Language of document : ECLI:EU:C:2016:779

EUROOPA KOHTU OTSUS (teine koda)

19. oktoober 2016(*)

Eelotsusetaotlus – Isikuandmete töötlemine – Direktiiv 95/46/EÜ – Artikli 2 punkt a – Artikli 7 punkt f – Mõiste „isikuandmed“ – Internetiprotokolli aadressid – Salvestamine elektrooniliste teabe- ja sideteenuste pakkuja poolt – Liikmesriigi õigusnormid, mis ei võimalda arvesse võtta vastutava töötleja õigustatud huvi

Kohtuasjas C‑582/14,

mille ese on ELTL artikli 267 alusel Bundesgerichtshofi (kõrgeim üldkohus, Saksamaa) 28. oktoobri 2014. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 17. detsembril 2014, menetluses

Patrick Breyer

versus

Saksamaa Liitvabariik,

EUROOPA KOHUS (teine koda),

koosseisus: koja president M. Ilešič, kohtunikud A. Prechal, A. Rosas (ettekandja), C. Toader ja E. Jarašiūnas,

kohtujurist: M. Campos Sánchez-Bordona,

kohtusekretär: ametnik V. Giacobbo-Peyronnel,

arvestades kirjalikus menetluses ja 25. veebruari 2016. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

–        P. Breyer, esindaja: Rechtsanwalt M. Starostik,

–        Saksamaa valitsus, esindajad: A. Lippstreu ja T. Henze,

–        Austria valitsus, esindaja: G. Eberhard,

–        Portugali valitsus, esindajad: L. Inez Fernandes ja C. Vieira Guerra,

–        Euroopa Komisjon, esindajad: P. J. O. Van Nuffel, H. Krämer, P. Costa de Oliveira ja J. Vondung,

olles 12. mai 2016. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1        Eelotsusetaotlus puudutab küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 2 punkti a ja artikli 7 punkti f.

2        Taotlus on esitatud Patrick Breyeri ja Saksamaa Liitvabariigi vahelises kohtuvaidluses, mille ese on Saksamaa poolt P. Breyeri internetiprotokolli aadressi (edaspidi „IP-aadress“) salvestamine ja säilitamine, kui P. Breyer külastas mitmeid Saksamaa föderaalasutuste veebilehti.

 Õiguslik raamistik

 Liidu õigus

3        Direktiivi 95/46 põhjendus 26 on sõnastatud järgmiselt:

„kaitsmise põhimõtteid tuleb kohaldada igasuguse tuvastatud või tuvastatava isiku kohta käiva teabe suhtes; isiku tuvastatavuse kindlakstegemisel tuleb arvesse võtta kõiki vahendeid, mida volitatud töötleja või keegi muu võib andmesubjekti tuvastamiseks tõenäoliselt kasutada; kaitsmise põhimõtteid ei kohaldata teabe suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada; tegevusjuhendid artikli 27 tähenduses võivad osutuda kasulikeks juhtnöörideks selle kohta, kuidas andmeid muuta anonüümseks ja kuidas neid säilitada kujul, mis ei võimalda andmesubjekti tuvastamist“.

4        Direktiivi artikkel 1 sätestab:

„1.      Vastavalt käesolevale direktiivile kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.

2.      Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega.“

5        Sama direktiivi artikkel 2 sätestab:

„Käesolevas direktiivis kasutatakse järgmisi mõisteid:

a)      isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identsusele omase joone põhjal;

b)      isikuandmete töötlemine (edaspidi „töötlemine“) – iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine;

[...]

d)      vastutav töötleja – füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui töötlemise eesmärgid ja vahendid on kindlaks määratud siseriiklike või ühenduse õigusnormidega, võib vastutava töötleja või tema ametissemääramise sätestada siseriiklikus või ühenduse õiguses;

[...]

f)      kolmas isik – kõik füüsilised või juriidilised isikud, riigiasutused, esindused või muud organid, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

[...]“

6        Direktiivi 95/46 artikkel 3 „Reguleerimisala” sätestab:

„1.      Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda.

