A BÍRÓSÁG ÍTÉLETE (második tanács)
2016. október 19.(*)
„Előzetes döntéshozatal – Személyes adatok kezelése – 95/46/EK irányelv – A 2. cikk a) pontja – A 7. cikk f) pontja – A »személyes adatok« fogalma – Internetprotokoll‑címek – Elektronikus médiaszolgáltató által végzett tárolás – Nemzeti szabályozás, amely nem engedi meg az adatkezelő által kitűzött jogos érdek figyelembevételét”
A C‑582/14. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) a Bírósághoz 2014. december 17‑én érkezett, 2014. október 28‑i határozatával terjesztett elő az előtte
Patrick Breyer
és
a Bundesrepublik Deutschland
között folyamatban lévő eljárásban,
A BÍRÓSÁG (második tanács),
tagjai: M. Ilešič tanácselnök, A. Prechal, A. Rosas (előadó), C. Toader és E. Jarašiūnas bírák,
főtanácsnok: M. Campos Sánchez‑Bordona,
hivatalvezető: V. Giacobbo‑Peyronnel tanácsos,
tekintettel az írásbeli szakaszra és a 2016. február 25‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– P. Breyer képviseletében M. Starostik Rechtsanwalt,
– a német kormány képviseletében A. Lippstreu és T. Henze, meghatalmazotti minőségben,
– az osztrák kormány képviseletében G. Eberhard, meghatalmazotti minőségben,
– a portugál kormány képviseletében L. Inez Fernandes és C. Vieira Guerra, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében P. J. O. Van Nuffel, H. Krämer, P. Costa de Oliveira és J. Vondung, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2016. május 12‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 2. cikke a) pontjának és 7. cikke f) pontjának az értelmezésére vonatkozik.
2 E kérelmet a Patrick Breyer és a Bundesrepublik Deutschland (Németországi Szövetségi Köztársaság) között, a német szövetségi intézmények számos honlapjának felkeresése során P. Breyer internetprotokoll‑címének (a továbbiakban: IP‑cím) a Bundesrepublik Deutschland által történő rögzítése és tárolása tárgyában folyamatban lévő jogvitában terjesztették elő.
Jogi háttér
Az uniós jog
3 A 95/46 irányelv (26) preambulumbekezdésének szövege az alábbi:
„mivel a védelem elveit minden azonosított vagy azonosítható személyre vonatkozó információ esetében alkalmazni kell; mivel annak meghatározására, hogy egy személy azonosítható‑e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására; mivel a védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, ahol az érintett a továbbiakban nem azonosítható; mivel a 27. cikk szerinti eljárási szabályzat hasznos eszköz lehet útmutatásként ahhoz, hogy hogyan kell az adatokat anonimmá tenni, és olyan formában megőrizni, amelyben a szóban forgó adatok azonosítása a továbbiakban már nem lehetséges”.
4 Az említett irányelv 1. cikke értelmében:
„(1) A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása [helyesen: kezelése] tekintetében.
(2) A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt.”
5 Ugyanezen irányelv 2. cikke előírja:
„Ezen irányelv alkalmazásában:
a) »személyes adat«: az azonosított vagy azonosítható természetes személyre (»érintettre«) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi [helyesen: mentális], gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén;
b) »személyes adatok feldolgozása« (»feldolgozás«) [helyesen: »személyes adatok kezelése« (»kezelés«)]:a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;
[...]
d) »adatkezelő« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának [helyesen: kezelésének] céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki;
[...]
f) »harmadik személy« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely nem azonos az érintettel, az adatkezelővel, a feldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy a feldolgozó közvetlen felügyelete alatt felhatalmazást kaptak az adatok feldolgozására;
[...]”
6 A 95/46 irányelv „Hatály” című 3. cikke ekként rendelkezik:
„(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására [helyesen: kezelésére], valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására [helyesen: kezelésére], amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) Az irányelv nem alkalmazandó az alábbi személyesadat‑feldolgozásokra [helyesen: személyesadat‑kezelésekre]:
– a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet [helyesen: adatkezelés] nemzetbiztonsági ügyre vonatkozik [helyesen: nemzetbiztonsági üggyel kapcsolatos]), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek [helyesen: adatkezelés],
[...]”
7 Az említett irányelv 5. cikke így rendelkezik:
„A tagállamok, e fejezet rendelkezéseinek korlátai között, részletesen meghatározzák, hogy a személyes adatok feldolgozása [helyesen: kezelése] milyen feltételek mellett jogszerű.”
