CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2016:339

ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ

MANUEL CAMPOS SÁNCHEZ-BORDONA

της 12ης Μαΐου 2016 (1)

Υπόθεση C‑582/14

Patrick Breyer

κατά

Bundesrepublik Deutschland

[αίτηση του Bundesgerichtshof (Γερμανία)
για την έκδοση προδικαστικής αποφάσεως]

«Επεξεργασία δεδομένων προσωπικού χαρακτήρα – Οδηγία 95/46/ΕΚ – Άρθρο 2, στοιχείο αʹ, και άρθρο 7, στοιχείο στʹ – Έννοια “δεδομένων προσωπικού χαρακτήρα” – Διευθύνσεις IP – Αποθήκευση από φορέα παροχής τηλεμέσων – Εθνική κανονιστική ρύθμιση η οποία δεν επιτρέπει τη συνεκτίμηση του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας»

1. Διεύθυνση πρωτοκόλλου του διαδικτύου (στο εξής: διεύθυνση ΙΡ) είναι μια ακολουθία δυαδικών αριθμών η οποία όταν αποδίδεται σε μια συσκευή (υπολογιστή, ταμπλέτα, έξυπνο τηλέφωνο), εξακριβώνει την ταυτότητά της και της παρέχει πρόσβαση στο δίκτυο ηλεκτρονικών επικοινωνιών. Για να συνδεθεί στο διαδίκτυο, η συσκευή πρέπει να χρησιμοποιήσει την αριθμητική ακολουθία που παρέχουν οι φορείς παροχής υπηρεσιών προσβάσεως στο διαδίκτυο. Η διεύθυνση IP διαβιβάζεται στον διακομιστή όπου είναι αποθηκευμένη η ιστοσελίδα αντικείμενο της αναζητήσεως.

2. Ειδικότερα, οι φορείς παροχής υπηρεσιών προσβάσεως στο διαδίκτυο (γενικά, οι τηλεφωνικές εταιρίες) παρέχουν στους πελάτες τους τις λεγόμενες «δυναμικές διευθύνσεις IP», προσωρινά, για κάθε σύνδεση στο διαδίκτυο, τις οποίες αλλάζουν επ’ ευκαιρία επόμενων συνδέσεων. Οι εν λόγω εταιρίες τηρούν μητρώο στο οποίο καταγράφεται η διεύθυνση IP την οποία αντιστοιχούν, ανά πάσα στιγμή, σε συγκεκριμένη συσκευή (2).

3. Οι κάτοχοι των δικτυακών τόπων στους οποίους παρέχεται πρόσβαση μέσω των δυναμικών διευθύνσεων IP συνηθίζουν επίσης να τηρούν μητρώα στα οποία καταγράφονται οι σελίδες που προσπελάστηκαν, η διάρκεια της επισκέψεως και η δυναμική διεύθυνση IP από την οποία πραγματοποιήθηκε η προσπέλαση. Από τεχνική άποψη, τα εν λόγω μητρώα μπορούν να διατηρηθούν χωρίς χρονικούς περιορισμούς μετά το πέρας της συνδέσεως κάθε χρήστη στο διαδίκτυο.

4. Η δυναμική διεύθυνση IP δεν αρκεί από μόνη της για να μπορέσει ο φορέας παροχής των υπηρεσιών να εξακριβώσει την ταυτότητα του χρήστη της σελίδας του στο διαδίκτυο. Εντούτοις, η εξακρίβωση της ταυτότητας είναι εφικτή εάν η δυναμική διεύθυνση IP συνδυαστεί με άλλα πρόσθετα δεδομένα τα οποία διαθέτει ο φορέας παροχής προσβάσεως στο διαδίκτυο.

5. Στη διαφορά της κύριας δίκης αμφισβητείται κατά πόσον οι δυναμικές διευθύνσεις IP αποτελούν δεδομένο προσωπικού χαρακτήρα, κατά το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46/ΕΚ (3). Η απάντηση προϋποθέτει να καθορισθεί προηγουμένως η λυσιτέλεια για τον σκοπό αυτό του γεγονότος ότι τα πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του χρήστη δεν βρίσκονται στη διάθεση του κατόχου του δικτυακού τόπου, αλλά τρίτου (συγκεκριμένα, του φορέα παροχής της υπηρεσίας προσβάσεως στο διαδίκτυο).

6. Το ερώτημα υποβάλλεται για πρώτη φορά στο Δικαστήριο, καθόσον στη σκέψη 51 της αποφάσεως που εξέδωσε στην υπόθεση Scarlet Extended (4) το Δικαστήριο αποφάνθηκε μεν ότι οι διευθύνσεις IP «συνιστούν δεδομένα προσωπικού χαρακτήρα καθόσον καθιστούν δυνατή την πλήρη αναγνώριση των εν λόγω χρηστών», αλλά σε πλαίσιο στο οποίο η συλλογή και η εξακρίβωση της ταυτότητας των διευθύνσεων IP πραγματοποιούνταν από τον φορέα παροχής προσβάσεως στο διαδίκτυο (5), και όχι από πάροχο περιεχομένου, όπως συμβαίνει εν προκειμένω.

7. Εάν οι δυναμικές διευθύνσεις IP αποτελούν για τον φορέα παροχής υπηρεσιών διαδικτύου δεδομένα προσωπικού χαρακτήρα, θα πρέπει να εξετασθεί ακολούθως κατά πόσον η επεξεργασία τους εμπίπτει στο πεδίο εφαρμογής της οδηγίας 95/46.

8. Ενδέχεται, ακόμη και αν συνιστούν δεδομένα προσωπικού χαρακτήρα, να μην απολαύουν της προστασίας που παρέχει η οδηγία 95/46 εάν, για παράδειγμα, σκοπός της επεξεργασίας τους είναι η άσκηση ποινικών διώξεων κατά ενδεχόμενων δραστών επιθέσεων κατά της ιστοσελίδας. Στην περίπτωση αυτή, η οδηγία 95/46 δεν τυγχάνει εφαρμογής, βάσει του άρθρου 3, παράγραφος 2, πρώτη περίπτωση.

9. Επιπλέον, πρέπει να αποσαφηνιστεί κατά πόσον ο φορέας παροχής υπηρεσιών που καταγράφει τις δυναμικές διευθύνσεις IP όταν χρήστης αποκτά πρόσβαση στις ιστοσελίδες του (εν προκειμένω, η Ομοσπονδιακή Δημοκρατία της Γερμανίας) ενεργεί ως δημόσια αρχή ή ως ιδιώτης.

10. Τέλος, εάν τυγχάνει εφαρμογής η οδηγία 95/46, πρέπει να διευκρινισθεί σε ποιον βαθμό συνάδει με το άρθρο 7, στοιχείο στʹ, αυτής εθνική κανονιστική ρύθμιση η οποία περιορίζει την εμβέλεια μίας εκ των προϋποθέσεων που τίθενται σε αυτό προκειμένου να δικαιολογηθεί η επεξεργασία δεδομένων προσωπικού χαρακτήρα.

I – Νομοθετικό πλαίσιο

Δίκαιο της Ένωσης

11. Η αιτιολογική σκέψη 26 της οδηγίας 95/46 έχει ως εξής:

«(26) ότι οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία του αφορά πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί· ότι, για να διαπιστωθεί αν η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνεται υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν, είτε από τον υπεύθυνο της επεξεργασίας, είτε από τρίτο, για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου· ότι οι αρχές της προστασίας δεν εφαρμόζονται σε δεδομένα που έχουν καταστεί ανώνυμα, κατά τρόπο ώστε να μην μπορεί να εξακριβωθεί πλέον η ταυτότητα του προσώπου στο οποίο αναφέρονται· ότι οι κώδικες δεοντολογίας κατά την έννοια του άρθρου 27 μπορούν να αποτελέσουν χρήσιμο μέσο για την παροχή στοιχείων ως προς τον τρόπο κατά τον οποίο τα δεδομένα μπορούν να καταστούν ανώνυμα και να φυλάσσονται με μορφή που δεν επιτρέπει πλέον να εξακριβωθεί η ταυτότητα του προσώπου στο οποίο αναφέρονται».

12. Κατά το άρθρο 1 της οδηγίας 95/46:

«1. Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

2. Τα κράτη μέλη δεν μπορούν να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1.»

