ändamål eller för hemmabruk, utan där det utgås från att behandlingen av personuppgifter av leverantörer av elektroniska kommunikationstjänster i princip omfattas av dataskydd. Därmed är inte utlämnandet av sådana uppgifter mellan privata företag uteslutet från dataskyddets tillämpningsområde. Det skall följaktligen prövas om de övriga villkoren för tillämpning av lagstiftningen om dataskydd är uppfyllda i förevarande fall.

59.      Enligt artikel 3.1 i direktiv 2002/58 skall direktivet tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom gemenskapen. Enligt artikel 2 i direktiv 2002/58 definieras dessa begrepp i direktiv 95/46 samt direktiv 2002/21.(35)

60.      Tillhandahållandet av Internetaccess är en allmänt tillgänglig elektronisk kommunikationstjänst i den mening som avses i artikel 2 c i direktiv 2002/21, det vill säga en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät.

61.      Uppgifter om vilka användare som tilldelats vissa IP-adresser vid vissa tidpunkter består av personuppgifter enligt artikel 2 a i direktiv 95/46, nämligen upplysning som avser en identifierad eller identifierbar(36) fysisk person. Med hjälp av dessa uppgifter kan de aktiviteter som företagits under den berörda IP-adressen kopplas till anslutningens innehavare.

62.      Utlämnande av sådana uppgifter nämns uttryckligen som exempel på behandling i artikel 2 b i direktiv 95/46, det vill säga varje åtgärd som vidtas, vare sig det sker på automatisk väg eller inte.

63.      Samtidigt skall åtminstone IP-adresser som tillfälligt tilldelas användare anses som trafikuppgifter enligt definitionen i artikel 2 b i direktiv 2002/58, det vill säga alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät.

3.      De tillämpliga förbuden mot behandling av personuppgifter

64.      Enligt artikel 5.1 i direktiv 2002/58 omfattar konfidentialitet vid kommunikation även de trafikuppgifter som uppkommer vid kommunikation. Medlemsstaterna skall särskilt förbjuda lagring eller andra metoder som innebär att trafikuppgifter kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1.

65.      I artikel 6.1 i direktiv 2002/58 anges med avseende på eventuell lagring av trafikuppgifter vid drift av kommunikationsnät att dessa trafikuppgifter om abonnenter och användare, som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst, skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.

66.      Såväl lagring som utlämnande av personrelaterade trafikuppgifter avseende Internetanvändning skall därför i princip förbjudas.

4.      Undantag från förbuden mot behandling

67.      Det finns emellertid även undantag från dessa förbud mot behandling. Dessa fastställs i artiklarna 6 och 15 i direktiv 2002/58.

a)      Undantagen i artikel 6 punkterna 2, 3 och 5 i direktiv 2002/58

68.      Punkterna 2, 3 och 5, som uttryckligen nämns som undantag i artikel 6.1 i direktiv 2002/58, utgör inte någon lämplig grund för att avvika från förbudet mot behandling enligt punkt 1 genom att lämna ut uppgifterna till Promusicae.

69.      Enligt artikel 6.2 i direktiv 2002/58, som utgör ett undantag, är behandling av dessa trafikuppgifter tillåten i den mån och så länge som den krävs för abonnentfakturering och betalning av samtrafikavgifter. Det är dock tveksamt om det enligt detta undantag överhuvudtaget är tillåtet att lagra uppgifter om vilka personer som tilldelats en dynamisk IP-adress vid ett visst datum. Denna information är vanligtvis inte nödvändig för accessleverantörers abonnentfakturering. Normalt sett grundar sig faktureringen på varaktigheten av uppkopplingen hos accessleverantören eller på volymen av det uppgiftsflöde som användaren genererat, såvida det inte har avtalats om obegränsad användning av Internet till ett fast pris. Om det emellertid inte krävs någon behandling av IP-adressen för faktureringen får den inte heller lagras i detta syfte.(37)

70.      Oberoende av detta utgör artikel 6.2 i vart fall inte någon lämplig grund för att lämna ut trafikuppgifter till tredje man som vill vidta åtgärder mot användaren på grund av ett handlande som begåtts genom användning av denna IP-adress. Sådana åtgärder hänför sig varken till abonnentfakturering eller till betalning av samtrafikavgifter.

71.      Undantaget i artikel 6.3 i direktiv 2002/58 är inte heller tillämpligt. Enligt denna artikel får accessleverantören endast behandla trafikuppgifter i syfte att saluföra elektroniska kommunikationstjänster eller tillhandahålla mervärdestjänster med användarens samtycke.

72.      Promusicae kan slutligen inte heller stödja sig på artikel 6.5 i direktiv 2002/58. Enligt denna får en utomstående behandla trafikuppgifter på uppdrag av accessleverantören för vissa ändamål, särskilt för bedrägeribekämpning. I skäl 29 anges i detta avseende att obetald användning av den elektroniska kommunikationstjänsten innebär bedrägerier. Promusicae handlar inte på uppdrag av Telefónica och intrånget i upphovsrätten kan inte heller anses som bedrägeri i denna mening.

b)      Artikel 6.6 i direktiv 2002/58

73.      Enligt Promusicae är det emellertid enligt artikel 6.6 i direktiv 2002/58 tillåtet att lämna ut och använda trafikuppgifter för att säkerställa skyddet för upphovsrättsliga rättigheter i tvistemål. Enligt denna artikel har de behöriga organen, i enlighet med tillämplig lagstiftning, möjlighet att få information om trafikuppgifter i syfte att avgöra tvister, i synnerhet sådana som gäller samtrafik och fakturering.

74.      Denna bestämmelse kan emellertid inte motivera utlämnandet av trafikuppgifter till Promusicae redan av det skälet att Promusicae inte utgör något behörigt organ för avgörande av tvister. Såvitt framgår föreligger det inte heller i målet mellan Promusicae und Telefónica vid den nationella domstolen något behov av att lämna ut de ifrågasatta trafikuppgifterna till domstolen. För att avgöra tvisten om huruvida Telefónica har rätt och skyldighet att lämna ut dessa uppgifter till Promusicae måste inte domstolen ha kännedom om uppgifterna.