8 Ugyanezen irányelv 7. cikkének szövege az alábbi:
„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel [helyesen: kezelhetők], ha:
a) az érintett ahhoz egyértelmű hozzájárulását adta;
vagy
b) az adatfeldolgozás [helyesen: adatkezelés] olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
vagy
c) az adatfeldolgozás [helyesen: adatkezelés] az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges;
vagy
d) feldolgozásuk [helyesen: kezelésük] az érintett létfontosságú érdekei védelméhez szükséges;
vagy
e) az adatfeldolgozás [helyesen: adatkezelés] közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges [helyesen: illetve azon harmadik félre ruházott közhatalmi hatáskör gyakorlásához szükséges, akivel az adatokat közölték]
vagy
f) az adatfeldolgozás [helyesen: adatkezelés] az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű [helyesen: jogos] érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében [helyesen: az adatkezelés az adatkezelő, illetve az adatokat megkapó harmadik fél, vagy felek jogos érdekének érvényesítéséhez szükséges, azzal a feltétellel, hogy ezeknél az érdekeknél nem magasabb rendűek az érintett személynek az 1. cikk (1) bekezdése szerinti érdekei vagy alapvető jogai és szabadságai].”
9 A 95/46 irányelv 13. cikkének (1) bekezdése a következőképpen rendelkezik:
„A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekezdésében, a 10. cikkben, a 11. cikk (1) bekezdésében, valamint a 12. és a 21. cikkben foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges:
[...]
d) bűncselekmények vagy a szabályozott foglalkozások etikai vétségeinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
[...]”
A német jog
10 Az elektronikus médiáról szóló, 2007. február 26‑i törvény (Telemediengesetz; a továbbiakban: TMG) (BGBl. 2007. I, 179. o.) 12. §‑a előírja:
„(1) A szolgáltató csak akkor gyűjthet és használhat fel személyes adatokat elektronikus média hozzáférhetővé tételével összefüggésben, ha ezt e törvény vagy kifejezetten az elektronikus médiára vonatkozó más jogszabály lehetővé teszi, vagy a felhasználó ebbe beleegyezett.
(2) A szolgáltató az elektronikus média hozzáférhetővé tételével összefüggésben gyűjtött személyes adatokat csak akkor használhatja fel más célra, ha ezt e törvény vagy kifejezetten az elektronikus médiára vonatkozó más jogszabály lehetővé teszi, vagy a felhasználó ebbe beleegyezett.
(3) Eltérő rendelkezés hiányában a személyes adatok védelmére vonatkozó hatályos rendelkezések alkalmazandók akkor is, ha az adatok feldolgozására nem automatizált módon kerül sor.”
11 A TMG 15. §‑a előírja:
„(1) A szolgáltató csak akkor gyűjtheti és használhatja fel a felhasználó személyes adatait, ha ez az elektronikus médium igénybevételének lehetővé tételéhez és elszámolásához szükséges (használati adatok). Használati adatok különösen a következők:
1. a felhasználó azonosítására szolgáló jellemzők;
2. a konkrét használat kezdetére és végére, valamint terjedelmére vonatkozó adatok és
3. a felhasználó által igénybe vett elektronikus médiára vonatkozó adatok.
(2) A szolgáltató akkor összesítheti a felhasználó különböző elektronikus média igénybevételére vonatkozó használati adatait, ha ez a felhasználóval való elszámoláshoz szükséges.
[...]
(4) A szolgáltató akkor használhatja fel a használati adatokat a használat befejeztét követően is, ha azok szükségesek a felhasználóval való elszámoláshoz (elszámolási adatok). A fennálló jogszabályi, alapszabályi vagy szerződéses megőrzési határidőknek való megfelelés céljából a szolgáltató zárolhatja az adatokat. [...]”
12 Az adatvédelemről szóló, 1990. december 20‑i szövetségi törvény (Bundesdatenschutzgesetz) (BGBl. 1990. I, 2954. o.) 3. §‑ának (1) bekezdése értelmében „[a] személyes adatok egy azonosított vagy azonosítható természetes személy (érintett) személyes vagy tárgyi körülményeire vonatkozó egyedi adatok. [...]”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
13 P. Breyer a német szövetségi intézmények több honlapját is felkereste. Ezen, a nyilvánosság által hozzáférhető oldalakon az említett intézmények napra kész tájékoztatást nyújtanak.
14 A támadások elhárítása és a „kalózokkal” szembeni büntetőeljárás megindításának lehetővé tétele érdekében e honlapok többségénél minden felkeresést rögzítenek a naplófájlokban. E naplófájlok a művelet befejeztét követően is tárolják a lehívott adat, illetve a felkeresett oldal nevét, a keresőmezőkbe gépelt fogalmakat, a lehívás, illetve a felkeresés időpontját, a közvetített adatmennyiséget, a lehívás, illetve a felkeresés sikerességéről szóló jelentést, valamint a hozzáférő számítógép IP‑címét.
15 Az IP‑címek olyan számsorok, amelyeket az internetre csatlakozott számítógépekhez rendelnek, hogy így tegyék lehetővé azok e hálózaton keresztül folytatott kommunikációját. Valamely internetes oldal felkeresésekor a hozzáférő számítógép IP‑címe továbbításra kerül a felkeresett oldalt tároló szerverre. Ez a lehívott adatok megfelelő címzetthez való közvetítéséhez szükséges.