13. Κατά το άρθρο 2 της οδηγίας 95/46:

«Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:

α) “δεδομένα προσωπικού χαρακτήρα”, κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί “το πρόσωπο στο οποίο αναφέρονται τα δεδομένα”· ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη·

β) “επεξεργασία δεδομένων προσωπικού χαρακτήρα” “επεξεργασία”, κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή·

[…]

δ) “υπεύθυνος της επεξεργασίας”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται από νομοθετικές ή κανονιστικές διατάξεις, εθνικές ή κοινοτικές, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να καθορίζονται από το εθνικό ή το κοινοτικό δίκαιο·

[…]

στ) “τρίτοι”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας, εκτός από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο εκτελών την επεξεργασία καθώς και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία ή για λογαριασμό του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα·

[…]».

14. Υπό τον τίτλο «Πεδίο εφαρμογής», το άρθρο 3 της οδηγίας 95/46 ορίζει τα εξής:

«1. Οι διατάξεις της παρούσας οδηγίας εφαρμόζονται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.

2. Οι διατάξεις της παρούσας οδηγίας δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

– η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI της συνθήκης για την Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, στην επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης και της οικονομικής ευημερίας του, εφόσον η επεξεργασία αυτή συνδέεται με θέματα ασφάλειας του κράτους) και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου·

[…]».

15. Το κεφάλαιο II της οδηγίας 95/46, με τίτλο «Γενικές προϋποθέσεις σχετικά με τη θεμιτή επεξεργασία δεδομένων προσωπικού χαρακτήρα», ξεκινά με το άρθρο 5, κατά το οποίο «[τ]α κράτη μέλη καθορίζουν, εντός των ορίων του παρόντος κεφαλαίου, τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη».

16. Κατά το άρθρο 6 της οδηγίας 95/46:

«1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει:

α) να υφίστανται σύννομη και θεμιτή επεξεργασία·

β) να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και η μεταγενέστερη επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς. Η μεταγενέστερη επεξεργασία για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δεν θεωρείται ασυμβίβαστη εφόσον τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις·

γ) να είναι κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται και υφίστανται επεξεργασία·

δ) να είναι ακριβή και, εφόσον χρειάζεται, να ενημερώνονται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα ανακριβή ή ελλιπή σε σχέση με τους σκοπούς για τους οποίους έχουν συλλεγεί ή υφίστανται κατόπιν επεξεργασία, να διαγράφονται ή να διορθώνονται·

ε) να διατηρούνται με μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται μόνο κατά τη διάρκεια περιόδου που δεν υπερβαίνει την απαιτούμενη για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί ή για τους οποίους αργότερα υφίστανται επεξεργασία. Τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις για τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται πέραν της περιόδου αυτής για σκοπούς ιστορικούς, στατιστικούς ή επιστημονικούς.

2. Εναπόκειται στον υπεύθυνο της επεξεργασίας να εξασφαλίσει την τήρηση της παραγράφου 1.»

17. Κατά το άρθρο 7 της οδηγίας 95/46:

«Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του ή

β) είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το ενδιαφερόμενο πρόσωπο είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων αιτήσει του ή

γ) είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας ή

δ) είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα ή

ε) είναι απαραίτητη για την εκπλήρωση έργου δημοσίου συμφέροντος ή εμπίπτοντος στην άσκηση δημοσίας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας ή στον τρίτο στον οποίο ανακοινώνονται τα δεδομένα ή

στ) είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1 παράγραφος 1 της παρούσας οδηγίας.»

18. Κατά το άρθρο 13 της οδηγίας 95/46:

«1. Τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια των υποχρεώσεων και δικαιωμάτων που προβλέπονται από τις διατάξεις του άρθρου 6 παράγραφος 1, του άρθρου 10, του άρθρου 11 παράγραφος 1 και των άρθρων 12 και 21, όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη:

α) της ασφάλειας του κράτους·

β) της άμυνας·

γ) της δημόσιας ασφάλειας·

δ) της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων·

ε) σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων·

στ) αποστολής ελέγχου, επιθεώρησης ή ρυθμιστικών καθηκόντων που συνδέονται, έστω και ευκαιριακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία γ), δ) και ε)·

ζ) της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων.

[…]»

Εθνικό δίκαιο

19. Το άρθρο 12 του Telemediengesetz (νόμος περί τηλεμέσων· στο εξής: TMG) (6) ορίζει τα εξής:

«1. Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα προκειμένου να καταστεί δυνατή η πρόσβαση σε τηλεμέσα μόνον υπό τους όρους του παρόντος νόμου ή άλλης διατάξεως νόμου που ρυθμίζει ρητώς τα τηλεμέσα ή εφόσον έχει συναινέσει ο χρήστης.

2. Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα προκειμένου να καταστεί δυνατή η πρόσβαση σε τηλεμέσα μόνον υπό τους όρους του παρόντος νόμου ή άλλης διατάξεως νόμου που ρυθμίζει ρητώς τα τηλεμέσα ή εφόσον έχει συναινέσει ο χρήστης.

3. Εφόσον δεν ορίζεται διαφορετικά, εφαρμόζονται οι εκάστοτε ισχύουσες διατάξεις για την προστασία δεδομένων προσωπικού χαρακτήρα, ακόμη και εάν τα δεδομένα δεν υπόκεινται σε αυτοματοποιημένη επεξεργασία.»

20. Κατά το άρθρο 15 του TMG:

«1. Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα των χρηστών μόνον εφόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η χρήση τηλεμέσων (δεδομένα χρήσεως). Δεδομένα χρήσεως είναι ιδίως:

1° στοιχεία για την εξακρίβωση της ταυτότητας του χρήστη·

2° δεδομένα για την έναρξη, τη λήξη καθώς και την έκταση της εκάστοτε χρήσεως και

3° δεδομένα σχετικά με τα τηλεμέσα που χρησιμοποιήθηκαν από τον χρήστη.

2. Οι φορείς παροχής υπηρεσιών δύνανται να συγκεντρώνουν δεδομένα χρήσεως σχετικά με τη χρήση διάφορων τηλεμέσων από συγκεκριμένο χρήστη μόνον εφόσον τούτο είναι αναγκαίο για σκοπούς τιμολογήσεως του χρήστη.

[…]

4. Οι φορείς παροχής υπηρεσιών δύνανται να χρησιμοποιούν δεδομένα χρήσεως μετά τη λήξη της χρήσεως μόνον εφόσον τούτο είναι αναγκαίο για σκοπούς τιμολογήσεως του χρήστη (δεδομένα τιμολογήσεως). Οι φορείς παροχής υπηρεσιών δύνανται να ενεργοποιούν φραγή δεδομένων, εφόσον τούτο απαιτείται για την τήρηση περιόδου διατηρήσεως των δεδομένων προσωπικού χαρακτήρα που προβλέπεται σε νόμο, καταστατικό ή σύμβαση [...]».

21. Βάσει του άρθρου 3, παράγραφος 1, του Bundesdatenschutzgesetz (ομοσπονδιακός νόμος για την προστασία δεδομένων προσωπικού χαρακτήρα· στο εξής BDSG) (7), «[ω]ς δεδομένα προσωπικού χαρακτήρα λογίζονται τα συγκεκριμένα στοιχεία για τις προσωπικές ή αντικειμενικές συνθήκες ορισμένου ή προσδιορίσιμου φυσικού προσώπου (θιγόμενος) [...]».

II – Πραγματικά περιστατικά

22. Ο P. Breyer άσκησε κατά της Ομοσπονδιακής Δημοκρατίας της Γερμανίας αγωγή παραλείψεως σχετικά με την αποθήκευση διευθύνσεων IP.

23. Πολλοί δημόσιοι φορείς στη Γερμανία διατηρούν ελεύθερα προσβάσιμες στο κοινό διαδικτυακές πύλες στις οποίες γνωστοποιούν πληροφορίες από την επικαιρότητα. Με σκοπό την αποτροπή επιθέσεων και τη διευκόλυνση της ποινικής διώξεως των επιτιθέμενων καταγράφεται στις περισσότερες από τις πύλες αυτές κάθε πρόσβαση σε αρχεία πρωτοκόλλου. Σε αυτά αποθηκεύονται, ακόμη και μετά τη λήξη της εκάστοτε χρήσεως, το όνομα του αρχείου ή της ιστοσελίδας που τηλεφορτώθηκε, οι έννοιες που αναζητήθηκαν, ο χρόνος της τηλεφορτώσεως, η ποσότητα των δεδομένων που μεταφέρθηκαν, η αναφορά κατά πόσον ήταν επιτυχής η τηλεφόρτωση και η διεύθυνση ΙΡ του υπολογιστή που πραγματοποίησε την πρόσβαση.