75.      Den omständigheten att Promusicae har begärt trafikuppgifter för att kunna inleda kontradiktoriska förfaranden mot användarna medför inte heller att uppgifter kan lämnas ut enligt artikel 6.6 i direktiv 2002/58.

76.      En tolkning av artikel 6.6 i direktiv 2002/58 enligt vilken det redan mot bakgrund av syftet med användningen av trafikuppgifter i ett kontradiktoriskt förfarande skulle vara tillåtet att lämna ut dessa uppgifter till potentiella motparter skulle på grund av otillräckligt stöd i ordalydelsen inte vara förenligt med det krav på förutsebarhet som måste beaktas vid den lagstadgade motiveringen av intrång i privatlivet och dataskyddet. Utöver de undantag som uttryckligen anges i artikel 6.1 och de relativt klart avgränsade undantagen i punkterna 2, 3 och 5 i artikel 6 samt artikel 15.1 skulle i så fall ett nytt nästan obegränsat undantag införas.(38) Användaren av elektroniska kommunikationstjänster skulle inte kunna räkna med ett sådant undantag enligt ordalydelsen i artikel 6.

77.      Samtidigt skulle detta undantag gå mycket långt och därför inte kunna anses som proportionerligt med avseende på de syften som eftersträvas. Användaren måste i princip alltid – inte endast vid intrång i upphovsrätten – räkna med att dennes trafikuppgifter lämnas ut till en tredje man som av någon anledning vill inleda ett kontradiktoriskt förfarande mot användaren. Det kan anses uteslutet att sådana tvister alltid grundar sig på tvingande sociala hänsyn i den mening som avses i Europadomstolens rättspraxis avseende artikel 8 i Europakonventionen.(39)

78.      Syftet med lagringen av trafikuppgifter enligt artikel 6 i direktiv 2002/58 talar till och med ännu mer för en inskränkning av möjligheten att lämna ut uppgifter. Endast ändamålen för lagringen kan i den mening som avses i artikel 6.1 b i direktiv 95/46 motivera att uppgifterna lämnas ut. Dessa ändamål är, när det gäller trafikuppgifter, enligt artikel 6 i direktiv 2002/58 drift av kommunikationsnät, abonnentfakturering, efter samtycke av användaren saluföring, mervärdestjänster och därutöver behandling på uppdrag för kundförfrågningar och spårning av bedrägerier i den mening som nämnts ovan.(40) Avgörande av tvister utgör inget självständigt ändamål för lagring av trafikuppgifter utan tillåter endast de behöriga organen att få information om trafikuppgifter. Det kan därför endast hänföra sig till tvister som är förbundna med ändamålen för lagring.(41) Tillhandahållande av bevis för kontradiktoriska förfaranden med utomstående utgör emellertid inte något synligt ändamål för lagring.

79.      Därmed kan artikel 6.6 i direktiv 2002/58 inte åberopas till stöd för att lämna ut de begärda trafikuppgifterna till Promusicae.

c)      Artikel 15.1 i direktiv 2002/58

80.      Dessutom är det enligt artikel 15.1 i direktiv 2002/58 möjligt att begränsa omfattningen av de rättigheter som anges i artikel 6.1. Enligt artikel 13.1 i direktiv 95/46 måste en sådan begränsning vara nödvändig, lämplig och proportionell i ett demokratiskt samhälle för att skydda nationell säkerhet (det vill säga statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av elektroniska kommunikationssystem.

81.      Spanien har utnyttjat detta undantag och i artikel 12.1 i Ley 34/2002 ålagt accessleverantörer att lagra uppgifter avseende uppkoppling och trafik. Utlämnandet har emellertid uttryckligen inskränkts till att endast gälla i samband med förundersökningar eller i syfte att säkerställa den allmänna säkerheten och det nationella försvaret. De lagrade uppgifterna får uttryckligen inte lämnas ut för andra ändamål.

82.      Det är tveksamt om lagring av samtliga användares trafikuppgifter är förenlig med de grundläggande rättigheterna,(42) särskilt när detta sker utan konkreta misstankar.(43) Eftersom den spanska bestämmelsen emellertid är förenlig med ordalydelsen i artikel 15.1 i direktiv 2002/58 kan lagring åtminstone i förevarande fall anses vara tillåten. Ett åberopande av de grundläggande rättigheterna i enlighet med dessa tveksamheter skulle spränga ramen för förfarandet, eftersom det inte avser giltigheten av artikel 15.1.(44) Denna fråga kan möjligtvis komma att prövas i samband med direktiv 2006/24, där det har införts en gemenskapsrättslig skyldighet att lagra uppgifter.(45) Om domstolen emellertid redan i förevarande fall skulle vilja göra en prejudiciell prövning av huruvida lagring är tillåten, skulle det säkerligen krävas en ny muntlig förhandling för att ge de parter som har rätt att yttra sig enligt artikel 23 i stadgan möjlighet att yttra sig.

83.      Huvudfrågan här är emellertid om det enligt artikel 15.1 i direktiv 2002/58 är tillåtet att till Promusicae lämna ut de lagrade uppgifter som har begärts. Skulle utlämnandet vara tillåtet enligt dataskyddslagstiftningen måste det nämligen prövas om det enligt de direktiv som har nämnts av den hänskjutande domstolen – och mot bakgrund av upphovsrättsinnehavarens egendom som skyddas inom denna ram – krävs att denna möjlighet utnyttjas. I så fall skulle det åligga de spanska domstolarna att utnyttja det tolkningsutrymme som eventuellt finns för att möjliggöra detta utlämnande.(46)

84.      Inom ramen för artikel 15.1 i direktiv 2002/58 nämns uttryckligen två typer av grunder för undantag, nämligen, å ena sidan, i de fyra första alternativen nationell säkerhet (det vill säga statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott och, å andra sidan, obehörig användning av elektroniska kommunikationssystem enligt det femte alternativet. Därutöver hänvisas det i artikel 15.1 i direktiv 2002/58 till artikel 13.1 i direktiv 95/46, som innehåller ytterligare grunder för undantag.