2.      Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:

–        kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,

[...]“

7        Direktiivi artikkel 5 sätestab:

„Kuivõrd see on lubatud käesoleva peatüki sätetega, määravad liikmesriigid täpsemalt kindlaks tingimused, mille puhul isikuandmete töötlemine on seaduslik.“

8        Sama direktiivi artikkel 7 on sõnastatud järgmiselt:

„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:

a)      andmesubjekt on selleks andnud oma ühemõttelise nõusoleku

või

b)      töötlemine on vajalik sellise lepingu täitmiseks, mille osapool andmesubjekt on, või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele

või

c)      töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks

või

d)      töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks

või

e)      töötlemine on vajalik üldiste huvidega seotud ülesande täitmiseks või sellise avaliku võimu teostamiseks, mis on tehtud ülesandeks volitatud töötlejale või andmeid saavale kolmandale isikule

või

f)      töötlemine on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles artikli 1 lõike 1 kohaselt kaitstavate andmesubjekti põhiõiguste ja -vabadustega seotud huvid.“

9        Direktiivi 95/46 artikli 13 lõikes 1 on sätestatud:

„Liikmesriigid võivad artikli 6 lõikes 1, artiklis 10, artikli 11 lõikes 1 ja artiklites 12 ja 21 sätestatud kohustuste ja õiguste ulatuse piiramiseks võtta vastu õigusakte, kui sellised piirangud on vajalikud, et kindlustada:

[...]

d)      kuritegude või reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;

[...]“

 Saksa õigus

10      26. veebruari 2007. aasta Telemediengsetz’i (elektrooniliste teabe- ja sideteenuste seadus; BGBl. 2007 I, lk 179, edaspidi „TMG“) § 12 sätestab:

„(1)      Teenuseosutaja võib elektrooniliste teabe- ja sideteenuste kättesaadavaks tegemisel koguda ja kasutada isikuandmeid üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilisi teabe- ja sideteenuseid käsitleva muu õigusnormiga või kasutaja nõusolekul.

(2)      Teenuseosutaja võib elektrooniliste teabe- ja sideteenuste kättesaadavaks tegemiseks kogutud isikuandmeid kasutada muul eesmärgil üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilisi teabe- ja sideteenuseid käsitleva muu õigusnormiga või kasutaja nõusolekul.

(3)      Kui ei ole sätestatud teisiti, kohaldatakse vastavalt isikuandmete kaitse kohta kehtivaid sätteid ka juhul, kui andmed ei kuulu automaatselt töötlemisele.“

11      TMG § 15 sätestab:

„(1)      Teenuseosutaja võib kasutaja isikuandmeid koguda ja kasutada üksnes juhul, kui see on vajalik elektrooniliste teabe- ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja arve esitamiseks (kasutusandmed). Kasutusandmed on eelkõige:

1)      tunnused kasutaja tuvastamiseks,

2)      andmed side toimumise alguse ja lõpu ning kestuse kohta ja

3)      andmed kasutatud elektrooniliste teabe- ja sideteenuste kohta.

(2)      Teenuseosutaja võib kasutaja andmeid eri elektrooniliste teabe‑ ja sideteenuste kasutuselevõtmise kohta üksteisega seostada juhul, kui see on kasutajale arve esitamiseks vajalik.

[...]

(4)      Teenuseosutaja võib kasutada kasutusandmeid ka pärast side toimumist, kui see on vajalik kasutajale arve esitamiseks (arveldusandmed). Teenuseosutaja võib seadusjärgsetest, põhikirjale tuginevatest ja lepingulistest säilitamistähtaegadest kinnipidamiseks andmetele juurdepääsu blokeerida. [...]“

12      20. detsembri 1990. aasta Bundesdatenschutzgesetz’i (föderaalne andmekaitseseadus; BGBl. 1990 I, lk 2954) § 3 lõikes 1 on sätestatud, et „[i]sikuandmed on üksikud andmed tuvastatud või tuvastatava füüsilise isiku (andmesubjekt) isiklike või materiaalsete suhete kohta. [...]“.

 Põhikohtuasi ja eelotsuse küsimused

13      P. Breyer külastas mitut Saksa föderaalasutuste veebilehte. Neil üldsusele ligipääsetavatel lehtedel pakuvad need talitused ajakohastatud teavet.

14      Rünnete ärahoidmiseks ja „ründajate“ kriminaalvastutusele võtmise võimaldamiseks salvestatakse enamikus neist portaalidest kõik külastuste andmed logifailidesse. Pärast side lõppu säilitatakse nendes allalaaditud faili või külastatud lehekülje nimi, otsinguväljale sisestatud sõnad, külastuse kellaaeg ja kuupäev, edastatud andmete hulk, teade, kas külastus oli edukas ja selle arvuti IP-aadress, millelt külastus tehti.

15      IP-aadressid on numbrite jada, mis antakse internetis olevatele arvutitele, et võimaldada nende suhtlemist võrgus. Veebilehte külastades edastatakse vastava arvuti IP‑aadress serverile, kus otsitavat veebilehte säilitatakse. Edastamine on vajalik otsitavate andmete saatmiseks õigele saajale.