24. Ο P. Breyer, ο οποίος επισκέφθηκε διάφορες τέτοιες σελίδες, ζήτησε με την αγωγή του να υποχρεωθεί η Ομοσπονδιακή Δημοκρατία της Γερμανίας να παύσει να αποθηκεύει ή να αναθέτει σε τρίτους να αποθηκεύουν μετά τη λήξη της εκάστοτε χρήσεως τη διεύθυνση ΙΡ του συστήματος υποδοχής («host system») από το οποίο είχε πρόσβαση, εφόσον η αποθήκευση δεν είναι αναγκαία για την αποκατάσταση της διαθεσιμότητας του τηλεμέσου σε περίπτωση βλάβης.

25. Η αγωγή του P. Breyer απορρίφθηκε σε πρώτο βαθμό. Εντούτοις, η έφεσή του έγινε εν μέρει δεκτή, και η Ομοσπονδιακή Δημοκρατία της Γερμανίας υποχρεώθηκε να παύσει να αποθηκεύει [διευθύνσεις ΙΡ] μετά τη λήξη της εκάστοτε χρήσεως. Η διαταγή παραλείψεως τελούσε υπό την προϋπόθεση ότι ο ενάγων δηλώνει στο πλαίσιο της χρήσεως τα προσωπικά του στοιχεία, ακόμη και με τη μορφή διευθύνσεως ηλεκτρονικού ταχυδρομείου, και ότι η αποθήκευση δεν είναι αναγκαία για την αποκατάσταση της διαθεσιμότητας του τηλεμέσου.

III – Προδικαστικά ερωτήματα

26. Κατόπιν ασκήσεως αναιρέσεως από αμφοτέρους τους διαδίκους, το τμήμα VI του Bundesgerichtshof (Ανώτατο Αστικό και Ποινικό Δικαστήριο, Γερμανία) υπέβαλε τα ακόλουθα προδικαστικά ερωτήματα, τα οποία κατατέθηκαν στις 17 Δεκεμβρίου 2014:

«1) Πρέπει το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46/ΕΚ […] να ερμηνευθεί υπό την έννοια ότι η διεύθυνση πρωτοκόλλου του διαδικτύου (ΙΡ) την οποία αποθηκεύει φορέας παροχής υπηρεσιών στο πλαίσιο προσβάσεως στην ιστοσελίδα του αποτελεί ως προς εκείνον δεδομένο προσωπικού χαρακτήρα σε περίπτωση που τρίτος (εν προκειμένω ο φορέας παροχής υπηρεσιών προσβάσεως στο διαδίκτυο) διαθέτει τα πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του θιγόμενου προσώπου;

2) Αντιτίθεται το άρθρο 7, στοιχείο στʹ, της οδηγίας για την προστασία των δεδομένων προσωπικού χαρακτήρα σε εθνική κανονιστική ρύθμιση κατά την οποία ο φορέας παροχής υπηρεσιών δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεσή τους μόνο προκειμένου, εφόσον τούτο είναι αναγκαίο, να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση του τηλεμέσου από τους εκάστοτε χρήστες, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας του τηλεμέσου δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων μετά τη λήξη της εκάστοτε χρήσεως του τηλεμέσου;»

27. Όπως εξηγεί το αιτούν δικαστήριο, ο ενάγων θα μπορούσε να απαιτήσει, βάσει του γερμανικού δικαίου, την παύση της αποθηκεύσεως των διευθύνσεων IP, εάν η διατήρησή τους συνιστά, βάσει της νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα, παράνομη προσβολή του γενικού δικαιώματός του στην προσωπικότητά του και ειδικότερα του δικαιώματος «πληροφορικής αυτοδιαθέσεως» [άρθρα 1004, παράγραφος 1, και 823, παράγραφος 1, του Bürgerliches Gesetzbuch (γερμανικός Αστικός Κώδικας), σε συνδυασμό με τα άρθρα 1 και 2 του Grundgesetz (Θεμελιώδης Νόμος)].

28. Τούτο θα συντρέχει: α) εφόσον γίνει δεκτό ότι η διεύθυνση ΙΡ αποτελεί (τουλάχιστον σε συνδυασμό με τον χρόνο προσβάσεως σε ιστοσελίδα) «δεδομένο προσωπικού χαρακτήρα» κατά το άρθρο 2, στοιχείο αʹ, σε συνδυασμό με την αιτιολογική σκέψη 26, δεύτερη περίοδος, της οδηγίας 95/46, ή κατά το άρθρο 12, παράγραφοι 1 και 3, του TMG, σε συνδυασμό με το άρθρο 3, παράγραφος 1, του BDSG, και β) εφόσον δεν συντρέχει λόγος που να καθιστά νόμιμη την αποθήκευση κατά το άρθρο της οδηγίας 95/46 ή κατά το άρθρο 12, παράγραφοι 1 και 3, και κατά το άρθρο 15, παράγραφοι 1 και 4, του TMG.

29. Κατά το Bundesgerichtshof, καθοριστικής σημασίας για την ερμηνεία της εθνικής νομοθεσίας (άρθρο 12, παράγραφος 1, του TMG) είναι το πώς θα πρέπει να γίνει αντιληπτός ο προσωπικός χαρακτήρας των δεδομένων κατά το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46.

30. Επιπλέον, το αιτούν δικαστήριο επισημαίνει ότι καθόσον, κατά το άρθρο 15, παράγραφος 1, του TMG, οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα των χρηστών μόνον εφόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η χρήση τηλεμέσων (δεδομένα χρήσεως) (8), η ερμηνεία του συγκεκριμένου κανόνα του εθνικού δικαίου συνδέεται με την ερμηνεία του άρθρου 7, στοιχείο στʹ, της οδηγίας 95/46.

IV – Η ενώπιον του Δικαστηρίου διαδικασία. Επιχειρήματα των διαδίκων

31. Η Αυστριακή, η Γερμανική και η Πορτογαλική Κυβέρνηση καθώς και η Επιτροπή υπέβαλαν γραπτές παρατηρήσεις. Μόνον η Επιτροπή και ο P. Breyer παρέστησαν στην επ’ ακροατηρίου συζήτηση της 25ης Φεβρουαρίου 2016, στην οποία αρνήθηκε να παραστεί η Γερμανική Κυβέρνηση.

Επιχειρήματα των διαδίκων επί του πρώτου προδικαστικού ερωτήματος

32. Κατά τον P. Breyer, δεδομένα προσωπικού χαρακτήρα είναι επίσης εκείνα των οποίων ο συνδυασμός είναι εφικτός μόνον από θεωρητική άποψη, δηλαδή υποθέτοντας έναν αφηρημένο δυνητικό κίνδυνο, χωρίς να έχει ιδιαίτερη σημασία εάν στην πράξη ο συγκεκριμένος συνδυασμός υλοποιείται πραγματικά. Κατ’ αυτόν, το γεγονός ότι ένας οργανισμός τελεί σε σχετική αδυναμία εξακριβώσεως της ταυτότητας φυσικού προσώπου χρησιμοποιώντας τη διεύθυνση IP δεν σημαίνει ότι δεν υφίσταται κίνδυνος για το εν λόγω φυσικό πρόσωπο. Επιπλέον, εκτιμά ότι είναι λυσιτελές το γεγονός ότι η Γερμανία διατηρεί τα προσωπικά δεδομένα IP για να εντοπίσει, ενδεχομένως, τυχόν επιθέσεις ή να κινήσει ποινικές διώξεις, όπως προβλέπεται στο άρθρο 113 του TMG και όπως έχει συμβεί κατ’ επανάληψη.

33. Κατά τη Γερμανική Κυβέρνηση, στο πρώτο ερώτημα πρέπει να δοθεί αρνητική απάντηση. Κατ’ αυτήν, οι δυναμικές διευθύνσεις IP δεν καθιστούν «γνωστή» την ταυτότητα ενός προσώπου, κατά το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46. Για να διαπιστωθεί κατά πόσον οι δυναμικές διευθύνσεις IP επιτρέπουν να «εξακριβωθεί» η ταυτότητα του φυσικού προσώπου, κατά τον ίδιο κανόνα, η συγκεκριμένη αναγνωρισιμότητα πρέπει να εξετασθεί υπό το πρίσμα «σχετικού» κριτηρίου. Κατ’ αυτήν, αυτό συνάγεται από την αιτιολογική σκέψη 26 της οδηγίας 95/46, βάσει της οποίας πρέπει να λαμβάνονται υπόψη μόνον τα μέσα που μπορούν «ευλόγως» να χρησιμοποιηθούν από τον υπεύθυνο της επεξεργασίας, ή από τρίτο, για να εξακριβωθεί η ταυτότητα ενός προσώπου. Η αποσαφήνιση αυτή υποδηλώνει ότι ο νομοθέτης της Ένωσης δεν θέλησε να υπαγάγει στο πεδίο εφαρμογής της οδηγίας 95/46 καταστάσεις στις οποίες η εξακρίβωση της ταυτότητας είναι αντικειμενικά εφικτή από οποιονδήποτε τρίτο.