Artikel 15.1 i direktiv 2002/58 jämförd med artikel 13.1 g i direktiv 95/46

85.      En första grund för att lämna ut uppgifterna skulle kunna framgå av artikel 15.1 i direktiv 2002/58 jämförd med artikel 13.1 g i direktiv 95/46. Enligt artikel 13.1 g i direktiv 95/46 är det möjligt att lämna ut personuppgifter till skydd för andras fri- och rättigheter. Till skillnad från grunderna för undantag i artikel 13.1 i direktiv 95/46 nämns denna grund visserligen inte uttryckligen i artikel 15.1 i direktiv 2002/58, men enligt den tyska språkversionen av artikel 15.1 i direktiv 2002/58 är det emellertid tillåtet med begränsningar ”enligt artikel 13.1 i direktiv 95/46”.

86.      Betraktat för sig skulle detta kunna uppfattas som en hänvisning till samtliga grunder för undantag enligt artikel 13.1 i direktiv 95/46.(47) Mot detta talar dock att det i artikel 15.1 i direktiv 2002/58 nämns grunder för undantag som skall möjliggöra en begränsning ”enligt artikel 13.1 i direktiv 95/46”. Dessa grunder överensstämmer endast delvis med grunderna i artikel 13.1 i direktiv 95/46 och innehåller inte det undantag som nämns i punkt g, närmare bestämt undantaget för andras rättigheter. Därför är de grunder som nämns i artikel 13.1 i direktiv 95/46 endast tillämpliga inom området för elektronisk kommunikation i den mån de uttryckligen anges i artikel 15.1 i direktiv 2002/58.

87.      Denna bestämmelse är tydligare i andra språkversioner än i den tyska. I stället för att använda begreppet ”enligt”, som kan missförstås, används formuleringen ”såsom föreskrivs i artikel 13.1 i direktiv 95/46”.(48) Detta beror på ett medvetet val i lagstiftningsförfarandet. Såsom kommissionen har påpekat avstod nämligen rådet när denna bestämmelse antogs första gången från att i direktiv 97/66 godta samtliga skäl för undantag i artikel 13.1 i direktiv 95/46 och valde i stället förevarande differentierade bestämmelse.(49)

88.      Denna slutsats stöds vidare av att artikel 15.1 i direktiv 2002/58 utgör en specifik bestämmelse i förhållande till artikel 13.1 i direktiv 95/46.(50) Den sistnämnda bestämmelsen gäller för alla personuppgifter oberoende av i vilket sammanhang de upptas. Den är därmed relativt allmän, eftersom den skall tillämpas på ett stort antal mycket olikartade situationer.(51) Den förstnämnda avser däremot på ett konkret sätt personuppgifter som upptas inom ramen för elektronisk kommunikation och den grundar sig därför på en relativt precis bedömning av i vilken utsträckning ett utlämnande av personrelaterade trafikuppgifter inskränker den grundläggande rättigheten till dataskydd.

89.      Följaktligen kan skyddet av andras fri- och rättigheter enligt artikel 13.1 g i direktiv 95/46 inte motivera att personrelaterade trafikuppgifter lämnas ut.

Obehörig användning av elektroniska kommunikationssystem

90.      Vidare kommer den obehöriga användningen av elektroniska kommunikationssystem, det vill säga det femte alternativet i artikel 15.1 i direktiv 2002/58, i fråga som grund för ett utlämnande.

91.      Begreppet obehörig användning av elektroniska kommunikationssystem kan huvudsakligen tolkas på två olika sätt vad gäller det berörda agerandet, nämligen en användning för otillåtna ändamål och en systemvidrig användning. Intrång i upphovsrätten skulle med säkerhet också anses som ett otillåtet ändamål. Därvid kan man emellertid använda kommunikationssystemet på avsett sätt, nämligen till att ladda ner uppgifter från andra datorer som är anslutna till Internet. Det är inte nödvändigt att i detta sammanhang manipulera kommunikationssystemet på ett systemvidrigt sätt genom att till exempel skaffa sig lösenord till främmande datorer eller uppge en annan identitet vid användningen av den främmande datorn.(52)

92.      Enligt kommissionens uppfattning avses i artikel 15.1 i direktiv 2002/58 en sådan systemvidrig användning som äventyrar kommunikationssystemets integritet och säkerhet. Detta framgår även av förarbetena, eftersom begreppet infördes i direktiv 97/66 för att säkerställa en korrekt användning av frekvenser.

93.      Denna restriktiva tolkning av begreppet obehörig användning motsvarar den kommunikationshemlighet som skyddas enligt artikel 5 i direktiv 2002/58. En användning för otillåtna ändamål kan normalt sett endast fastställas genom övervakning av kommunikationens innehåll.

94.      I artikel 15.1 motiveras visserligen även undantag från kommunikationshemligheten, men de övriga grunderna för undantag som uttryckligen nämns skulle emellertid vara överflödiga vid en vid tolkning av begreppet obehörig användning och i stor utsträckning berövas sin ändamålsenliga verkan, eftersom hot mot den nationella säkerheten, den allmänna säkerheten och försvaret samt brott, genom användning av elektroniska kommunikationssystem, normalt sett är förbundna med ett otillåtet ändamål.

95.      Samtidigt skulle ett omfattande undantag för kommunikation för otillåtna ändamål knappast vara förutsebart, och rätten till skydd för personrelaterade trafikuppgifter skulle i stor utsträckning urholkas.

96.      Redan kretsen av straffrättsligt förbjudna kommunikationer är relativt stor. Därutöver kan kommunikation inte heller utgöra överträdelse av straffrättsligt icke sanktionerade skyldigheter som följer av vissa rättsförhållanden, till exempel av arbetsförhållandet eller skyldigheter gentemot familjen. Det är till och med möjligt att leverantören av den elektroniska kommunikationstjänsten inte beviljar tillträde till visst innehåll eller till dess spridning. En avgränsning av vilka dessa rättsförhållanden är som skulle kunna tillåta lagring och överföring av trafikuppgifter, eller kanske till och med av innehållet i kommunikationen, är således knappast möjlig. Således skulle denna grund för begränsning i vid tolkning inte vara förenlig med kravet på förutsebarhet.