16      Eelotsusetaotlusest ja Euroopa Kohtule edastatud toimikust ilmneb ühtlasi, et võrguühenduse pakkujad eraldavad internetikasutajate arvutitele kas „staatilise“ IP‑aadressi või „dünaamilise“ IP‑aadressi, mis iga internetiühenduse puhul muutub. Erinevalt staatilistest IP‑aadressidest ei võimalda dünaamilised IP‑aadressid üldsusele kättesaadavate failide abil ühendada kindlat kasutajat ja füüsilist võrguühendust, mida võrguühenduse pakkuja kasutas.

17      P. Breyer esitas Saksa halduskohtutele kaebuse, et keelataks kas Saksamaa Liitvabariigil ise või kolmandate isikute vahendusel salvestada pärast Saksamaa föderaalasutuste elektrooniliste teabe- ja sideteenuste veebilehtedele toimunud ühenduse lõppu selle süsteemi hosti IP‑aadress, millelt P. Breyer veebilehti külastas, välja arvatud juhul, kui see on vajalik elektrooniliste teabe‑ ja sideteenuste kättesaadavuse taastamiseks rikke korral.

18      P. Breyeri kaebus jäeti esimeses astmes rahuldamata ja ta esitas selle kohtuotsuse peale apellatsioonkaebuse.

19      Apellatsioonikohus muutis osaliselt seda otsust. See kohustas Saksamaa Liitvabariigil ise või kolmandate isikute vahendusel lõpetama selle, et salvestatakse P. Preyeri süsteemi hosti IP-aadress, mis edastati siis, kui P. Breyer tutvus Saksamaa föderaalasutuste elektrooniliste teabe- ja sideteenuste veebilehtedega, kui seda aadressi salvestatakse koos külastamise kuupäevaga, millega see aadress on seotud, ja kui P. Breyer avaldas selle külastuse käigus oma isikuandmed, sealhulgas elektronposti aadressi kujul, mis mainib tema isikuandmeid, tingimusel et andmete säilitamine ei ole tingimata vajalik sideteenuse kättesaadavuse taastamiseks.

20      Apellatsioonikohtu sõnul kujutab dünaamiline IP-aadress koos külastamise kuupäevaga, millega see aadress on seotud, olukorras, kui kõnealuse veebilehe kasutaja avaldas selle külastuse käigus oma isiku, endast isikuandmeid, kuna selle veebilehe operaator võib kasutaja tuvastada, kui ta ühendab tema nime ja tema arvuti IP‑aadressi.

21      Apellatsioonikohus leidis, et P. Breyeri kaebust ei tule siiski ülejäänud osas rahuldada. Kui P. Breyer ei märgi oma isikut külastamise käigus, saab üksnes internetiühenduse pakkuja seostada IP‑aadressi kindla abonendiga. Seevastu ei ole IP‑aadress Saksamaa Liitvabariigi kui elektrooniliste teabe- ja sideteenuste pakkuja käes isikuandmed, isegi koostoimes sellega seotud külastamise kuupäevaga, kuna kõnealuste veebilehtede kasutaja ei ole sellele liikmesriigi jaoks tuvastatav.

22      Nii P. Breyer kui ka Saksamaa Liitvabariik esitasid apellatsioonikohtu otsuse peale kassatsioonkaebuse Bundesgerichtshofile (kõrgeim üldkohus, Saksamaa). P. Breyer palub oma keelamistaotlus tervikuna rahuldada. Saksamaa Liitvabariik palub jätta taotlus rahuldamata.

23      Eelotsusetaotluse esitanud kohus täpsustab, et P. Breyeri arvuti dünaamilisi IP‑aadresse, mida Saksamaa Liitvabariik kui elektrooniliste teabe- ja sideteenuste pakkuja salvestas, tuleb vähemalt teiste logifailides salvestatud andmete kontekstis käsitada üksikandmetena materiaalsete suhete kohta, kuna need andmed annavad teavet selle kohta, et teataval kuupäeval külastati interneti kaudu teatavaid veebilehti või vaadati teatavaid andmeid.

24      Siiski ei võimalda sel viisil salvestatud andmed otseselt tuvastada P. Breyeri isikut. Põhikohtuasja veebilehtede haldajad said P. Breyeri tuvastada üksnes siis, kui tema internetiühenduse pakkuja edastas neile haldajatele andmeid selle kasutaja isiku kohta. Nende andmete määratlemine „isikuandmeteks“ sõltub seega küsimusest, kas P. Breyer oli tuvastatav.