34. Η Γερμανική Κυβέρνηση εκτιμά επίσης ότι η έννοια των «δεδομένων προσωπικού χαρακτήρα», κατά το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46, πρέπει να ερμηνευθεί υπό το πρίσμα του σκοπού της εν λόγω οδηγίας, δηλαδή της διασφαλίσεως του σεβασμού των θεμελιωδών δικαιωμάτων. Η αναγκαιότητα προστασίας των φυσικών προσώπων μπορεί να γίνεται αντιληπτή διαφορετικά ανάλογα με το ποιος κατέχει τα δεδομένα και κατά πόσο διαθέτει τα μέσα για να τα χρησιμοποιήσει για την εξακρίβωση της ταυτότητας.

35. Κατά τη Γερμανική Κυβέρνηση, η ταυτότητα του P. Breyer δεν μπορεί να εξακριβωθεί από τις διευθύνσεις IP σε συνδυασμό με άλλα δεδομένα τα οποία διατηρούν οι πάροχοι περιεχομένου. Κάτι τέτοιο θα προϋπέθετε τον χειρισμό των πληροφοριών που κατέχουν οι φορείς παροχής προσβάσεως στο διαδίκτυο, οι οποίοι, απουσία νομικής βάσεως, δεν μπορούν να τις παράσχουν στους παρόχους περιεχομένου.

36. Αντιθέτως, κατά την Αυστριακή Κυβέρνηση, η απάντηση πρέπει να είναι καταφατική. Σύμφωνα με την αιτιολογική σκέψη 26 της οδηγίας 95/46, για να θεωρηθεί ότι μπορεί να εξακριβωθεί η ταυτότητα ενός προσώπου δεν απαιτείται να βρίσκονται όλα τα δεδομένα εξακριβώσεως της ταυτότητάς του στα χέρια μίας και μοναδικής οντότητας. Επομένως, μια διεύθυνση IP μπορεί να είναι δεδομένο προσωπικού χαρακτήρα εάν τρίτος (όπως, για παράδειγμα, ο φορέας παροχής προσβάσεως στο διαδίκτυο) διαθέτει τα μέσα για να εξακριβώσει την ταυτότητα του κατόχου της εν λόγω διευθύνσεως, χωρίς να καταβάλει δυσανάλογες προσπάθειες.

37. Η Πορτογαλική Κυβέρνηση κλίνει επίσης υπέρ καταφατικής απαντήσεως, εκτιμώντας ότι η διεύθυνση IP, σε συνδυασμό με την ημερομηνία επισκέψεως της ιστοσελίδας, συνιστά δεδομένο προσωπικού χαρακτήρα, κατά το μέτρο που μπορεί να οδηγήσει στην εξακρίβωση της ταυτότητας του χρήστη από οντότητα διαφορετική από εκείνη που διατήρησε τη διεύθυνση IP.

38. Η Επιτροπή τάσσεται επίσης υπέρ καταφατικής απαντήσεως, στηριζόμενη στη λύση που έδωσε το Δικαστήριο στην υπόθεση Scarlet Extended (9). Κατά την Επιτροπή, δεδομένου ότι σκοπός της αποθηκεύσεως των διευθύνσεων IP είναι ακριβώς η εξακρίβωση της ταυτότητας των χρηστών σε περίπτωση επιθέσεων στον κυβερνοχώρο, η χρήση των συμπληρωματικών δεδομένων που αποθηκεύουν οι φορείς παροχής προσβάσεως στο διαδίκτυο αποτελεί μέσο το οποίο μπορεί να χρησιμοποιηθεί «ευλόγως», κατά την αιτιολογική σκέψη 26 της οδηγίας 95/46. Τέλος, κατά την Επιτροπή, τόσο ο σκοπός της εν λόγω οδηγίας όσο και τα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης) συνηγορούν υπέρ διασταλτικής ερμηνείας του άρθρου 2, στοιχείο αʹ, της οδηγίας 95/46.

Επιχειρήματα των διαδίκων επί του δεύτερου προδικαστικού ερωτήματος

39. Ο P. Breyer διατείνεται ότι το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 αποτελεί γενική ρήτρα της οποίας η πρακτική εφαρμογή απαιτεί συγκεκριμενοποίηση. Επομένως, βάσει της νομολογίας του Δικαστηρίου, πρέπει να εκτιμηθούν οι περιστάσεις της συγκεκριμένης περιπτώσεως και να καθορισθεί κατά πόσον υπάρχουν ομάδες με έννομο συμφέρον, κατά τον εν λόγω κανόνα, οπότε όχι μόνον επιτρέπεται αλλά επιβάλλεται η θέσπιση συγκεκριμένων κανόνων για τις εν λόγω ομάδες, για τον σκοπό της εφαρμογής του συγκεκριμένου άρθρου. Στην περίπτωση αυτή, κατά τον P. Breyer, η εθνική κανονιστική ρύθμιση συνάδει με το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46, καθόσον δεν υφίσταται συμφέρον της δημόσιας πύλης να διατηρήσει τα δεδομένα προσωπικού χαρακτήρα ή επειδή προέχει το συμφέρον προστασίας της ανωνυμίας. Εντούτοις, κατά τον P. Breyer, διατήρηση των δεδομένων, συστηματική και με προσωπικό χαρακτήρα, δεν συνάδει με μια δημοκρατική κοινωνία ούτε είναι αναγκαία ή αναλογική ώστε να διασφαλίζεται η λειτουργία των τηλεμέσων, η οποία είναι απολύτως εφικτή χωρίς την αποθήκευση των εν λόγω δεδομένων προσωπικού χαρακτήρα, όπως καταδεικνύεται από τους δικτυακούς τόπους ορισμένων ομοσπονδιακών υπουργείων.

40. Η Γερμανική Κυβέρνηση υποστηρίζει ότι δεν συντρέχει λόγος εξετάσεως του δεύτερου ερωτήματος, το οποίο υποβάλλεται μόνο για την περίπτωση που η απάντηση στο πρώτο ερώτημα είναι καταφατική, κάτι το οποίο, κατ’ αυτήν, δεν συμβαίνει, για τους προεκτεθέντες λόγους.

41. Η Αυστριακή Κυβέρνηση προτείνει να δοθεί στο ερώτημα η απάντηση ότι δεν αντιβαίνει γενικά στην οδηγία 95/46 η διατήρηση δεδομένων, όπως τα επίμαχα στην κύρια δίκη, όταν αυτό απαιτείται για τη διασφάλιση της ορθής λειτουργίας των τηλεμέσων. Κατά την κυβέρνηση αυτή, περιορισμένη διατήρηση της διευθύνσεως IP, πέραν της διάρκειας της επισκέψεως σε μια ιστοσελίδα, μπορεί να είναι σύννομη, εφόσον ο υπεύθυνος της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα συμμορφώνεται με την υποχρέωσή του να λαμβάνει τα μέτρα προστασίας των εν λόγω δεδομένων που προβλέπονται στο άρθρο 17, παράγραφος 1, της οδηγίας 95/46. Η καταπολέμηση των επιθέσεων στον κυβερνοχώρο μπορεί να νομιμοποιεί την ανάλυση των δεδομένων που σχετίζονται με προγενέστερες επιθέσεις καθώς και την άρνηση προσβάσεως στην ιστοσελίδα σε ορισμένες διευθύνσεις IP. Η αναλογικότητα της διατηρήσεως δεδομένων όπως τα επίμαχα στην κύρια δίκη, από την άποψη του σκοπού της διασφαλίσεως της ορθής λειτουργίας των τηλεμέσων, πρέπει να αξιολογείται κατά περίπτωση, λαμβανομένων υπόψη των αρχών που προβλέπονται στο άρθρο 6, παράγραφος 1, της οδηγίας 95/46.

42. Η Πορτογαλική Κυβέρνηση υποστηρίζει ότι οι εθνικοί κανόνες που εξετάζονται στην κύρια δίκη δεν αντιβαίνουν στο άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46, καθόσον ο Γερμανός νομοθέτης στάθμισε ήδη, όπως προβλέπεται στον εν λόγω κανόνα, αφενός, τα έννομα συμφέροντα του υπευθύνου της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και, αφετέρου, τα δικαιώματα και τις ελευθερίες των κατόχων των εν λόγω δεδομένων.