97.      Dessutom skulle en vid tolkning i stor utsträckning urholka skyddet av personrelaterade trafikuppgifter och skyddet av kommunikationshemligheter. För att effektivt kunna kontrollera om elektroniska kommunikationssystem används för otillåtna ändamål skulle det vara nödvändigt att lagra all kommunikation och intensivt behandla dess innehåll. Den ”transparenta” medborgaren skulle därmed bli verklighet.

98.      Kommissionens tolkning är därför att föredra. Följaktligen omfattar den obehöriga användningen av elektroniska kommunikationssystem endast den systemvidriga användningen och inte användningen för otillåtna ändamål.

Grunderna för undantag enligt de fyra första alternativen i artikel 15.1 i direktiv 2002/58.

99.      Som grund för överföring av trafikuppgifter återstår således endast de fyra första alternativen i artikel 15.1 i direktiv 2002/58, närmare bestämt förebyggande, undersökning, avslöjande av och åtal för brott och allmän säkerhet.

100. I skäl 11 i direktiv 2002/58 kommenteras de första fyra alternativen i artikel 15.1. Enligt detta omfattar direktivet inte sådana områden som rör verksamhet som inte regleras av gemenskapslagstiftningen. Direktivet påverkar således inte den befintliga jämvikten mellan den enskildes rätt till integritet och medlemsstaternas möjligheter att vidta sådana åtgärder enligt artikel 15.1 som krävs för att skydda allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och brottsbekämpning.

101. Såsom domstolen redan har slagit fast rör det sig därvid särskilt om verksamhet som endast kan bedrivas av staten eller statliga myndigheter.(53) Statliga myndigheter kan visserligen ålägga enskilda en skyldighet att samarbeta,(54) men de åtgärder som vidtas av enskilda på eget ansvar mot intrång omfattas inte av dessa undantag. Redan av det skälet är det enligt de fyra första alternativen i artikel 15.1 i direktiv 2002/58 endast möjligt att överföra trafikuppgifter till statliga myndigheter och inte direkt till Promusicae.(55)

102. Det är också tveksamt om ett utlämnande till statliga myndigheter i förevarande fall skulle vara möjligt enligt det fjärde alternativet i artikel 15.1 i direktiv 2002/58, det vill säga för förebyggande, undersökning, avslöjande av och åtal för brott. Såsom kommissionen med rätta har anfört förutsätter detta att de av Promusicae påstådda intrången i upphovsrätten samtidigt anses som brott.

103. Gemenskapsrättsligt är det inte uteslutet att handlingen är brottslig, eftersom den nationella lagstiftaren skall välja om och i vilken form intrång i upphovsrätten skall vara straffbart, vilket även framgår av artikel 8.1 i direktiv 2001/29 och artikel 16 i direktiv 2004/48. Lagstiftaren kan därför straffbelägga sådana eventuella intrång i upphovsrätten som sker genom fildelning. Enligt den hänskjutande domstolens uppgifter förutsätter emellertid en straffbar gärning i Spanien ett vinstsyfte för att den skall kunna sanktioneras.(56) Det har emellertid inte anförts något stöd för detta.

104. Till undantagen i artikel 15.1 i direktiv 2002/58 kommer dessutom det tredje alternativet i fråga, nämligen allmän säkerhet. Enligt domstolens rättspraxis inom området för grundläggande friheter kan allmän ordning och allmän säkerhet åberopas enbart då det föreligger ett verkligt och tillräckligt allvarligt hot som påverkar ett grundläggande samhällsintresse.(57)

105. Skyddet av upphovsrätten är ett samhällsintresse vars betydelse särskilt gemenskapen har betonat. Även om rättsinnehavarens intresse i första hand inte är av allmän, utan av privat, natur kan detta mål erkännas som ett av samhällets grundläggande intressen. Rättsstridig fildelning utgör även ett faktiskt hot mot skyddet av upphovsrätten.

106. Det är emellertid inte säkert att privat fildelning utgör ett tillräckligt allvarligt hot mot skyddet av upphovsrätten, särskilt när den sker utan vinstsyfte, för att motivera tillämpning av detta undantag. Det är nämligen omtvistat huruvida privat fildelning medför en verklig skada.(58)

107. Med förbehåll för en domstolsprövning bör denna bedömning göras av lagstiftaren. Medlemsstaterna gör särskilt en sådan bedömning när de straffbelägger ett sådant intrång i upphovsrätten som sker genom privat fildelning. I det fallet är emellertid det fjärde alternativet i artikel 15.1 i direktiv 2002/58 tillämpligt, varför det inte är nödvändigt att hänvisa till allmän säkerhet.

108. Straffbarheten skulle visserligen vara ett viktigt indicium för att det föreligger ett tillräckligt allvarligt hot mot skyddet av upphovsrätten. Straffrätten är emellertid inte nödvändigtvis den enda form som lagstiftaren kan använda sig av för att ge uttryck för en sådan åsikt. Lagstiftaren kan även låta denna värdering komma till uttryck genom att förskriva att personrelaterade trafikuppgifter endast kan lämnas ut för att möjliggöra civilrättsliga åtgärder. En sådan bestämmelse förutsätter emellertid att dataskyddet inte inskränks på grund av eventuella intrång i upphovsrätten i fall som är av mindre betydelse.

109. Det skall enligt principen om förutsebarhet och det dataskyddsrättsliga ändamålskravet i en sådan bestämmelse tillräckligt klart anges att accessleverantörens lagring och överföring av personrelaterade trafikuppgifter även sker till skydd för upphovsrätten. Eftersom denna bestämmelse grundar sig på det tredje alternativet i artikel 15.1 i direktivet 2002/58 skulle det även vara nödvändigt att beakta den omständigheten att det ankommer på statliga myndigheter att skydda allmän säkerhet och att trafikuppgifter därmed inte kan lämnas ut till privata rättsinnehavare utan att sådana myndigheter, till exempel domstolar eller dataskyddsrättsliga tillsynsmyndigheter, medverkar.