16 Egyébiránt az előzetes döntéshozatalra utaló határozatból és a Bíróság rendelkezésére álló iratokból kitűnik, hogy az internetes felhasználók számítógépeihez az internet‑hozzáférést nyújtó szolgáltatók „statikus” vagy „dinamikus” IP‑címet, azaz olyan IP‑címet rendelnek, amely minden egyes újabb internetcsatlakozás esetében változik. A statikus IP‑címektől eltérően a dinamikus IP‑címek nem teszik lehetővé kapcsolat kialakítását a nyilvánosság számára hozzáférhető fájlok révén az adott számítógép és az internet‑hozzáférést nyújtó szolgáltató által használt hálózatra történő tényleges kapcsolódás között.
17 P. Breyer a német közigazgatási bíróságok előtt keresetet indított annak érdekében, hogy e bíróságok tiltsák meg a Németországi Szövetségi Köztársaság számára P. Breyer hozzáférő gazdarendszere IP‑címének a német szövetségi intézmények elektronikus médiumainak a nyilvánosság számára hozzáférhető honlapjai felkeresésére irányuló használatának befejeztét követő tárolását vagy harmadik személlyel történő tároltatását, amennyiben e tárolás nem szükséges e médiumok terjesztésének üzemzavar esetén történő helyreállításához.
18 Mivel P. Breyer keresete első fokon elutasításra került, fellebbezett ezen elutasító határozattal szemben.
19 A fellebbviteli bíróság részben megváltoztatta e határozatot. E bíróság kötelezte a Németországi Szövetségi Köztársaságot arra, hogy tartózkodjon P. Breyer hozzáférhető gazdarendszerének a német szövetségi intézmények elektronikus médiumai nyilvánosság számára hozzáférhető honlapjai felkeresésével összefüggésben továbbított IP‑címének az egyes használatok befejeztét követően történő tárolásától vagy harmadik személyekkel történő tároltatásától, amennyiben e címet a kapcsolódó használat időpontjához kötötten tárolják, és amennyiben P. Breyer e használat során megadja személyes adatait – akár a személyes adatokat feltüntető elektronikuslevél‑cím formájában is –, és amennyiben a tárolás nem szükséges az elektronikus médium terjesztésének üzemzavar esetén történő helyreállításához.
20 E fellebbviteli bíróság szerint valamely dinamikus IP‑cím a kapcsolódó használat időpontjával összefüggésben, amennyiben az érintett internetes oldal felhasználója megadta személyes adatait e használat során, személyes adatnak minősül, mivel e honlap üzemeltetője azonosíthatja e felhasználót a nevének a számítógépe IP‑címével történő társításával.
21 A fellebbviteli bíróság megállapította, hogy egyebekben nem kell helyt adni P. Breyer keresetének. Ugyanis abban az esetben, ha P. Breyer nem adja meg személyes adatait a felkeresésre irányuló használat során, akkor kizárólag az internet‑hozzáférést nyújtó szolgáltató képes az IP‑címet konkrét előfizetőhöz rendelni. Ezzel szemben a Németországi Szövetségi Köztársaság esetében, annak elektronikus médiaszolgáltató minőségében, az IP‑cím még a kapcsolódó használat időpontjával összefüggésben sem személyes adat, mivel az érintett honlapok felhasználóit nem tudja azonosítani e tagállam.
22 P. Breyer és a Németországi Szövetségi Köztársaság felülvizsgálati kérelmet nyújtott be a Bundesgerichtshofhoz (szövetségi legfelsőbb bíróság, Németország) a fellebbviteli bíróság határozatával szemben. P. Breyer azt kéri, hogy e bíróság teljes mértékben adjon helyt a tilalom iránti kérelmének. A Németországi Szövetségi Köztársaság e kérelem elutasítását kéri.
23 A kérdést előterjesztő bíróság pontosítja, hogy P. Breyer elektronikus médiaszolgáltató minőségben eljáró Németországi Szövetségi Köztársaság által tárolt számítógépének dinamikus IP‑címei – legalábbis a naplófájlokban tárolt egyéb adatok összefüggésében – P. Breyer tárgyi körülményeire vonatkozó egyedi adatoknak minősülnek, mivel tájékoztatást nyújtanak egyes honlapok vagy bizonyos internetes fájlok meghatározott időpontokban általa történő felkereséséről.
24 Mindazonáltal az így tárolt adatok nem teszik lehetővé P. Breyer személyazonosságának közvetlen megállapítását. Ugyanis az alapügyben szóban forgó honlap üzemeltetői csak akkor tudják megállapítani P. Breyer személyazonosságát, ha annak internet‑hozzáférést nyújtó szolgáltatója információkkal szolgál számukra e felhasználó személyazonosságát illetően. Ezen adatok „személyesnek” minősítése következésképpen attól függ, hogy azonosítható volt‑e P. Breyer.