43. Κατά την Επιτροπή, η εθνική κανονιστική ρύθμιση η οποία ενσωματώνει το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 πρέπει να ορίζει τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα έτσι ώστε να είναι προβλέψιμοι για το θιγόμενο φυσικό πρόσωπο. Κατά την Επιτροπή, η γερμανική ρύθμιση δεν σέβεται την εν λόγω απαίτηση, καθόσον το άρθρο 15, παράγραφος 1, του TMG προβλέπει ότι η διατήρηση των διευθύνσεων IP επιτρέπεται «μόνον εφόσον τούτο είναι αναγκαίο για να καταστεί δυνατή […] η χρήση τηλεμέσων».

44. Ως εκ τούτου, η Επιτροπή προτείνει να δοθεί στο δεύτερο ερώτημα η απάντηση ότι αντιβαίνει στον εν λόγω κανόνα ερμηνεία εθνικής διατάξεως κατά την οποία δημόσια αρχή η οποία ενεργεί ως φορέας παροχής υπηρεσιών μπορεί να συγκεντρώνει και να χρησιμοποιεί τα δεδομένα προσωπικού χαρακτήρα χρήστη χωρίς τη συγκατάθεσή του, καίτοι ο επιδιωκόμενος σκοπός είναι η διασφάλιση γενικά της ορθής λειτουργίας του τηλεμέσου, εάν η οικεία εθνική διάταξη δεν θεσπίζει τον εν λόγω σκοπό κατά τρόπο επαρκώς σαφή και συγκεκριμένο.

V – Εκτίμηση

Πρώτο προδικαστικό ερώτημα

1. Οριοθέτηση του υποβληθέντος ερωτήματος

45. Όπως διατυπώθηκε από το Bundesgerichtshof, με το πρώτο προδικαστικό ερώτημα ζητείται να αποσαφηνισθεί κατά πόσον διεύθυνση IP με την οποία παρέχεται πρόσβαση σε ιστοσελίδα αποτελεί για τη δημόσια οντότητα κάτοχο της εν λόγω σελίδας δεδομένο προσωπικού χαρακτήρα (κατά το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46), στην περίπτωση που ο φορέας παροχής προσβάσεως στο διαδίκτυο διαθέτει πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του θιγόμενου προσώπου.

46. Με τη συγκεκριμένη διατύπωση, το ερώτημα είναι αρκούντως σαφές ώστε να αποκλειστούν, εξαρχής, άλλα ερωτήματα τα οποία θα μπορούσαν να ανακύψουν in abstracto σχετικά με τη νομική φύση των διευθύνσεων IP, στο πλαίσιο της προστασίας των δεδομένων προσωπικού χαρακτήρα.

47. Καταρχάς, το Bundesgerichtshof κάνει αποκλειστικά μνεία των «δυναμικών διευθύνσεων IP», δηλαδή εκείνων που αντιστοιχούν προσωρινά για κάθε σύνδεση στο διαδίκτυο και μεταβάλλονται επ’ ευκαιρία επόμενων συνδέσεων. Ως εκ τούτου, εξαιρούνται οι «σταθερές ή στατικές διευθύνσεις IP», οι οποίες είναι αμετάβλητες και επιτρέπουν τη μόνιμη εξακρίβωση της ταυτότητας της συνδεδεμένης στο διαδίκτυο συσκευής.

48. Δεύτερον, το αιτούν δικαστήριο ξεκινά από την παραδοχή ότι ο πάροχος της ιστοσελίδας δεν είναι σε θέση, στη υπόθεση της κύριας δίκης, να εξακριβώσει την ταυτότητα, μέσω της δυναμικής διευθύνσεως IP, των επισκεπτών των σελίδων του ούτε διαθέτει ο ίδιος πρόσθετα δεδομένα τα οποία, σε συνδυασμό με την εν λόγω διεύθυνση IP, διευκολύνουν την εξακρίβωση της ταυτότητάς τους. Το Bundesgerichtshof φαίνεται να εκτιμά ότι, στο πλαίσιο αυτό, η δυναμική διεύθυνση IP δεν αποτελεί δεδομένο προσωπικού χαρακτήρα, κατά το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46, ως προς τον πάροχο της ιστοσελίδας.

49. Η αμφιβολία του αιτούντος δικαστηρίου σχετίζεται με το ενδεχόμενο η δυναμική διεύθυνση IP να συνιστά, ως προς τον πάροχο της ιστοσελίδας, δεδομένο προσωπικού χαρακτήρα εάν τρίτος διαθέτει πρόσθετα δεδομένα τα οποία, σε συνδυασμό με αυτή, επιτρέπουν την εξακρίβωση της ταυτότητας των επισκεπτών της σελίδας του. Ωστόσο, και η διευκρίνιση αυτή είναι ενδιαφέρουσα, το Bundesgerichtshof δεν κάνει μνεία ουδενός τρίτου κατόχου των πρόσθετων δεδομένων, αλλά μόνο του φορέα παροχής προσβάσεως στο διαδίκτυο (επομένως, αποκλείει άλλους ενδεχόμενους κατόχους τέτοιου είδους δεδομένων).

50. Ως εκ τούτου, είναι αλυσιτελείς, μεταξύ άλλων, οι ακόλουθες πτυχές: α) κατά πόσον οι στατικές διευθύνσεις IP αποτελούν δεδομένα προσωπικού χαρακτήρα κατά την οδηγία 95/46 (10)· β) κατά πόσον οι δυναμικές διευθύνσεις IP αποτελούν πάντοτε και υπό οποιεσδήποτε περιστάσεις δεδομένα προσωπικού χαρακτήρα κατά την εν λόγω οδηγία και, τέλος, γ) κατά πόσον ο χαρακτηρισμός των δυναμικών διευθύνσεων IP ως δεδομένων προσωπικού χαρακτήρα είναι αναπόφευκτος όταν υφίσταται τρίτος, όποιος και αν είναι αυτός, ικανός να τις χρησιμοποιήσει για την εξακρίβωση της ταυτότητας των χρηστών του διαδικτύου.

51. Επομένως, πρέπει μόνο να διαπιστωθεί κατά πόσο δυναμική διεύθυνση IP αποτελεί δεδομένο προσωπικού χαρακτήρα ως προς τον φορέα παροχής υπηρεσίας διαδικτύου όταν η εταιρία επικοινωνιών η οποία παρέχει πρόσβαση στο διαδίκτυο (ο φορέας παροχής προσβάσεως) χειρίζεται πρόσθετα δεδομένα τα οποία, σε συνδυασμό με την εν λόγω διεύθυνση, επιτρέπουν την εξακρίβωση της ταυτότητας των προσώπων που έχουν πρόσβαση στην ιστοσελίδα που διαχειρίζεται ο πρώτος.

2. Επί της ουσίας

52. Το ερώτημα που υποβάλλεται με την παρούσα αίτηση προδικαστικής αποφάσεως αποτελεί αντικείμενο έντονου διαλόγου στη γερμανική θεωρία και νομολογία, με την εκδήλωση δύο αντίθετων θέσεων (11). Κατά την πρώτη εξ αυτών (η οποία εφαρμόζει ένα «αντικειμενικό» ή «απόλυτο» κριτήριο), η ταυτότητα του χρήστη μπορεί να εξακριβωθεί –και, επομένως, η διεύθυνση IP αποτελεί δεδομένο προσωπικού χαρακτήρα επιδεκτικό προστασίας– όταν, όποιες και αν είναι οι ικανότητες και τα μέσα του φορέα παροχής υπηρεσιών διαδικτύου, η εξακρίβωση της ταυτότητας του χρήστη είναι εφικτή μόνον εάν η εν λόγω δυναμική διεύθυνση IP συνδυασθεί με τα δεδομένα που παρέχει τρίτος (για παράδειγμα, ο φορέας παροχής προσβάσεως στο διαδίκτυο).

53. Για τους υποστηρικτές της δεύτερης θέσεως (οι οποίοι προβάλλουν ένα «σχετικό» κριτήριο), το ενδεχόμενο της συνδρομής τρίτου, για την εξακρίβωση της ταυτότητας του χρήστη, δεν αρκεί για να αποδοθεί προσωπικός χαρακτήρας στη δυναμική διεύθυνση IP. Κρίσιμο στοιχείο είναι η ικανότητα εκείνου που έχει πρόσβαση στο δεδομένο να το χρησιμοποιήσει, με ίδια μέσα, και να εξακριβώσει κατ’ αυτόν τον τρόπο την ταυτότητα ενός προσώπου.