110. Gemenskapslagstiftaren har emellertid inte antagit något beslut om att det skulle vara möjligt att avvika från bestämmelserna om dataskydd för att kunna vidta rättsliga åtgärder mot intrång i upphovsrätten. I synnerhet är de direktiv som har nämnts av den hänskjutande domstolen inte tillämpliga, eftersom de, såsom redan nämnts ovan,(59) inte påverkar dataskyddet. Detta gäller särskilt för rätten till information i artikel 8 i direktiv 2004/48, vars ordalydelse även skulle kunna anses omfatta utlämnande av information om Internetanvändares identitet. Enligt artikel 8.3 e skall denna bestämmelse inte påverka tillämpningen av andra lagbestämmelser som reglerar behandling av personuppgifter.

111. Det skulle således inte vara möjligt att ur dessa direktiv härleda ett syfte med lagring av trafikuppgifter som inte uttryckligen anges i dessa direktiv, vilket krävs med hänsyn till kravet på förutsebarhet och artikel 6.1 b i direktiv 95/46.(60) Det saknas också uppgift om att statliga myndigheter skulle ha medverkat vid utlämnandet av personrelaterade trafikuppgifter till privata rättsinnehavare.

112. Medlemsstaterna kan emellertid på gemenskapsrättens nuvarande stadium enligt det tredje och det fjärde alternativet i artikel 15.1 i direktivet 2002/58 föreskriva att personrelaterade trafikuppgifter skall lämnas ut till statliga myndigheter för att möjliggöra såväl civilrättsliga som straffrättsliga åtgärder mot sådana intrång i upphovsrätten som sker genom fildelning. De måste emellertid inte göra detta.

113. I förhållande till ett direkt utlämnande av personrelaterade trafikuppgifter till innehavare av kränkta rättigheter utgör detta ett mildare ingrepp i ett fall som det förevarande och säkerställer samtidigt att utlämnandet är rimligt i förhållande till de skyddade rättigheterna.

114. Statliga myndigheters medverkan är mildare, eftersom dessa till skillnad från enskilda direkt är bundna av de grundläggande rättigheterna. De måste särskilt beakta processuella garantier. Därutöver beaktar de normalt sett även omständigheter som befriar den användare som har anklagats för intrång i upphovsrätten från ansvar.

115. Av den omständigheten att intrång i upphovsrätt skett under en IP-adress vid ett visst datum följer inte nödvändigtvis att även den accessinnehavare som tilldelats denna adress vid denna tidpunkt skulle ha begått dessa handlingar. Det är även möjligt att andra har använt dennes anslutning eller dator. Detta kan till och med ske utan användarens kännedom om denne till exempel driver ett lokalt radionät, för att undvika kabelförbindelser, som inte är tillräckligt säkrat(61) eller om användarens dator har ”övertagits” av utomstående via Internet.

116. Upphovsrättsinnehavare har till skillnad från statliga myndigheter inte något intresse av att beakta eller reda ut sådana omständigheter.

117. Lämpligheten i att lämna ut personrelaterade trafikuppgifter säkerställs också bättre vid statliga myndigheters medverkan.

118. Lagstiftaren ger endast statliga myndigheter tillåtelse att medverka vid skälig misstanke om intrång. Därvid finns ett stort utrymme för skönsmässig bedömning. Sanktionerna enligt artikel 8.1 i direktiv 2001/29 och artikel 16 i direktiv 2004/48 skall visserligen vara lämpliga, effektiva, proportionella och avskräckande. Därvid skall det emellertid även beaktas hur allvarligt intrånget i upphovsrätten är.

119. Möjligheten till att lämna ut personrelaterade trafikuppgifter kan följaktligen begränsas till särskilt allvarliga fall, till exempel till gärningar som begås i vinstsyfte, det vill säga otillåten användning av skyddade verk som på ett betydande sätt hindrar rättsinnehavaren från att utnyttja dessa ekonomiskt. Det framgår även av skäl 9 i direktiv 2004/48 att skyddet för upphovsrätt mot intrång på Internet skall säkerställas för att bemöta allvarliga hinder. Förenade kungariket har visserligen med rätta påpekat att spridning av piratkopior på Internet uttryckligen nämns i direktivet, men detta endast i samband med organiserad brottslighet.

120. Denna bedömning av lämpligheten påverkar inte de grundläggande rättigheterna till egendom och till ett effektivt rättsskydd. Enligt de grundläggande rättigheterna krävs säkerligen att upphovsrättsinnehavare ges möjlighet att försvara sig i domstol mot intrång. Till skillnad från vad som var fallet i den av Promusicae nämnda domen i målet Moldovan m.fl. mot Rumänien(62) är det i förevarande fall inte fråga om huruvida det överhuvudtaget finns en möjlighet att väcka talan, utan här är det fråga om vilka medel rättsinnehavare har för att kunna bevisa intrång.

121. Statens skyldighet att tillhandahålla skydd sträcker sig således inte så långt att rättsinnehavare måste ges tillgång till obegränsade medel för att reda ut ett intrång. Man kan därför inte invända emot att vissa rättigheter till utredning är förbehållna statliga myndigheter eller överhuvudtaget inte är tillgängliga.

5.      Direktiv 2006/24

122. Direktiv 2006/24 föranleder inte någon annan bedömning i förevarande fall. Enligt detta är artikel 15.1 i direktiv 2002/58 visserligen inte tillämplig på uppgifter som lagras i enlighet med direktiv 2006/24. De här omtvistade uppgifterna lagrades emellertid inte i enlighet med det nya direktivet. Såsom även Promusicae har anfört är direktivet följaktligen inte tillämpligt av tidsmässiga skäl.

123. Även om direktiv 2006/24 var tillämpligt, skulle ett direkt utlämnande av personrelaterade trafikuppgifter till Promusicae inte vara tillåtet. Enligt artikel 1 syftar lagringen endast till utredning, avslöjande och åtal av allvarliga brott. Följaktligen får dessa uppgifter enligt artikel 4 endast göras tillgängliga för behöriga myndigheter.

124. Om man överhuvudtaget kunde dra några slutsatser av direktiv 2006/24 i förevarande fall skulle detta vara att gemenskapslagstiftarens bedömning att lagring inom hela gemenskapen av trafikuppgifter och behandling av dessa endast krävs vid allvarlig brottslighet.