25 A Bundesgerichtshof (szövetségi legfelsőbb bíróság) megállapítja, hogy a jogirodalomban vitatott, hogy annak meghatározása érdekében, hogy valamely személy azonossága megállapítható‑e, „objektív” vagy „relatív” kritériumot kell‑e alkalmazni. Valamely „objektív” kritérium alkalmazása azzal járna, hogy az olyan adatok, mint amilyenek az alapügyben szóban forgó IP‑címek, az érintett honlap felkeresését követően személyes jellegűnek tekinthetők akkor is, ha csak valamely harmadik személy képes megállapítani az érintett személy azonosságát, amely harmadik személy a jelen esetben P. Breyer internet‑hozzáférést nyújtó szolgáltatója, amely olyan további adatokat tárolt, amelyek lehetővé tették P. Breyer említett IP‑címek révén történő azonosítását. Valamely „relatív” kritérium alapján az ilyen adatok személyes adatoknak tekinthetők olyan intézménnyel szemben, mint amilyen P. Breyer internet‑hozzáférést nyújtó szolgáltatója, hiszen lehetővé teszik a felhasználó pontos azonosítását (lásd e tekintetben: Scarlet Extended ítélet, C‑70/10, EU:C:2011:771, 51. pont), az egyéb intézmények – mint például a P. Breyer által felkeresett honlap üzemeltetője – vonatkozásában azonban nem ilyen jellegűek, mivel ezen üzemeltető – abban az esetben, amikor P. Breyer nem adta meg az e honlapok felkeresésére irányuló használat során a személyes adatait – nem rendelkezik az aránytalan ráfordítás nélkül történő azonosításához szükséges adatokkal.
26 Abban az esetben, ha P. Breyer számítógépének dinamikus IP‑címei a kapcsolódó használat időpontjával összefüggésben személyes adatoknak minősülnek, a kérdést előterjesztő bíróság azt szeretné megtudni, hogy ugyanazon irányelv 7. cikkének f) pontja engedélyezi‑e ezen IP‑címek e használatot követő tárolását.
27 E tekintetben a Bundesgerichtshof (szövetségi legfelsőbb bíróság) pontosítja egyrészt, hogy az elektronikus médiaszolgáltatók a TMG 15. §‑ának (1) bekezdése értelmében csak annyiban gyűjthetik és használhatják fel valamely felhasználó személyes adatait, amennyiben az szükséges e médiumok igénybevételének lehetővé tételéhez és elszámolásához. Másrészt a kérdést előterjesztő bíróság megállapítja, hogy a Németországi Szövetségi Köztársaság szerint az említett adatok tárolása szükséges az elektronikus médiaszolgáltatók nyilvánosság számára hozzáférhető honlapjai megfelelő működése biztonságának és folyamatosságának biztosítása érdekében, mivel különösen lehetővé teszik az informatikai támadások, az úgynevezett „szolgáltatásmegtagadással járó támadások” – amelyek egyes webszerverek nagyszámú kéréssel történő célzott és összehangolt elárasztása útján megbénítják e honlapok működését – felismerését és e támadások elhárítását.
28 A kérdést előterjesztő bíróság szerint, amennyiben az elektronikus médiaszolgáltató csak a szükséges mértékben hoz intézkedéseket az ilyen támadások elhárítása érdekében, ezen intézkedések a TMG 15. §‑a szerint az „elektronikus médium igénybevételének lehetővé tételéhez [...] szükségesnek” tekinthetők. Mindazonáltal az uralkodó szakirodalmi felfogás szerint egyrészt valamely internetes honlap felhasználója személyes adatainak gyűjtése és felhasználása csak e honlap konkrét használatának lehetővé tétele céljából megengedett, másrészt pedig ezen adatokat, amennyiben nincs rájuk szükség az elszámoláshoz, a konkrét használat befejeztével törölni kell. Márpedig a TMG 15. §‑a (1) bekezdésének ilyen megszorító értelmezésével ellentétes, hogy az elektronikus médiumok megfelelő működése biztonságának és folyamatosságának általában véve történő biztosítása érdekében engedélyezzék az IP‑címek tárolását.
29 A kérdést előterjesztő bíróság arra vár választ, hogy az utóbbi, a fellebbviteli bíróság által javasolt értelmezés összhangban van‑e a 95/46 irányelv 7. cikkének f) pontjával, különös tekintettel a Bíróság által a 2011. november 24‑i ASNEF és FECEMD ítélet (C‑468/10 és C‑469/10, EU:C:2011:777) 29. és azt követő pontjaiban megállapított kritériumokra.
30 Ilyen körülmények között a Bundesgerichtshof (szövetségi legfelsőbb bíróság) az eljárását felfüggesztette, és előzetes döntéshozatal céljából a következő kérdéseket terjesztette a Bíróság elé:
„1) Úgy kell‑e értelmezni a [...] 95/46[...] irányelv 2. cikkének a) pontját, hogy a[z elektronikus média]szolgáltató által az internetes honlapjának felkeresésével összefüggésben tárolt [IP‑cím] a szolgáltató számára már akkor is személyes adatot képez, ha valamely harmadik személy (a jelen ügyben: a hozzáférés‑szolgáltató) rendelkezik az érintett azonosításához szükséges pluszinformációval?