54. Ανεξάρτητα από τους όρους της συζητήσεως αυτής στο εθνικό δίκαιο, η απάντηση του Δικαστηρίου πρέπει να περιοριστεί στην ερμηνεία των δύο διατάξεων της οδηγίας 95/46, στις οποίες παρέπεμψαν τόσο το αιτούν δικαστήριο όσο και οι διάδικοι στη διαδικασία, δηλαδή στο άρθρο 2, στοιχείο αʹ (12), και στην αιτιολογική σκέψη 26 αυτής (13),

55. Οι δυναμικές διευθύνσεις IP, απλώς και μόνον παρέχοντας πληροφορίες σχετικά με την ημερομηνία και την ώρα προσβάσεως σε ιστοσελίδα από υπολογιστή (ή άλλη συσκευή), φανερώνουν ορισμένα πρότυπα της συμπεριφοράς των χρηστών του διαδικτύου και, ως εκ τούτου, ενέχουν δυνητική προσβολή του δικαιώματος του σεβασμού της ιδιωτικής τους ζωής (14), το οποίο κατοχυρώνεται στο άρθρο 8 της Συμβάσεως για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών και στο άρθρο 7 του Χάρτη, υπό το πρίσμα των οποίων, καθώς και υπό το πρίσμα του άρθρου 8 του Χάρτη, πρέπει να ερμηνεύεται η οδηγία 95/46 (15). Είναι γεγονός ότι οι διάδικοι δεν αμφισβητούν την παραδοχή αυτή, η οποία δεν αποτελεί αφ’ εαυτής αντικείμενο του προδικαστικού ερωτήματος.

56. Το πρόσωπο με το οποίο συνδέονται οι εν λόγω λεπτομέρειες δεν είναι «φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή». Η ημερομηνία και η ώρα συνδέσεως, καθώς και η ψηφιακή προέλευσή της, δεν αποκαλύπτουν άμεσα και αμέσως το φυσικό πρόσωπο στο οποίο ανήκει η συσκευή από την οποία υπάρχει πρόσβαση στην ιστοσελίδα ούτε την ταυτότητα του χρήστη που τη χειρίζεται (μπορεί να είναι οποιοδήποτε φυσικό πρόσωπο).

57. Εντούτοις, καθόσον συμβάλλει στον καθορισμό –είτε αφ’ εαυτής της είτε σε συνδυασμό με άλλα δεδομένα– του κατόχου της συσκευής που χρησιμοποιείται για την πρόσβαση στην ιστοσελίδα, μια δυναμική διεύθυνση IP μπορεί να χαρακτηρισθεί πληροφορία σχετική με «πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί» (16).

58. Βάσει της προσεγγίσεως του Bundesgerichtshof, η δυναμική διεύθυνση IP δεν επαρκεί, αφ’ εαυτής, για να εξακριβωθεί η ταυτότητα του χρήστη ο οποίος απέκτησε πρόσβαση μέσω αυτής σε ιστοσελίδα. Εάν, αντιθέτως, ο φορέας παροχής υπηρεσιών διαδικτύου μπορεί, μέσω της δυναμικής διευθύνσεως IP, να εξακριβώσει την ταυτότητα του χρήστη, θα πρόκειται, αναμφίβολα, για δεδομένο προσωπικού χαρακτήρα κατά την οδηγία 95/46. Εντούτοις, δεν φαίνεται να είναι αυτή η έννοια του προδικαστικού ερωτήματος, στο οποίο υπονοείται ότι οι εμπλεκόμενοι στη διαφορά της κύριας δίκης φορείς παροχής υπηρεσιών διαδικτύου δεν μπορούν να εξακριβώσουν την ταυτότητα του χρήστη, αποκλειστικά, από τη δυναμική διεύθυνση IP.

59. Σε συνδυασμό με άλλα δεδομένα, η δυναμική διεύθυνση IP διευκολύνει την «έμμεση» εξακρίβωση της ταυτότητας του χρήστη, όπερ συνομολογείται. Επιτρέπει, άνευ ετέρου, το ενδεχόμενο να υπάρχουν τα πρόσθετα αυτά δεδομένα, τα οποία μπορούν να συνδεθούν με τη δυναμική διεύθυνση IP, τον χαρακτηρισμό αυτής ως δεδομένου προσωπικού χαρακτήρα βάσει της οδηγίας; Πρέπει να διαπιστωθεί εάν αρκεί, για τον σκοπό αυτό, το απλό ενδεχόμενο, in abstracto, κατοχής των εν λόγω δεδομένων ή εάν, αντιθέτως, απαιτείται να είναι διαθέσιμα σε όποιον γνωρίζει ήδη τη δυναμική διεύθυνση IP ή σε τρίτο.

60. Οι διάδικοι επικέντρωσαν τις παρατηρήσεις τους στην ερμηνεία της αιτιολογικής σκέψεως 26 της οδηγίας 95/46, ξεχωρίζοντας σε αυτήν τη φράση «των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν, είτε από τον υπεύθυνο της επεξεργασίας, είτε από τρίτο, για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου». Το ερώτημα του αιτούντος δικαστηρίου δεν κάνει μνεία σε πρόσθετα δεδομένα τα οποία διαθέτουν οι φορείς παροχής υπηρεσιών που εμπλέκονται στη διαδικασία της κύριας δίκης. Ούτε κάνει μνεία σε οποιονδήποτε τρίτο, ο οποίος κατέχει τα εν λόγω πρόσθετα δεδομένα (των οποίων ο συνδυασμός με τη δυναμική διεύθυνση IP διευκολύνει την εξακρίβωση της ταυτότητας του χρήστη), αλλά στον φορέα παροχής προσβάσεως στο διαδίκτυο.

61. Επομένως, εν προκειμένω, δεν είναι απαραίτητο να αναλύσει το Δικαστήριο όλα τα μέσα τα οποία θα μπορούσε «ευλόγως» να χρησιμοποιήσει ο καθού στη διαδικασία της κύριας δίκης ώστε να μπορούν οι δυναμικές διευθύνσεις IP τις οποίες διαθέτει να χαρακτηρισθούν δεδομένα προσωπικού χαρακτήρα. Καθόσον το Bundesgerichtshof κάνει μνεία μόνο σε πρόσθετα δεδομένα τα οποία διαθέτει τρίτος, μπορεί να συναχθεί: α) είτε ότι ο καθού δεν διαθέτει ίδια πρόσθετα δεδομένα που επιτρέπουν την εξακρίβωση της ταυτότητας του χρήστη β) είτε ότι, εάν διαθέτει τέτοια δεδομένα, δεν είναι σε θέση να τα χρησιμοποιήσει ευλόγως για τον συγκεκριμένο σκοπό, ως υπεύθυνος της επεξεργασίας των δεδομένων, κατά την αιτιολογική σκέψη 26 της οδηγίας 95/46.

62. Αμφότερες οι υποθετικές καταστάσεις εξαρτώνται από πραγματική διαπίστωση η οποία απόκειται αποκλειστικά στη δικαιοδοσία του αιτούντος δικαστηρίου. Το Δικαστήριο θα μπορούσε να παράσχει γενικής φύσεως κριτήρια για την ερμηνεία της φράσεως «μέσων που μπορούν ευλόγως να χρησιμοποιηθούν […] από τον υπεύθυνο της επεξεργασίας», εάν το Bundesgerichtshof είχε αμφιβολίες σχετικά με την ικανότητα του καθού να χρησιμοποιήσει ευλόγως τα ίδια πρόσθετα δεδομένα. Καθόσον τέτοιες αμφιβολίες δεν διατυπώθηκαν, φρονώ ότι είναι άτοπο να αναπτύξει εν προκειμένω το Δικαστήριο κριτήρια ερμηνείας τα οποία ούτε είναι απαραίτητα για το αιτούν δικαστήριο ούτε ζητήθηκαν.

63. Ως εκ τούτου, η ουσία του υποβληθέντος ερωτήματος περιορίζεται στη διαπίστωση του κατά πόσον είναι λυσιτελές, για τον χαρακτηρισμό των δυναμικών διευθύνσεων IP ως δεδομένων προσωπικού χαρακτήρα, το γεγονός ότι πολύ συγκεκριμένος τρίτος –ο φορέας παροχής προσβάσεως στο διαδίκτυο– διαθέτει πρόσθετα δεδομένα τα οποία, σε συνδυασμό με τις εν λόγω διευθύνσεις, μπορούν να συμβάλουν στην εξακρίβωση της ταυτότητας του χρήστη που επισκέφθηκε συγκεκριμένη ιστοσελίδα.