6.      Slutsats avseende dataskydd

125. Mot bakgrund av direktiv 2002/58 är det följaktligen förenligt med gemenskapsrätten, särskilt direktiv 2000/31, direktiv 2001/29 och direktiv 2004/48, att medlemsstaterna fastställer att personrelaterade trafikuppgifter inte får lämnas ut för att möjliggöra civilrättsliga åtgärder mot intrång i upphovsrätten.

126. Om gemenskapen ansåg att upphovsrättsinnehavare skall tillförsäkras ett mer omfattande skydd, skulle detta förutsätta en ändring av bestämmelserna om dataskydd. Hittills har lagstiftaren emellertid inte tagit detta steg. Lagstiftaren har vid antagandet av direktiven 2000/31, 2001/29 och 2004/48 i stället föreskrivit att uppgiftsskyddet inte skall påverkas och har inte heller vid antagandet av de områdesspecifika direktiven 2002/58 och 2006/24 sett någon anledning att införa begränsningar i dataskyddet till förmån för skyddet för immateriell egendom.

127. Direktiv 2006/24 skulle snarare kunna leda till att det gemenskapsrättsliga dataskyddet stärktes med avseende på tvister vid intrång i upphovsrätten. Även vid brottsutredningar uppkommer nämligen frågan huruvida det är förenligt med den grundläggande gemenskapsrättsliga principen om dataskydd att ge de rättsinnehavare som lidit skada insyn i utredningsresultaten när dessa grundar sig på lagrade trafikuppgifter i den mening som avses i direktiv 2006/24. Denna fråga har ännu inte behandlats i gemenskapsrätten, eftersom dataskyddsdirektiven inte är tillämpliga i straffrättsliga förfaranden.(63)

V –    Förslag till avgörande

128. Mot bakgrund av vad som anförts ovan föreslår jag att domstolen besvarar begäran om förhandsavgörande enligt följande:

Det är förenligt med gemenskapsrätten att medlemsstaterna fastställer att personrelaterade trafikuppgifter inte får lämnas ut för att möjliggöra civilrättsliga åtgärder mot intrång i upphovsrätten.


1 – Originalspråk: tyska.


2 – EGT L 178, s. 1.


3 – Det rör sig om Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31) och Europaparlamentets och rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet (EGT L 24, 1998, s. 1).


4 – EGT L 167, s. 10.


5 – EGT L 157, s. 45. Den rättade versionen i EGT L 195, s. 16 har använts.


6 – EGT L 201, s. 37.


7 – EGT L 281, s. 31.


8 – Dataskyddsgruppens dokument finns tillgängliga på Internet: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm.


9 – Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1).


10 – EGT L 105, s. 54.


11 – Den har därvid hänfört sig till cirkuläret från Fiscalía General del Estado 1/2006 av den 5 maj 2006 avseende intrång i immaterialrättsliga rättigheter enligt reformen av Ley Orgánica 15/2003, http://www.fiscal.es/csblob/CIRCULAR%201-2006.doc?blobcol=urldata&blobheader=application%2Fmsword&blobkey=id&blobtable=MungoBlobs&blobwhere=1109248064092&ssbinary=true, s. 37 och följande sidor.


12 – Enligt www.dnsstuff.com.


13 – Se i detta avseende meddelande från kommissionen till rådet och Europaparlamentet – Nästa generations Internet – prioriterade åtgärder för övergången till det nya Internetprotokollet IPv6, KOM(2002) 96.


14 – Tekniskt sett tycks det också vara möjligt att dölja den egna IP-adressen. Sådana tjänster tillhandahålls emellertid mot vederlag och/eller är långsamma. Se kommentaren i Wikipedia Anonymous P2P, http://en.wikipedia.org/wiki/Anonymous_p2p och utan beaktande av fildelning se dataskyddsgruppens arbetsdokument WP 37 av den 21 november 2000, Skydd av privatlivet på Internet, s. 86 och s. 87.


15 – Se ovan punkt 22.


16 – Se dom av den 16 mars 2006 i mål C‑3/04, Poseidon Chartering (REG 2006, s. I‑2505), punkt 14, och av den 14 december 2006 i mål C‑217/05, Confederación Española de Empresarios de Estaciones de Servicio (REG 2006, s. I‑0000), punkt 17 och där angiven rättspraxis.


17 – Dom av den 5 oktober 2004 i de förenade målen C‑397/01–C‑403/01, Pfeiffer m.fl. (REG 2004, s. I‑8835), punkt 108, och av den 3 maj 2005 i de förenade målen C‑387/02, C‑391/02 och C‑403/02, Berlusconi m.fl. (REG 2005, s. I‑3565), punkt 73.


18 – Se dom av den 16 juni 2005 i mål C‑105/03, Pupino (REG 2005, s. I‑5285), punkt 31 och följande punkter, särskilt punkt 48.


19 – Artikel 9.3 e i kommissionens förslag (KOM(2003) 46) jämförs med samma bestämmelse i rådets konsoliderade förslag av den 19 december 2003 (rådets dokument 16289/03) och med artikel 8.3 e i parlamentets reviderade förslag (EGT C 102 E, 2004, s. 242 och följande sidor), som rådet godtog utan ändring.


20 – Avtalet om handelsrelaterade aspekter av immaterialrätter, vilket återfinns i bilaga 1C till avtalet om upprättande av Världshandelsorganisationen, har godkänts på Europeiska gemenskapens vägnar genom rådets beslut 94/800/EG av den 22 december 1994 (EGT L 336, s. 1; svensk specialutgåva, område 11, volym 38, s. 216). Med TRIPs avses Agreement on Trade-Related aspects of Intellectual Property rights.


21 – Artikel 42.4 i TRIPs i den tyska versionen skulle visserligen kunna (miss)förstås på så sätt att ett effektivt rättsskydd kräver att det finns tillgång till konfidentiella uppgifter. Denna bestämmelse skall emellertid göra det möjligt att skydda konfidentiella uppgifter i ett domstolsförfarande om detta är tillåtet. Detta framgår tydligare av de autentiska språkversionerna (engelska, franska och spanska). För ett liknande resonemang, se även Daniel Gervais, The TRIPS Agreement, Drafting History and Analysis, London 2003, s. 291.