25      Bundesgerichtshof (kõrgeim üldkohus) toob esile teoreetilised vastuolud seoses küsimusega, kas isiku tuvastatavuse kindlaksmääramiseks tuleb tugineda „objektiivsele“ või „relatiivsele“ kriteeriumile. „Objektiivse“ kriteeriumi kohaldamise tagajärjel võib selliseid andmeid nagu põhikohtuasjas käsitletavad IP‑aadressid lugeda kõnealuste veebilehtede külastamise järgselt isikuandmeteks isegi siis, kui asjaomase isiku saab kindlaks teha üksnes kolmas isik, kes siinses asjas on P. Breyeri internetiühenduse pakkuja, kes salvestas täiendavaid andmeid, mis võimaldavad ta nende IP‑aadresside abil kindlaks teha. „Relatiivse“ kriteeriumi kohaselt võib neid andmeid lugeda isikuandmeteks sellise asutuse silmis nagu P. Breyeri internetiühenduse pakkuja, kuna need võimaldavad kasutaja täpselt tuvastada (vt sellega seoses kohtuotsus, 24.11.2011, Scarlet Extended, C‑70/10, EU:C:2011:771, punkt 51), kuid need ei ole isikuandmed teiste asutuste silmis, näiteks nende veebilehtede haldajad, mida P. Breyer külastas, kuna sellel haldajal ei olnud olukorras, kui P. Breyer ei avaldanud oma isikut nende veebilehtede külastamise käigus, vajalikke andmeid tema tuvastamiseks ilma ebaproportsionaalse jõupingutuseta.

26      Juhul kui P. Breyeri arvuti dünaamilisi IP‑aadresse tuleb koostoimes külastamise kuupäevaga, millega need on seotud, lugeda isikuandmeteks, soovib eelotsusetaotluse esitanud kohus teada, kas nende IP‑aadresside säilitamine pärast selle külastuse lõppu on lubatud sama direktiivi artikli 7 punkti f alusel.

27      Sellega seoses täpsustab Bundesgerichtshof (kõrgeim üldkohus) esiteks, et elektrooniliste teabe- ja sideteenuste pakkujad võivad TMG § 15 lõike 1 kohaselt kasutaja isikuandmeid koguda ja kasutada üksnes juhul, kui see on vajalik elektrooniliste teabe- ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja selle eest arve esitamiseks. Teiseks märgib eelotsusetaotluse esitanud kohus, et Saksamaa Liitvabariigi sõnul on nende andmete säilitamine vajalik, et tagada tema poolt üldsusele kättesaadavaks tehtud elektrooniliste teabe- ja sideteenuste turvalisus ja nõuetekohane toimimine, võimaldades eelkõige ära tunda ja tõrjuda Denial-of-Service (teenuse tõkestamise rünne) ründeid, mille eesmärk on halvata nende veebilehtede toimimine, suunates massiliselt päringuid sihilikult ja koordineeritult üksikutele veebiserveritele.

28      Eelotsusetaotluse esitanud kohus märgib, et kui elektrooniliste teabe- ja sideteenuste pakkuja meetmed on niisuguste rünnete tõrjumiseks vajalikud ja osas, milles nad on selleks vajalikud, võib neid meetmeid käsitleda vajalikena „elektrooniliste teabe- ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks“ TMG § 15 alusel. Siiski toetab teoreetiline käsitlus peamiselt seisukohta, mille kohaselt esiteks veebilehe külastaja isikuandmete kogumine ja kasutamine on lubatud üksnes veebilehe konkreetse kasutamise võimaldamiseks, ja teiseks tuleb need andmed pärast konkreetse sidesessiooni lõppu kustutada, kui neid ei ole vaja arve esitamiseks. TMG § 15 lõike 1 niivõrd kitsendava tõlgendusega on aga vastuolus, kui IP‑aadresside säilitamine oleks lubatud elektrooniliste teabe- ja sideteenuste turvalisuse ja töökindluse üldiseks tagamiseks.

29      Eelotsusetaotluse esitanud kohus küsib, kas viimane tõlgendus, mida toetas apellatsioonikohus, on kooskõlas direktiivi 95/46 artikli 7 punktiga f, arvestades eelkõige kriteeriume, mille Euroopa Kohus töötas välja 24. novembri 2011. aasta kohtuotsuse ASNEF ja FECEMD (C‑468/10 ja C‑469/10, EU:C:2011:777) punktis 29 ja järgmistes punktides.

30      Neil asjaoludel otsustas Bundesgerichtshof (kõrgeim üldkohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas direktiivi 95/46 artikli 2 punkti a tuleb tõlgendada nii, et internetiprotokolli aadress (IP-aadress), mida [elektrooniliste teabe- ja sideteenuste] osutaja seoses juurdepääsuga oma veebileheküljele salvestab, kujutab endast teenuseosutaja jaoks isikuandmeid juba hetkest, kui kolmandal isikul (käesolevas kohtuasjas ühenduse pakkuja) on olemas andmesubjekti tuvastamiseks vajalik lisateave?