64. Επιβάλλεται εκ νέου η παραπομπή στην αιτιολογική σκέψη 26 της οδηγίας 95/46. Η φράση «μέσων που μπορούν ευλόγως να χρησιμοποιηθούν […] από τρίτο» (17) θα μπορούσε να υποστηρίξει ερμηνεία βάσει της οποίας αρκεί τρίτος να μπορεί να αποκτήσει πρόσθετα δεδομένα (τα οποία μπορούν να συνδυαστούν με δυναμική διεύθυνση IP για την εξακρίβωση της ταυτότητας ενός προσώπου), για να μπορεί να θεωρηθεί ότι η εν λόγω διεύθυνση συνιστά eo ipso δεδομένο προσωπικού χαρακτήρα.

65. Η διασταλτική αυτή ερμηνεία θα οδηγούσε στην πράξη στον χαρακτηρισμό κάθε είδους πληροφορίας ως δεδομένου προσωπικού χαρακτήρα, ακόμη και αν είναι ανεπαρκής αφ’ εαυτής για τη διευκόλυνση της εξακριβώσεως της ταυτότητας χρήστη. Δεν μπορεί να αποκλεισθεί ποτέ, με απόλυτη βεβαιότητα, η ύπαρξη τρίτου ο οποίος διαθέτει πρόσθετα δεδομένα που μπορούν να συνδυασθούν με την εν λόγω πληροφορία και, ως εκ τούτου, να αποκαλύψουν την ταυτότητα ενός προσώπου.

66. Φρονώ ότι το ενδεχόμενο η πρόοδος των τεχνικών μέσων να διευκολύνει αισθητά, στο εγγύς ή στο απώτερο μέλλον, την πρόσβαση σε μηχανισμούς αποκτήσεως και επεξεργασίας πληροφοριών, ολοένα και πιο εξειδικευμένους, δικαιολογεί τα προληπτικά μέτρα προστασίας της ιδιωτικής ζωής. Λήφθηκε μέριμνα ώστε, κατά τον ορισμό των σχετικών νομικών κατηγοριών οι οποίες είναι λυσιτελείς στο πλαίσιο της προστασίας των δεδομένων, να περιληφθούν περιπτώσεις συμπεριφοράς αρκούντως ευρείες και ευέλικτες ώστε να καλύπτουν κάθε ενδεχόμενη περίπτωση (18).

67. Εντούτοις, φρονώ ότι η ανησυχία αυτή –απολύτως θεμιτή, κατά τα άλλα– δεν μπορεί να παραγνωρίζει τους όρους της κανονιστικής βουλήσεως του νομοθέτη και το γεγονός ότι η συστηματική ερμηνεία της αιτιολογικής σκέψεως 26 της οδηγίας 95/46 περιορίζεται στα «μέσα που μπορούν ευλόγως να χρησιμοποιηθούν» από ορισμένους τρίτους.

68. Όπως η αιτιολογική σκέψη 26 δεν κάνει μνεία σε οποιαδήποτε μέσα μπορεί να χρησιμοποιήσει ο υπεύθυνος της επεξεργασίας (εν προκειμένω, ο φορέας παροχής υπηρεσιών διαδικτύου), αλλά μόνο σε εκείνα που αυτός μπορεί να χρησιμοποιήσει «ευλόγως», πρέπει να θεωρηθεί ότι ο νομοθέτης κάνει μνεία στους «τρίτους» στους οποίους μπορεί, επίσης με εύλογο τρόπο, να προσφύγει ο υπεύθυνος της επεξεργασίας ο οποίος επιθυμεί να εξασφαλίσει τα πρόσθετα δεδομένα για την εξακρίβωση της ταυτότητας. Αυτό δεν συμβαίνει όταν η επικοινωνία με τους εν λόγω τρίτους είναι, εκ των πραγμάτων, πολύ δαπανηρή από άποψη ανθρώπινων και οικονομικών πόρων ή πρακτικά ανέφικτη ή απαγορευμένη από τον νόμο. Σε διαφορετική περίπτωση, όπως προεκτέθηκε, θα είναι πρακτικά αδύνατη η διάκριση μεταξύ ορισμένων μέσων και άλλων, καθόσον θα πρέπει πάντοτε να λαμβάνεται υπόψη το ενδεχόμενο ένας τρίτος, όσο απρόσιτος και αν είναι για τον φορέα παροχής υπηρεσιών διαδικτύου, να μπορεί να διαθέτει –στο παρόν ή στο μέλλον– πρόσθετα δεδομένα χρήσιμα για την εξακρίβωση της ταυτότητας ενός χρήστη.

69. Όπως προεκτέθηκε, ο τρίτος του οποίου κάνει μνεία το Bundesgerichtshof είναι φορέας παροχής προσβάσεως στο διαδίκτυο. Αναμφίβολα είναι ο τρίτος στον οποίο μπορεί ευλόγως να υποτεθεί ότι θα απευθυνθεί ο φορέας παροχής των υπηρεσιών για να συγκεντρώσει τα απαραίτητα πρόσθετα δεδομένα, εάν επιθυμεί να εξακριβώσει με τον πιο αποτελεσματικό, πρακτικό και άμεσο τρόπο την ταυτότητα του χρήστη που απέκτησε πρόσβαση στην ιστοσελίδα του μέσω της δυναμικής διευθύνσεως IP. Δεν πρόκειται, σε καμία περίπτωση, για έναν υποθετικό, άγνωστο και απρόσιτο τρίτο, αλλά για κύριο παράγοντα στο πλαίσιο του διαδικτύου, ο οποίος είναι γνωστό μετά βεβαιότητας ότι κατέχει τα δεδομένα που χρειάζεται ο φορέας παροχής των υπηρεσιών για να εξακριβώσει την ταυτότητα του χρήστη. Πράγματι, όπως επισημαίνει το αιτούν δικαστήριο, στον συγκεκριμένο αυτό τρίτο προτίθεται να απευθυνθεί ο καθού στη διαφορά της κύριας δίκης για να συγκεντρώσει τα πρόσθετα απαραίτητα δεδομένα.

70. Ο φορέας παροχής προσβάσεως στο διαδίκτυο είναι, συνήθως, ο τρίτος στον οποίο παραπέμπει η αιτιολογική σκέψη 26 της οδηγίας 95/46, στον οποίο μπορεί κατά τρόπο πιο «εύλογο» να προσφύγει ο φορέας παροχής υπηρεσιών της διαδικασίας της κύριας δίκης. Εντούτοις, πρέπει να αποσαφηνισθεί κατά πόσον η εξασφάλιση των πρόσθετων δεδομένων που διαθέτει ο εν λόγω τρίτος μπορεί να χαρακτηρισθεί «ευλόγως» εφικτή ή πρακτική.

71. Η Γερμανική Κυβέρνηση υποστηρίζει ότι, δεδομένου ότι οι πληροφορίες που κατέχει ο φορέας παροχής προσβάσεως στο διαδίκτυο αποτελούν δεδομένο προσωπικού χαρακτήρα, αυτός δεν μπορεί να τις παράσχει παρά μόνο σύμφωνα με τη νομοθεσία που ρυθμίζει την επεξεργασία των εν λόγω δεδομένων (19).

72. Αναμφίβολα έτσι έχουν τα πράγματα, δεδομένου ότι για να αποκτηθούν οι εν λόγω πληροφορίες πρέπει να τηρηθεί η νομοθεσία η οποία εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα. Οι πληροφορίες μπορούν να αποκτηθούν «ευλόγως» μόνον εφόσον πληρούν τις προϋποθέσεις που ρυθμίζουν την πρόσβαση στο συγκεκριμένο είδος δεδομένων, η πρώτη εκ των οποίων είναι η νόμιμη δυνατότητα αποθηκεύσεως και διαβιβάσεώς τους σε άλλους. Αναμφίβολα ο φορέας παροχής υπηρεσιών στο διαδίκτυο δικαιούται να αρνηθεί τη χορήγηση των επίμαχων δεδομένων, αλλά ισχύει και το αντίθετο. Το ενδεχόμενο διαβιβάσεως των δεδομένων, το οποίο είναι απολύτως «εύλογο», μετατρέπει από μόνο του τη δυναμική διεύθυνση IP, βάσει του περιεχομένου της αιτιολογικής σκέψεως 26 της οδηγίας 95/46, σε δεδομένο προσωπικού χαρακτήρα ως προς τον φορέα παροχής υπηρεσιών διαδικτύου.