22 – Denna uppfattning företräds även av rådet och kommissionen inom ramen för förfarandet för antagande av direktiv 2004/48 (rådets dokument 6052/04 av den 9 februari 2004, s. 6 och s. 7).


23 – Se dom av den 20 maj 2003 i de förenade målen C‑465/00, C‑138/01 och C‑139/01, Österreichischer Rundfunk m.fl. (REG 2003, s. I‑4989), punkt 73 och följande punkter.


24 – EGT C 364, s. 1.


25 – Se domen i målet Österreichischer Rundfunk m.fl. (ovan fotnot 23), punkt 74.


26 – Se domen i målet Österreichischer Rundfunk m.fl. (ovan fotnot 23), punkt 76.


27 – Se domen i målet Österreichischer Rundfunk m.fl. (ovan fotnot 23), punkt 77 med hänvisning till Europadomstolens rättspraxis.


28 – Se domen i målet Österreichischer Rundfunk m.fl. (ovan fotnot 23), punkt 80.


29 – Se domen i målet Österreichischer Rundfunk m.fl. (ovan fotnot 23), punkt 83 med hänvisning till Europadomstolens rättspraxis.


30 – Se, avseende egendom, bland annat dom av den 11 juli 1989 i mål 265/87, Schräder (REG 1989, s. 2237; svensk specialutgåva, volym 10, s. 97), punkt 15, av den 28 april 1998 i mål C‑200/96, Metronome Musik (REG 1998, s. I‑1953), punkt 21, och av den 6 december 2005 i de förenade målen C‑453/03, C‑11/04, C‑12/04 och C‑194/04, ABNA m.fl. (REG 2005, s. I‑10423), punkt 87, och, för ett effektivt rättsskydd, dom av den 15 maj 1986 i mål 222/84, Johnston (REG 1986, s. 1651; svensk specialutgåva, volym 8, s. 597), punkterna 18 och 19, av den 15 oktober 1987 i mål 222/86, Heylens m.fl. (REG 1987, s. 4097; svensk specialutgåva, volym 9, s. 223), punkt 14, och av den 25 juli 2002 i mål C‑50/00 P, Unión de Pequeños Agricultores mot rådet (REG 2002, s. I‑6677), punkt 39, och av den 13 mars 2007 i mål C‑432/05, Unibet (REG 2007, s. I‑0000), punkt 37.


31 – Se domen i målet Metronome Musik (ovan fotnot 30), punkterna 21 och 26, samt senast Europadomstolens dom av den 11 januari 2007 i målet Anheuser-Busch Inc. mot Portugal (ärende 73049/01, 72 §).


32 – Se dom av den 6 november 2003 i mål C‑101/01, Lindqvist (REG 2003, s. I‑12971), punkt 87.


33 – Se domen i målet Lindqvist (ovan fotnot 32), punkterna 46 och 47.


34 – När det gäller kommunikationshemligheten har den tyska Bundesverfassungsgericht (federal konstitutionsdomstol) i dess beslut av den 9 oktober 2002 (1 BvR 1611/96 och 1 BvR 805/98, BVerfGE 106, s. 28 (s. 37), punkt 21, i den version som finns tillgänglig på Internet: www.bundesverfassungsgericht.de), och av den 27 oktober 2006 (1 BvR 1811/99, Multimedia und Recht 2007, s. 308, punkt 13, i den version som finns tillgänglig på Internet: www.bundesverfassungsgericht.de) till och med utgått från att staten har en sådan skyddsplikt. Huruvida privatpersoners dataskyddsrättsliga skyldigheter inom gemenskapsrätten även grundar sig på en tvingande skyddsplikt inom gemenskapen måste emellertid inte avgöras i förevarande fall.


35 – Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (EGT L 108, s. 33).


36 – I den mån som innehavaren av IP-adressen är identifierbar till följd av att leverantören av Internetaccessen lagrar tilldelningen rör det sig för övrigt redan om behandling av personuppgifter då IP-adresserna fångas upp av Promusicae, som måste uppfylla kraven på dataskydd. Se Rechtbank Utrechts dom av den 12 juli 2005, Brein (194741/KGZA 05-462, bilaga 5 till Promusicaes inlaga, punkt 4.24 och följande punkter), dataskyddsgruppens arbetsdokument WP 104 av den 18 januari 2005, frågor avseende dataskydd i samband med materiella rättigheter, s. 4, samt enligt fransk rätt beslut (Délibérations) från Commission nationale de l’informatique et des libertes (CNIL) 2005-235 av den 18 oktober 2005 och 2006-294 av den 21 december 2006 (tillgängliga på Internet: http://www.legifrance.gouv.fr/WAspad/RechercheExperteCnil.jsp). I Agencia Española de Protección de Datos register över anmälda behandlingar, https://www.agpd.es/index.php?idSeccion=100, befinner sig en motsvarande anmälan från Promusicae.


37 – Se, för ett liknande resonemang, punkt 2.8 i dataskyddsgruppens yttrande avseende lagring av trafikuppgifter för abonnentfakturering, WP 69 av den 29 januari 2003.


38 – Jämför mitt förslag till avgörande av den 29 januari 2004 i mål C‑350/02, kommissionen mot Nederländerna (REG 2004, s. I‑6213), punkt 71, avseende tolkningen av artikel 6.4 i direktiv 97/66.


39 – Se ovan punkt 54.


40 – Se ovan punkt 72.


41 – Det uttalande som jag har gjort i ett annat sammanhang avseende ”den mångskiftande naturen hos tvisterna” i förslaget till avgörande i målet kommissionen mot Nederländerna (ovan fotnot 38), punkt 81, får följaktligen inte övertolkas.


42 – Se den europeiska datatillsynsmannens yttrande avseende förslaget till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG (KOM(2005) 438 slutlig) (EGT L C 298, 2005, s. 1) samt datagruppens yttranden av den 21 oktober 2005, 4/2005 avseende förslaget till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG (KOM(2005) 438 slutlig av den 21 september 2005) och av den 25 mars 2006, 3/2006 avseende Europaparlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG.