2.      Kas [selle direktiivi] artikli 7 punktiga f on vastuolus siseriiklik säte, mille kohaselt võib [elektrooniliste teabe- ja sideteenuste] osutaja koguda ja kasutada kasutaja isikuandmeid ilma tema nõusolekuta üksnes juhul, kui see on vajalik kasutaja poolt elektrooniliste teabe- ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja arve esitamiseks ja mille kohaselt ei saa elektrooniliste teabe- ja sideteenuste üldise toimimise tagamise eesmärk õigustada andmete kasutamist pärast vastava side toimumist?“

 Eelotsuse küsimuste analüüs

 Esimene küsimus

31      Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas direktiivi 95/46 artikli 2 punkti a tuleb tõlgendada nii, et elektrooniliste teabe- ja sideteenuste pakkuja poolt dünaamilise IP‑aadressi salvestamine hetkel, kui isik külastab veebilehte, mille see pakkuja teeb üldsusele kättesaadavaks, kujutab selle pakkuja suhtes nimetatud sätte tähenduses isikuandmeid, kui üksnes ühel kolmandal isikul, siinses asjas külastuse teinud isiku internetiühenduse pakkujal on olemas vajalik täiendav teave, et külastuse teinud isik tuvastada.

32      Nimetatud sätte kohaselt on „isikuandmed“ „igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta“. Selle sätte kohaselt tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identsusele omase joone põhjal.

33      Esmalt tuleb märkida, et 24. novembri 2011. aasta kohtuotsuse Scarlet Extended (C‑70/10, EU:C:2011:771) punktis 51, mis puudutas eeskätt sama direktiivi tõlgendamist, märkis Euroopa Kohus sisuliselt, et internetikasutajate IP‑aadressid on kaitstud isikuandmed, kuna need võimaldavad kasutajaid täpselt tuvastada.

34      Euroopa Kohtu selline kinnitus puudutas siiski olukorda, kus kasutajate IP‑aadresse koguvad ja tuvastavad internetiühenduse pakkujad.

35      Siinses asjas puudutab esimene küsimus aga olukorda, kus elektrooniliste teabe- ja sideteenuste pakkuja, see tähendab Saksamaa Liitvabariik, salvestab tema poolt üldsusele kättesaadavaks tehtud veebilehe kasutajate IP‑aadresse, omamata täiendavaid andmeid nende kasutajate tuvastamiseks.

36      Lisaks ei ole vaidlust, et IP‑aadressid, millele eelotsusetaotluse esitanud kohus viitab, on „dünaamilised“ IP‑aadressid, see tähendab need ajutised aadressid, mis määratakse igaks internetiühenduseks ja mis asendatakse järgmiste ühenduste korral; tegu ei ole „staatiliste“ IP‑aadressidega, mis on muutumatud ja võimaldavad püsivalt tuvastada võrku ühendatud vahendit.

37      Eelotsusetaotluse esitanud kohtu esimene küsimus tugineb eeldusele, et esiteks andmed, mille hulgas on dünaamiline IP‑aadress ja sellelt IP‑aadressilt veebilehele tehtud külastuse kuupäev ja kellaaeg, mille elektrooniliste teabe- ja sideteenuste pakkuja salvestab, ei anna iseenesest teenusepakkujale võimalust tuvastada kasutajat, kes külastas kõnealust veebilehte selle külastussessiooni ajal, ja et teiseks on seevastu internetiühenduse pakkujal täiendavad andmed, mis ühendatuna selle IP‑aadressiga võimaldaksid selle kasutaja tuvastada.

38      Sellega seoses tuleb esmalt märkida, et vaidlust ei ole selles, et dünaamiline IP‑aadress ei kujuta endast teavet, mis puudutab „tuvastatud füüsilist isikut“, kuna selle aadressi põhjal ei selgu otse selle füüsilise isiku identiteet, kellele kuulub arvuti, millest külastati veebilehte, ega ka ühegi teise isiku oma, kes seda arvutit võis kasutada.

39      Määramaks kindlaks, kas dünaamiline IP‑aadress kujutab endast käesoleva kohtuotsuse punktis 37 kirjeldatud olukorras direktiivi 96/45 artikli 2 punkti a tähenduses isikuandmeid elektrooniliste teabe- ja sideteenuste pakkuja suhtes, tuleb kontrollida, kas selle IP-aadressi, mida nimetatud teenusepakkuja salvestab, võib määratleda teabena, mis on seotud „tuvastatava füüsilise isikuga“, kui selle teenusepakkuja poolt üldsusele kättesaadavaks tehtud veebilehe kasutaja tuvastamiseks vajalik täiendav info on selle kasutaja internetiühenduse pakkuja valduses.