2) Ellentétes‑e [ezen] irányelv 7. cikkének f) pontjával az olyan nemzeti jogi rendelkezés, amely szerint a[z elektronikus média] szolgáltató csak akkor gyűjtheti és használhatja fel a felhasználó személyes adatait annak beleegyezése nélkül, ha ez az elektronikus médium adott felhasználó általi konkrét igénybevételének lehetővé tételéhez és elszámolásához szükséges, és amely szerint az elektronikus médium általános működőképessége biztosításának célja nem indokolhatja a felhasználást a konkrét [felkeresésre irányuló] használat befejeztét követően?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
31 Első kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy a 95/46 irányelv 2. cikkének a) pontját úgy kell‑e értelmezni, hogy az elektronikus médiaszolgáltató által az e szolgáltató által a nyilvánosság számára hozzáférhetővé tett internetes honlap valamely személy által történő felkeresésekor rögzített dinamikus IP‑cím az említett szolgáltató vonatkozásában személyes adatnak minősül ezen rendelkezés értelmében, amikor kizárólag valamely harmadik személy, a jelen esetben e személy internet‑hozzáférést nyújtó szolgáltatója rendelkezik az azonosításához szükséges további adatokkal.
32 Az említett rendelkezés értelmében „személyes adat” az azonosított vagy azonosítható természetes személyre („érintettre”) vonatkozó bármely információ. E rendelkezés értelmében az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi [helyesen: mentális], gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén.
33 Előzetesen meg kell állapítani, hogy a 2011. november 24‑i Scarlet Extended ítélet (C‑70/10, EU:C:2011:771) 51. pontjában, amely többek között ugyanazon irányelv értelmezésére vonatkozott, a Bíróság megállapította lényegében, hogy az internetes felhasználók IP‑címei védett személyes adatok, mivel lehetővé teszik e felhasználók pontos azonosítását.
34 Mindazonáltal a Bíróság ezen állítása azon esetre vonatkozott, amikor az internet‑hozzáférést nyújtó szolgáltatók összegyűjtik és azonosítják az internetes felhasználók IP‑címeit.
35 Márpedig a jelen esetben az első kérdés azon esetre vonatkozik, amikor az elektronikus médiaszolgáltató, azaz a Németországi Szövetségi Köztársaság anélkül rögzíti valamely internetes honlap – amelyet e szolgáltató a nyilvánosság számára hozzáférhetővé tesz – felhasználóinak IP‑címeit, hogy az e felhasználók azonosítását lehetővé tevő további adatok állnának a rendelkezésére.
36 Egyébiránt nem vitatott, hogy a kérdést előterjesztő bíróság által hivatkozott IP‑címek „dinamikus” IP‑címek, azaz azon ideiglenes címek, amelyeket minden egyes internetcsatlakozás esetében hozzárendelnek, és a későbbi csatlakozásokkor megváltoztatnak, nem pedig „statikus” IP‑címek, amelyek állandóak, és lehetővé teszik a hálózathoz csatlakoztatott készülék folyamatos azonosítását.
37 A kérdést előterjesztő bíróság által előterjesztett első kérdés így azon az előfeltevésen alapul, hogy egyrészt a dinamikus IP‑címben, valamint valamely internetes oldal ezen IP‑címről történő felkeresésének dátumában és időpontjában foglalt adatok, amelyeket rögzít valamely elektronikus médiaszolgáltató, önmagukban nem teszik lehetővé e szolgáltató számára, hogy azonosítsa azt a felhasználót, aki felkereste ezen internetes oldalt e használat során, másrészt pedig olyan további adatok állnak maga az internet‑hozzáférést nyújtó szolgáltató rendelkezésére, amelyek ezen IP‑címmel kombinálva lehetővé teszik az említett felhasználó azonosítását.
38 E tekintetben először is meg kell állapítani, hogy nem vitatott, hogy valamely dinamikus IP‑cím nem minősül „azonosítható természetes személyre” vonatkozó adatnak, amennyiben az ilyen cím nem fedi fel közvetlenül azon természetes személy kilétét, aki azon számítógép tulajdonosa, amelyről felkeresték az internetes honlapot, sem az e számítógépet adott esetben felhasználó más személyt.
39 Továbbá, annak megállapítása érdekében, hogy valamely dinamikus IP‑cím, a jelen ítélet 37. pontjában előadott esetben a 96/45 irányelv 2. cikkének a) pontja szerinti személyes adatnak minősül‑e az elektronikus médiaszolgáltató vonatkozásában, azt kell vizsgálni, hogy az ilyen szolgáltató által rögzített ezen IP‑cím „azonosítható természetes személyre” vonatkozó adatnak minősíthető‑e, amennyiben az ezen szolgáltató által a nyilvánosság számára hozzáférhető tett internetes honlap felhasználója azonosításához szükséges további adatok ezen felhasználó internet‑hozzáférést nyújtó szolgáltatójának a birtokában vannak.
40 E tekintetben kitűnik a 95/46 irányelv 2. cikke a) pontjának szövegéből, hogy az azonosítható személy olyan személy, aki nemcsak közvetlen, hanem közvetett módon azonosítható.