43 – Den tyska Bundesverfassungsgericht har tillmätt sådana ingrepp en hög intensitet, eftersom den enskilde inte ger någon anledning till detta ingrepp men kan skrämmas vid sitt lagenliga beteende på grund av risken för missbruk och känslan av övervakning. Se beslut av den 4 april 2006 avseende efterforskning (1 BvR 518/02, Neue Juristische Wochenschrift 2006, s. 1939 (s. 1944), punkt 117, i den version som finns tillgänglig på Internet: www.bundesverfassungsgericht.de).


44 – Se dom av den 11 november 1997 i mål C‑408/95, Eurotunnel m.fl. (REG 1997, s. I‑6315), punkterna 33 och 34.


45 – För närvarande är talan i mål C‑301/06, Irland mot rådet och parlamentet (meddelande i EGT C 237, 2006, s. 5), anhängig. Irland har yrkat att direktiv 2006/24 skall ogiltigförklaras på grund av att valet av rättslig grund är felaktigt. Talan omfattar emellertid inte frågan huruvida lagring är förenlig med de grundläggande rättigheterna.


46 – Se domen i målet Lindqvist (ovan fotnot 32), punkt 87.


47 – Christian Cychowski, Auskunftsansprüche gegenüber Internetzugangsprovidern ”vor” dem 2. Korb und ”nach” der Enforcement-Richtlinie der EU, Multimedia und Recht 2004, s. 514 (s. 517 och s. 518), anser att införlivandet i Tyskland av denna undantagsbestämmelse gör det möjligt att lämna ut trafikuppgifter avseende intrångsgörare till rättsinnehavare.


48 – I den franska versionen anges följande: ”comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE”, i den engelska versionen; ”as referred to in Article 13(1) of Directive 95/46/EC” och i den spanska versionen ”a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE” efter en uppräkning av de olika skäl som kan godtas för rättfärdigande.


49 – Se fotnot 6 i kommissionens inlaga.


50 – Se Ulrich Sieber/Frank Michael Höfiger, Drittauskunftsansprüche nach § 101a UrhG gegen Internetprovider zur Verfolgung von Urheberrechtsverletzungen, Multimedia und Recht 2004, s. 575 (s. 582), och Gerald Spindler/Joachim Dorschel, Auskunftsansprüche gegen Internet-Service-Provider, Computer und Recht 2005, s. 38 (s. 45 och s. 46).


51 – Se i detta avseende domen i målet Lindqvist (ovan fotnot 32), punkt 83.


52 – Även handlande som skall straffas enligt rådets rambeslut 2005/222/JI av den 24 februari 2005 om angrepp mot informationssystem (EGT L 69, s. 67) utgör normalt sett en systemvidrig användning.


53 – Se domen i målet Lindqvist (ovan fotnot 32), punkt 43.


54 – Se dom av den 30 maj 2006 i de förenade målen C‑317/04 och C‑318/04, parlamentet mot rådet och parlamentet mot kommissionen (REG 2006, s. I‑4721), punkt 58.


55 – Enligt Promusicae motsvarar den slutsats som dragits avseende det tredje och det fjärde alternativet i artikel 15.1 i direktiv 2002/58 rättsläget i Frankrike, Italien och Belgien, där det föreskrivs att de behöriga statliga myndigheterna kan begära att trafikuppgifter om personer lämnas ut. Dataskyddsgruppen, dokument WP 104 (ovan fotnot 36, s. 8) går till och med ett steg längre och begränsar överföringen till brottsbekämpande organ: ”Principen om förenlighet och principen om konfidentialitet i direktiven 2002/58/EG och 95/46/EG utgör hinder mot att Internetleverantörens databaser som behandlas för vissa ändamål och som huvudsakligen även avser tillhandahållandet av en telekommunikationstjänst lämnas ut till utomstående, till exempel till rättsinnehavare. Brottsbekämpande organ undantas därifrån under klara rättsliga förutsättningar.”


56 – Se ovan punkt 28.


57 – Se, avseende fri rörlighet, dom av den 29 april 2004 i de förenade målen C‑482/01 och C‑493/01, Orfanopoulos och Oliveri (REG 2004, s. I‑5257), punkt 66, och avseende fri rörlighet för kapital, dom av den 14 mars 2000 i mål C‑54/99, Église de scientologie (REG 2000, s. I‑1335), punkt 17.


58 – Se rapporten DSTI/ICCP/IE(2004)12/FINAL av den 13 december 2005 (http://www.oecd.org/dataoecd/13/2/34995041.pdf, s. 76 och följande sidor) till informationsekonomins arbetsgrupp för Organisationen för ekonomiskt samarbete och utveckling (OECD).


59 – Se ovan punkt 42 och följande punkter.


60 – Se ovan punkt 53.


61 – Se arbetsdokumentet från International Working Group on Data Protection in Telecommunications av den 15 april 2004 avseende potentiella risker med trådlösa nät, som finns tillgängligt på engelska och tyska på Internet: http://www.datenschutz-berlin.de/doc/int/iwgdpt/index.htm. Enligt Stefan Dörhöfer, Empirische Untersuchungen zur WLAN-Sicherheit mittels Wardriving, https://pi1-old.informatik.uni-mannheim.de:8443/pub/research/theses/diplomarbeit-2006-doerhoefer.pdf, s. 98, var vid tidpunkten för undersökningen cirka 23 procent av alla radionät överhuvudtaget inte säkrade och cirka 60 procent otillräckligt säkrade. Angående angreppsmetoderna, se Erik Tews, Ralf-Philipp Weinmann och Andrei Pyshkin, ”Breaking 104 bit WEP in less than 60 seconds”, http://eprint.iacr.org/2007/120.pdf.


62 – Europadomstolens dom av den 12 juli 2005 (ärendena 41138/98 och 64320/01, 118 § och 119 §).


63 – Se domen i målet parlamentet mot rådet och parlamentet mot kommissionen (ovan fotnot 54), punkt 58.