40      Sellega seoses ilmneb direktiivi 95/46 artikli 2 punkti a sõnastusest, et tuvastatav on isik, kelle saab tuvastada mitte üksnes otseselt, vaid ka kaudselt.

41      Liidu seadusandja poolt sõna „kaudselt“ kasutamisega soovitakse näidata, et isikuandmeteks määratlemiseks ei pea need andmed ise võimaldama kõnealust isikut tuvastada.

42      Lisaks on direktiivi 95/46 põhjenduses 26 märgitud, et isiku tuvastatavuse kindlakstegemisel tuleb arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib andmesubjekti tuvastamiseks tõenäoliselt kasutada.

43      Kuna see põhjendus viitab vahenditele, mida vastutav töötleja või „keegi muu“ võib tõenäoliselt kasutada, siis viitab see sõnastus sellele, et nimetatud direktiivi artikli 2 punkti a tähenduses „isikuandmeteks“ määratlemisel ei ole nõutud, et kõik isikut tuvastada võimaldavad andmed oleksid ühe isiku valduses.

44      Asjaolu, et veebilehe kasutaja tuvastamiseks vajalikud täiendavad andmed ei ole mitte elektrooniliste teabe- ja sideteenuste pakkuja valduses, vaid selle kasutaja internetiühenduse pakkuja valduses, ei näi seega välistavat, et elektrooniliste teabe- ja sideteenuste pakkuja poolt salvestatud dünaamilised IP-aadressid on selle teenusepakkuja jaoks isikuandmed direktiivi 95/46 artikli 2 punkti a tähenduses.

45      Sellegipoolest tuleb kindlaks määrata, kas võimalus ühendada dünaamilist IP-aadressi täiendava teabega, mis on internetiühenduse pakkuja valduses, kujutab endast meedet, mida võidakse tõenäoliselt kasutada kõnealuse isiku tuvastamiseks.

46      Nii nagu märkis sisuliselt kohtujurist oma ettepaneku punktis 68, ei ole olukord selline juhul, kui asjaomase isiku tuvastamine oleks seadusega keelatud või praktiliselt teostamatu, kuna see nõuaks nii ajaliselt, majanduslikult kui ka inimressursside poolest ülemäärast jõupingutust, nii et tuvastamise risk näib tegelikkuses olevat olematu.

47      Kuigi eelotsusetaotluse esitanud kohus täpsustab oma otsuses, et Saksa õigus ei luba internetiühenduse pakkujal edastada otse elektrooniliste teabe- ja sideteenuste pakkujale täiendavaid andmeid, mis on vajalikud asjaomase isiku tuvastamiseks, siis näib sellegipoolest – tingimusel, et seda kontrollib nimetatud kohus –, et esinevad seaduslikud vahendid, mis võimaldavad elektrooniliste teabe- ja sideteenuste pakkujal pöörduda eelkõige küberrünnete korral pädeva asutuse poole, et see teeks vajalikud toimingud, et saada internetiühenduse pakkujalt neid andmeid ja algataks kriminaalmenetluse.

48      Nii näib, et elektrooniliste teabe- ja sideteenuste pakkujal on vahendeid, mida ta tõenäoliselt saab rakendada, et tuvastada teiste isikute, see tähendab pädeva asutuse ja internetiühenduse pakkuja abil isik, kes on seotud salvestatud IP‑aadressidega.

49      Kõiki eelnevaid kaalutlusi silmas pidades tuleb esimesele küsimusele vastata, et direktiivi 95/46 artikli 2 punkti a tuleb tõlgendada nii, et elektrooniliste teabe- ja sideteenuste pakkuja poolt dünaamilise IP‑aadressi salvestamine hetkel, kui isik külastab veebilehte, mille see teenusepakkuja teeb üldsusele kättesaadavaks, kujutab selle teenusepakkuja suhtes nimetatud sätte tähenduses isikuandmeid, kui tal on seaduslikud vahendid, mis võimaldavad kõnealuse isiku tuvastada tänu täiendavale teabele, mis on selle isiku internetiühenduse pakkuja valduses.

 Teine küsimus

50      Teise küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas direktiivi 95/46 artikli 7 punkti f tuleb tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mille alusel elektrooniliste teabe- ja sideteenuste pakkuja võib koguda ja kasutada nende teenuste kasutaja isikuandmeid ilma tema nõuseolekuta üksnes siis, kui selline kogumine ja kasutamine on vajalik kasutaja poolt elektrooniliste teabe‑ ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja arve esitamiseks, ilma et elektrooniliste teabe‑ ja sideteenuste üldise toimimise tagamise eesmärk võiks õigustada andmete kasutamist pärast vastava side toimumist.