41 A „közvetlenül” kifejezés uniós jogalkotó által történő alkalmazása azt jelzi, hogy annak érdekében, hogy valamely adatot személyes adatnak lehessen minősíteni, nem szükséges, hogy ezen adat önmagában lehetővé tegye az érintett személy azonosítását.
42 Egyébiránt a 95/46 irányelv (26) preambulumbekezdése kimondja, hogy annak meghatározására, hogy egy személy azonosítható‑e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására.
43 Amennyiben e preambulumbekezdés minden olyan módszerre hivatkozik, amelyet az adatkezelő, vagy „más személy” valószínűleg felhasználna az említett személy azonosítására, annak szövege azt sugallja, hogy annak érdekében, hogy valamely adatot az említett irányelv 2. cikkének a) pontja szerinti „személyes adatnak” minősítsenek, nem követelmény, hogy az érintett személy azonosítását lehetővé tevő minden adat egy személy kezében legyen.
44 Az a tény, hogy az internetes honlap felhasználója azonosításához szükséges további adatokkal nem az elektronikus médiaszolgáltató, hanem e felhasználó internet‑hozzáférést nyújtó szolgáltatója rendelkezik, nem zárja ki, hogy az elektronikus médiaszolgáltató által rögzített dinamikus IP‑címek a 95/46 irányelv 2. cikkének a) pontja szerinti személyes adatoknak minősülnek.
45 Ugyanakkor meg kell állapítani, hogy a dinamikus IP‑cím és az ezen internet‑hozzáférést nyújtó szolgáltató által birtokolt említett további adatok együttes felhasználásának lehetősége olyan módszer‑e, amelyet valószínűleg felhasználnak az érintett személy azonosítására.
46 Amint azt lényegében a főtanácsnok az indítványa 68. pontjában megállapította, nem ez az eset áll fenn, ha az érintett személy azonosítását törvény tiltaná meg, vagy a gyakorlatban nem lenne megvalósítható, például azon egyszerű ok miatt, hogy például aránytalan idő‑, költség‑ vagy munkaráfordítás lenne hozzá szükséges, ily módon valójában jelentéktelennek tűnik az azonosítás veszélye.
47 Márpedig a kérdést előterjesztő bíróság az előzetes döntéshozatalra utaló határozatában pontosítja, hogy a német jog nem teszi lehetővé az internet‑hozzáférést nyújtó szolgáltató számára, hogy közvetlenül továbbítsa az elektronikus médiaszolgáltatónak az érintett személy azonosításához szükséges további adatokat, úgy tűnik azonban – az e tekintetben a kérdést előterjesztő bíróság által végzendő vizsgálatok kikötésével –, hogy vannak jogi eszközök, amelyek lehetővé teszik az elektronikus médiaszolgáltató számára, hogy különösen kibertámadások esetében a hatáskörrel bíró hatósághoz forduljon, annak érdekében, hogy megtegye a szükséges lépéseket ezen adatoknak az internet‑hozzáférést nyújtó szolgáltatótól történő megszerzése és a bűnvádi eljárások megindítása érdekében.
48 Így úgy tűnik, hogy az elektronikus médiaszolgáltató rendelkezik olyan módszerrel, amelyet valószínűleg felhasználna az érintett személy más személyek – azaz a hatáskörrel rendelkező hatóság és az internet‑hozzáférést nyújtó szolgáltató – segítségével a tárolt IP‑címek alapján történő azonosítására.
49 A fenti megfontolások összességére tekintettel azt kell válaszolni az első kérdésre, hogy a 95/46 irányelv 2. cikkének a) pontját úgy kell értelmezni, hogy az elektronikus médiaszolgáltató által a nyilvánosság számára hozzáférhetővé tett internetes honlap valamely személy által történő felkeresésekor az e szolgáltató által rögzített dinamikus IP‑cím az említett szolgáltató tekintetében az e rendelkezés szerinti személyes adatnak minősül, amennyiben jogszerű eszközök állnak a rendelkezésére az érintett személynek az e személy internet‑hozzáférést nyújtó szolgáltatójának rendelkezésére álló további adatok révén történő azonosításához.
A második kérdésről
50 Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 95/46 irányelv 7. cikkének f) pontját úgy kell‑e értelmezni, hogy azzal ellentétes az olyan tagállami szabályozás, amely szerint valamely elektronikus médiaszolgáltató csak annyiban gyűjtheti és használhatja fel az e szolgáltatások valamely felhasználójára vonatkozó személyes adatokat, annak hozzájárulása hiányában, amennyiben e gyűjtés és felhasználás szükséges az említett szolgáltatások e felhasználó által történő konkrét igénybevételének lehetővé tételéhez és elszámolásához, anélkül, hogy ugyanezen szolgáltatások általános működőképessége biztosításának célja indokolhatná az említett adatok felhasználását az azok felkeresésre irányuló használat befejeztét követően.