51      Enne sellele küsimusele vastamist tuleb kindlaks teha, ega põhikohtuasjas käsitletud isikuandmete, see tähendab teatud Saksa föderaalasutuste veebilehtede külastajate dünaamiliste IP‑aadresside töötlemine ei ole välistatud direktiivi 95/46 kohaldamisalast selle direktiivi artikli 3 lõike 2 esimese taande alusel, mille kohaselt seda direktiivi ei kohaldata isikuandmete töötlemise suhtes, kui see on seotud riigi toimingutega kriminaalõiguse valdkonnas.

52      Sellega seoses tuleb meenutada, et nimetatud sättes näitena mainitud tegevused on kõigil juhtudel seotud riigi või riigiasutuste tegevusega, mis ei ole seotud üksikisikute tegevusega (vt kohtuotsused, 6.11.2003, Lindqvist, C‑101/01, EU:C:2003:596, punkt 43, ja 16.12.2008, Satakunnan Markkinapörssi ja Satamedia, C‑73/07, EU:C:2008:727, punkt 41).

53      Ehkki seda peab kontrollima eelotsusetaotluse esitanud kohus, siis näib, et põhikohtuasjas tegutsesid Saksamaa föderaalasutused, kes pakuvad elektroonilisi teabe- ja sideteenuseid ja vastutavad dünaamiliste IP‑aadresside töötlemise eest, oma avaliku asutuse seisundile vaatamata eraisikutena ja väljaspool riigi toiminguid karistusõiguse valdkonnas.

54      Seetõttu tuleb kindlaks määrata, kas sellised liikmesriigi õigusnormid, nagu on käsitlusel põhikohtuasjas, on kooskõlas direktiivi 95/46 artikli 7 punktiga f.

55      Selleks tuleb meenutada, et põhikohtuasjas käsitletud liikmesriigi õigusnormid, mida on tõlgendatud kitsendavalt, nagu viitas eelotsusetaotluse esitanud kohus, lubavad nende teenuste kasutaja isikuandmete kogumist ja kasutamist ilma tema nõusolekuta üksnes määral, mil see on vajalik kõnealuse kasutaja poolt elektrooniliste teabe‑ ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja arve esitamiseks; nende kohaselt ei saa elektrooniliste teabe‑ ja sideteenuste üldise toimimise tagamise eesmärk õigustada andmete kasutamist pärast vastava side toimumist.

56      Direktiivi 95/46 artikli 7 punkti f kohaselt on isikuandmete töötlemine seaduslik ainult siis, kui „töötlemine on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles direktiivi artikli 1 lõike 1 kohaselt kaitstavate andmesubjekti põhiõiguste ja -vabadustega seotud huvid“.

57      Tuleb meenutada, et Euroopa Kohus on järeldanud, et selle direktiivi artikkel 7 näeb ette ammendava ja piirava loetelu juhtudest, kui isikuandmete töötlemist võib pidada seaduslikuks; liikmesriigid ei saa lisada isikuandmete töötlemise seaduslikkuse kriteeriume ega kehtestada täiendavaid nõudeid, mis muudavad selles artiklis sätestatud kuuest kriteeriumist mõne ulatust (vt selle kohta kohtuotsus, 24.11.2011, ASNEF ja FECEMD, C‑468/10 ja C‑469/10, EU:C:2011:777, punktid 30 ja 32).

58      Kuigi direktiivi 95/46 artikkel 5 lubab liikmesriikidel üksnes selle direktiivi II peatüki sätetega – ja järelikult sama direktiivi artikliga 7 – lubatud ulatuses määrata täpsemalt kindlaks tingimused, mille puhul isikuandmete töötlemine on seaduslik, võib kaalutlusruumi, mis liikmesriikidel on nimetatud artikli 5 alusel, kasutada üksnes kooskõlas selle direktiivi eesmärgiga, mis seisneb tasakaalu säilitamises isikuandmete vaba liikumise ja eraelu kaitse vahel. Liikmesriigid ei saa kõnealuse direktiivi artikli 5 alusel kehtestada ka muid isikuandmete töötlemise seaduslikkuse kriteeriume kui neid, mis on sätestatud selle direktiivi artiklis 7 ega muuta täiendavate nõuetega nimetatud artiklis 7 sätestatud kuue kriteeriumi ulatust (vt selle kohta kohtuotsus, 24.11.2011, ASNEF ja FECEMD, C‑468/10 ja C‑469/10, EU:C:2011:777, punktid 33, 34 ja 36).