51 E kérdés megválaszolását megelőzően meg kell állapítani, hogy a személyes adatok alapügyben szóban forgó kezelése, azaz a német szövetségi intézmények egyes honlapjai felhasználóinak dinamikus IP‑címei nincsenek‑e kizárva a 95/46 irányelv hatálya alól, annak 3. cikke (2) bekezdésének első francia bekezdése szerint, amely értelmében az említett irányelv nem alkalmazandó a többek között a büntetőjog területén az állami tevékenységekkel kapcsolatos személyes adatok kezelésére.
52 E tekintetben emlékeztetni kell arra, hogy az említett rendelkezésben példaként említett tevékenységek minden esetben az állam vagy az állami hatóságok sajátos tevékenységei, és nem tartoznak a magánszemélyek tevékenységei közé (lásd: 2003. november 6‑i Lindqvist‑ítélet, C‑101/01, EU:C:2003:596, 43. pont 43; 2008. december 16‑i Satakunnan Markkinapörssi és Satamedia ítélet, C‑73/07, EU:C:2008:727, 41. pont).
53 Márpedig az alapügyben az e tekintetben a kérdést előterjesztő bíróság által végzendő vizsgálatok kikötésével, úgy tűnik, hogy a német szövetségi intézmények, amelyek elektronikus médiaszolgáltatásokat nyújtanak, és a dinamikus IP‑címek kezeléséért felelősek, hatósági minőségük ellenére magánszemély minőségben, és a büntetőjog területén fennálló állami tevékenységek keretén kívül járnak el.
54 Azt kell tehát megállapítani, hogy az olyan tagállami szabályozás, mint amilyen az alapügyben szerepel, összeegyeztethető‑e a 95/46 irányelv 7. cikkének f) pontjával.
55 Ennek érdekében emlékeztetni kell arra, hogy az alapügyben szóban forgó, a kérdést előterjesztő bíróság által hivatkozott megszorító értelemben értelmezett nemzeti szabályozás csak akkor engedélyezi az említett szolgáltatások felhasználója személyes adatainak – annak hozzájárulása hiányában történő – gyűjtését és felhasználását, amennyiben az szükséges az elektronikus médiaszolgáltatások e kérdéses felhasználó által történő konkrét igénybevételének lehetővé tételéhez és elszámolásához, anélkül, hogy ugyanezen elektronikus médiaszolgáltatások általános működőképessége biztosításának célja indokolhatná az említett adatoknak az e médiumok felkeresésére irányuló használat befejeztét követően történő felhasználását.
56 A 95/46 irányelv 7. cikkének f) pontja értelmében a személyes adatok kezelése akkor jogszerű, ha „az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az [ezen irányelv] 1. cikk[ének] (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében. [helyesen: az adatkezelés az adatkezelő, illetve az adatokat megkapó harmadik fél, vagy felek jogos érdekének érvényesítéséhez szükséges, azzal a feltétellel, hogy ezeknél az érdekeknél nem magasabb rendűek az érintett személynek az [ezen irányelv] 1. cikk[ének] (1) bekezdése szerinti érdekei vagy alapvető jogai és szabadságai].”
57 Emlékeztetni kell arra, hogy a Bíróság akként ítélte meg, hogy a 95/46 irányelv 7. cikke kimerítő és korlátozó jellegű felsorolását írja elő azon eseteknek, amelyekben a személyes adatok kezelése jogszerűnek minősíthető, és hogy a tagállamok nem alkothatnak a személyes adatok kezelésének megengedhetőségére vonatkozó, az említett cikkben szereplőkhöz képest új elveket, és olyan további követelményeket sem írhatnak elő, amelyek módosítanák az e cikkben előírt hat elv akár egyikének a hatályát (lásd ebben az értelemben: 2011. november 24‑i ASNEF és FECEMD ítélet, C‑468/10 és C‑469/10, EU:C:2011:777, 30. és 32. pont).
58 Amennyiben a 95/46 irányelv 5. cikke nem vitatottan engedélyezi a tagállamok számára, hogy az ezen irányelv II. fejezetének, és ennélfogva annak 7. cikkének korlátai között pontosítsák azon feltételeket, amelyek között jogszerű a személyes adatok kezelése, a mérlegelési mozgástér, amellyel az említett 5. cikk értelmében a tagállamok rendelkeznek, csak az említett irányelv által követett azon célnak megfelelően alkalmazható, hogy fennmaradjon a személyes adatok szabad mozgása és a magánélet védelme közötti egyensúly. Ugyanezen irányelv 5. cikke alapján a tagállamok nem vezethetnek be a személyes adatok kezelésének megengedhetőségére vonatkozó, az annak 7. cikkében előírtaktól eltérő elveket, és további követelmények által nem módosíthatják a hivatkozott 7. cikkben előírt hat elv akár egyikének hatályát sem (lásd ebben az értelemben: 2011. november 24‑i ASNEF és FECEMD ítélet, C‑468/10 és C‑469/10, EU:C:2011:777, 33., 34. és 36. pont).
59 A jelen esetben úgy tűnik, hogy a TMG 15. §‑ának, amennyiben a jelen ítélet 55. pontjában foglalt megszorító értelmezésre kerül sor, szűkebb lenne a hatálya a 95/46 irányelv 7. cikkének f) pontjában előírt elvnél.