59      Käesolevas asjas näib, et kui TMG § 15 tõlgendada käesoleva kohtuotsuse punktis 55 viidatud kitsendaval viisil, oleks sellel piiratum ulatus kui direktiivi 95/46 artikli 7 punktis f sätestatud põhimõttel.

60      Kui direktiivi artikli 7 punkt f viitab üldiselt „vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimise[le]“, siis TMG § 15 lubab teenuseosutajal koguda ja kasutada teatava kasutaja isikuandmeid üksnes siis, kui see on vajalik elektrooniliste teabe‑ ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja arve esitamiseks. TMG §-ga 15 on seega üldiselt vastuolus elektrooniliste teabe- ja sideteenuste külastuskorra lõppedes isikuandmete salvestamine, et tagada nende teenuste kasutamine. Siiski võib aga Saksamaa föderaalasutustel, kes osutavad elektroonilisi teabe- ja sideteenuseid, samuti olla õigustatud huvi tagada peale nende üldsusele kättesaadavaks tehtud veebilehtede iga konkreetset külastust nende veebilehtede jätkuv toimimine.

61      Nagu märkis kohtujurist oma ettepaneku punktides 100 ja 101, ei piirdu sellised liikmesriigi õigusnormid direktiivi 95/46 artikli 7 punktis f esineva mõiste „õigustatud huvi“ täpsustamisega vastavalt nimetatud direktiivi artiklile 5.

62      Sellega seoses tuleb ka meenutada, et selle direktiivi artikli 7 punktiga f on vastuolus, kui liikmesriik välistab kategooriliselt ja üldiselt teatud isikuandmete kategooriate töötlemise, ilma et oleks lubatud kaaluda konkreetsel juhtumil vastanduvaid õigusi ja huve. Liikmesriik ei saa seega nende kategooriate osas lõplikult ette näha vastanduvate õiguste ja huvide kaalumise tulemust, ilma et oleks lubatud konkreetse juhtumi erilistest asjaoludest lähtuv erinev tulemus (vt selle kohta kohtuotsus, 24.11.2011, ASNEF ja FECEMD, C‑468/10 ja C‑469/10, EU:C:2011:777, punktid 47 ja 48).

63      Põhikohtuasjas käsitletud õigusnormid piiravad aga elektrooniliste teabe- ja sideteenuste kasutajate isikuandmete töötlemisega seoses direktiivi 95/46 artikli 7 punktis f sätestatud põhimõtte ulatust, välistades selle, et elektrooniliste teabe‑ ja sideteenuste üldise toimimise tagamise eesmärki võiks kaaluda nende kasutajate huvide või põhiõiguste ja -vabadustega, mida vastavalt sellele sättele tuleb selle direktiivi artikli 1 lõike 1 alusel kaitsta.

64      Kõigi eelnevate kaalutluste põhjal tuleb teisele küsimusele vastata, et direktiivi 95/46 artikli 7 punkti f tuleb tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mille alusel elektrooniliste teabe- ja sideteenuste pakkuja võib koguda ja kasutada nende teenuste kasutaja isikuandmeid ilma tema nõusolekuta üksnes siis, kui selline kogumine ja kasutamine on vajalik kasutaja poolt elektrooniliste teabe‑ ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja arve esitamiseks, ilma et elektrooniliste teabe- ja sideteenuste üldise toimimise tagamise eesmärk võiks õigustada andmete kasutamist pärast vastava side toimumist.

 Kohtukulud

65      Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse siseriiklik kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (teine koda) otsustab:

1.      Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 2 punkti a tuleb tõlgendada nii, et elektrooniliste teabe- ja sideteenuste pakkuja poolt dünaamilise IP‑aadressi salvestamine hetkel, kui isik külastab veebilehte, mille see teenusepakkuja teeb üldsusele kättesaadavaks, kujutab selle teenusepakkuja suhtes nimetatud sätte tähenduses isikuandmeid, kui tal on seaduslikud vahendid, mis võimaldavad kõnealust isikut tuvastada tänu täiendavale teabele, mis on selle isiku internetiühenduse pakkuja valduses.

2.      Direktiivi 95/46 artikli 7 punkti f tuleb tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mille alusel elektrooniliste teabe- ja sideteenuste pakkuja võib koguda ja kasutada nende teenuste kasutaja isikuandmeid ilma tema nõusolekuta üksnes siis, kui selline kogumine ja kasutamine on vajalik kasutaja poolt elektrooniliste teabe‑ ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja arve esitamiseks, ilma et elektrooniliste teabe- ja sideteenuste üldise toimimise tagamise eesmärk võiks õigustada andmete kasutamist pärast vastava side toimumist.

Allkirjad


* Kohtumenetluse keel: saksa.