60 Ugyanis míg az említett irányelv 7. cikkének f) pontja általában véve „adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű [helyesen: jogos] érdekének érvényesítésére” hivatkozik, a TMG 15. §‑a csak annyiban teszi lehetővé a szolgáltató számára a felhasználó személyes adatainak gyűjtését és felhasználását, amennyiben az az elektronikus médium konkrét igénybevételének lehetővé tételéhez és elszámolásához szükséges. A TMG 15. §‑ával így ellentétes általában véve a személyes adatoknak az elektronikus médiumok felkeresésére irányuló használatának befejeztét követő, az e médiumok használatának biztosítása érdekében történő tárolása. Márpedig az elektronikus médiaszolgáltatásokat nyújtó német szövetségi intézményeknek szintén fennállhat jogos érdeke, hogy a nyilvánosság számára hozzáférhető internetes honlapjuk konkrét használatán túl biztosítsák az említett honlapok működésének folyamatosságát.
61 Amint azt a főtanácsnok az indítványa 100. és 101. pontjában megállapította, az ilyen nemzeti szabályozás a 95/46 irányelv 5. cikke szerint nem szorítkozik az ezen irányelv 7. cikkének f) pontjában szereplő „jogos érdek” fogalmának pontosítására.
62 E tekintetben emlékeztetni kell arra is, hogy az említett irányelv 7. cikkének f) pontjával ellentétes az, ha valamely tagállam bizonyos kategóriákba tartozó személyes adatok tekintetében kategorikusan és általánosan kizárja ezek kezelhetőségét anélkül, hogy lehetővé tenné a szóban forgó ellentétes érdekek és jogok súlyozását az egyes esetekben. Valamely tagállam e kategóriák tekintetében nem írhatja elő végleges módon az ellentétes érdekek és jogok közötti súlyozás eredményét, anélkül hogy eltérő eredményt tenne lehetővé az adott eset sajátos körülményei okán (lásd ebben az értelemben: 2011. november 24‑i ASNEF és FECEMD ítélet, C‑468/10 és C‑469/10, EU:C:2011:777, 47. és 48. pont).
63 Márpedig az alapügyben szereplőhöz hasonló szabályozás az elektronikus médiumok honlapjai felhasználói személyes adatainak kezelését illetően szűkíti a 95/46 irányelv 7. cikkének f) pontjában előírt elv hatályát, kizárva azt, hogy az említett elektronikus média általános működőképessége biztosítására irányuló célját összevessék e felhasználók érdekeivel vagy alapvető jogaival és szabadságaival, amelyeket e rendelkezés értelmében ezen irányelv 1. cikkének (1) bekezdése alapján védeni kell.
64 A fenti megfontolások összességéből következik, hogy azt kell válaszolni a második kérdésre, hogy a 95/46 irányelv 7. cikkének f) pontját úgy kell értelmezni, hogy azzal ellentétes az olyan tagállami szabályozás, amely szerint valamely elektronikus médiaszolgáltató az e szolgáltatások valamely felhasználójára vonatkozó személyes adatokat annak hozzájárulása hiányában csak annyiban gyűjtheti és használhatja fel, amennyiben e gyűjtés és felhasználás szükséges az említett szolgáltatások e felhasználó által történő konkrét igénybevételének lehetővé tételéhez és elszámolásához, és ugyanezen szolgáltatások általános működőképessége biztosításának célja nem indokolhatja az említett adatoknak az azok felkeresésére irányuló használat befejeztét követően történő felhasználását.
A költségekről
65 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (második tanács) a következőképpen határozott:
1) A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 2. cikkének a) pontját úgy kell értelmezni, hogy az elektronikus médiaszolgáltató által a nyilvánosság számára hozzáférhetővé tett internetes honlap valamely személy által történő felkeresésekor az e szolgáltató által rögzített dinamikus internetprotokoll‑cím az említett szolgáltató tekintetében az e rendelkezés szerinti személyes adatnak minősül, amennyiben jogszerű eszközök állnak a rendelkezésére az érintett személynek az e személy internet‑hozzáférést nyújtó szolgáltatójának rendelkezésére álló további adatok révén történő azonosításához.
2) A 95/46 irányelv 7. cikkének f) pontját úgy kell értelmezni, hogy azzal ellentétes az olyan tagállami szabályozás, amely szerint valamely elektronikus médiaszolgáltató az e szolgáltatások valamely felhasználójára vonatkozó személyes adatokat annak hozzájárulása hiányában csak annyiban gyűjtheti és használhatja fel, amennyiben e gyűjtés és felhasználás szükséges az említett szolgáltatások e felhasználó által történő konkrét igénybevételének lehetővé tételéhez és elszámolásához, és az ugyanezen szolgáltatások általános működőképessége biztosításának célja nem indokolhatja az említett adatoknak az azok felkeresésére irányuló használat befejeztét követően történő felhasználását.
Aláírások