73. Πρόκειται για μια πρακτική δυνατότητα στο πλαίσιο του νόμου και είναι, επομένως, «εύλογη». Τα εύλογα μέσα προσβάσεως στα οποία παραπέμπει η οδηγία 95/46 πρέπει, εξ ορισμού, να είναι σύννομα (20). Αυτή είναι η παραδοχή που αποτελεί σημείο αφετηρίας, όπως είναι φυσικό, το αιτούν δικαστήριο, όπως επισημαίνει η Γερμανική Κυβέρνηση (21). Επομένως, περιορίζονται σημαντικά οι κατά νόμον σχετικοί τρόποι προσβάσεως, δεδομένου ότι θα πρέπει να είναι, αποκλειστικά, σύννομοι. Εντούτοις, καίτοι αυτοί υπάρχουν, έστω περιορισμένοι όσον αφορά την πρακτική εφαρμογή τους, προϋποθέτουν ένα «εύλογο μέσο», κατά την έννοια της οδηγίας 95/46.

74. Ως εκ τούτου, φρονώ ότι, όπως αυτό διατυπώνεται από το Bundesgerichtshof, στο πρώτο ερώτημα πρέπει να δοθεί καταφατική απάντηση. Η δυναμική διεύθυνση IP πρέπει να χαρακτηρισθεί, ως προς τον φορέα παροχής υπηρεσιών διαδικτύου, δεδομένο προσωπικού χαρακτήρα λαμβανομένης υπόψη της υπάρξεως τρίτου (του φορέα παροχής προσβάσεως στο διαδίκτυο) στον οποίο μπορεί εύλογα αυτός να απευθυνθεί για να εξασφαλίσει άλλα πρόσθετα δεδομένα τα οποία, σε συνδυασμό με τη διεύθυνση ΙΡ, συμβάλλουν την εξακρίβωση της ταυτότητας ενός χρήστη.

75. Εκτιμώ ότι η πρότασή μου ενισχύεται από το αποτέλεσμα στο οποίο θα κατέληγε η αντίθετη λύση. Εάν οι δυναμικές διευθύνσεις IP δεν αποτελούν δεδομένο προσωπικού χαρακτήρα ως προς τον φορέα παροχής υπηρεσιών διαδικτύου, αυτός μπορεί να τις διατηρεί επ’ αόριστον και μπορεί να ζητήσει, ανά πάσα στιγμή, από τον φορέα παροχής προσβάσεως στο διαδίκτυο τα πρόσθετα δεδομένα τα οποία θα συνδυάσει με τη διεύθυνση ΙΡ για να εξακριβώσει την ταυτότητα του χρήστη. Υπό τις συνθήκες αυτές, όπως αναγνωρίζει η Γερμανική Κυβέρνηση (22). η δυναμική διεύθυνση IP μετατρέπεται σε δεδομένο προσωπικού χαρακτήρα, οσάκις είναι διαθέσιμα τα έγκυρα πρόσθετα δεδομένα για την εξακρίβωση της ταυτότητας του χρήστη, εφαρμοζόμενης συναφώς της νομοθεσίας περί προστασίας των δεδομένων.

76. Τούτου λεχθέντος, θα πρόκειται για δεδομένο του οποίου η διατήρηση υπήρξε εφικτή μόνον επειδή δεν θεωρήθηκε, έως τότε, δεδομένο προσωπικού χαρακτήρα ως προς τον φορέα παροχής υπηρεσιών. Κατ’ αυτόν τον τρόπο, ο νομικός χαρακτηρισμός της δυναμικής διευθύνσεως IP ως δεδομένου προσωπικού χαρακτήρα θα εξαρτάται από αυτόν και από το ενδεχόμενο να αποφασίσει, στο μέλλον, να τη χρησιμοποιήσει για να εξακριβώσει την ταυτότητα του χρήστη συνδυάζοντάς την με τα πρόσθετα δεδομένα που θα πρέπει να συλλέξει από τρίτο. Εντούτοις, φρονώ ότι καθοριστικό στοιχείο, βάσει της οδηγίας 95/46, είναι το –εύλογο– ενδεχόμενο υπάρξεως «προσιτού» τρίτου, ο οποίος διαθέτει τα απαραίτητα μέσα για να συμβάλει στην εξακρίβωση της ταυτότητας ενός προσώπου, και όχι το ενδεχόμενο υλοποιήσεως της δυνητικής προσφυγής στον εν λόγω τρίτο.

77. Θα μπορούσε επίσης να γίνει δεκτό, όπως υποστηρίζει η Γερμανική Κυβέρνηση, ότι η δυναμική διεύθυνση IP μετατρέπεται σε δεδομένο προσωπικού χαρακτήρα μόνον όταν τη λαμβάνει ο φορέας παροχής προσβάσεως στο διαδίκτυο. Εντούτοις, θα πρέπει τότε να γίνει δεκτό ότι ο εν λόγω χαρακτηρισμός εφαρμόζεται με αναδρομική ισχύ, σε σχέση με το διάστημα αποθηκεύσεως της διευθύνσεως IP, και, ως εκ τούτου, αυτή θα θεωρηθεί ανύπαρκτη, σε περίπτωση λήξεως του διαστήματος κατά το οποίο μπορούσε να αποθηκευθεί, επειδή χαρακτηρίσθηκε εξαρχής δεδομένο προσωπικού χαρακτήρα. Σε μια τέτοια περίπτωση, το αποτέλεσμα θα είναι αντίθετο προς το πνεύμα της νομοθεσίας περί προστασίας των δικαιωμάτων προσωπικού χαρακτήρα. Ο λόγος που δικαιολογεί την προσωρινή μόνον αποθήκευση των δεδομένων αυτών θα αναιρούνταν από τυχόν καθυστέρηση καθορισμού της σημασίας μιας ιδιότητας εξαρχής εγγενούς σε αυτά: της δυνατότητάς τους να χρησιμοποιηθούν ως μέσο εξακριβώσεως της ταυτότητας –από μόνα τους ή σε συνδυασμό με άλλα δεδομένα– ενός φυσικού προσώπου. Για τον ίδιο αμιγώς λόγο οικονομίας, είναι πιο εύλογο να τους αποδοθεί ο συγκεκριμένος χαρακτήρας εξαρχής.

78. Ως εκ τούτου, ως πρώτη πρόταση, εκτιμώ ότι το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46 πρέπει να ερμηνευθεί υπό την έννοια ότι η διεύθυνση ΙΡ την οποία αποθηκεύει φορέας παροχής υπηρεσιών στο πλαίσιο προσβάσεως στην ιστοσελίδα του αποτελεί ως προς εκείνον δεδομένο προσωπικού χαρακτήρα, στο μέτρο που φορέας παροχής υπηρεσιών προσβάσεως στο διαδίκτυο διαθέτει τα πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του θιγόμενου προσώπου.

Δεύτερο προδικαστικό ερώτημα

79. Με το δεύτερο προδικαστικό ερώτημα το Bundesgerichtshof επιθυμεί να πληροφορηθεί κατά πόσον το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 αντιτίθεται σε εθνική κανονιστική ρύθμιση η οποία δέχεται τη συλλογή και τη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεσή τους μόνον εφόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση του τηλεμέσου από τους εκάστοτε χρήστες, χωρίς ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας του τηλεμέσου να μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων μετά τη λήξη της εκάστοτε χρήσεως.

80. Προτού απαντηθεί το ερώτημα πρέπει να αποσαφηνισθεί η πληροφορία που προσκόμισε το Bundesgerichtshof ότι τα επίμαχα δεδομένα διατηρούνται για να διασφαλίζεται η ορθή λειτουργία των δικτυακών τόπων που εμπλέκονται στη διαδικασία της κύριας δίκης καθιστώντας ενδεχομένως εφικτή την ποινική δίωξη των επιθέσεων στον κυβερνοχώρο που ενδέχεται να δεχθούν.

81. Επομένως, πρέπει να εξετασθεί καταρχάς κατά πόσον η επεξεργασία των διευθύνσεων IP των οποίων κάνει μνεία η προδικαστική παραπομπή εμπίπτει στην εξαίρεση που προβλέπεται στο άρθρο 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46 (23).

1. Επί της εφαρμογής της οδηγίας 95/46 στην επεξεργασία των επίμαχων δεδομένων

82. Κατά τα φαινόμενα, η Ομοσπονδιακή Δημοκρατία της Γερμανίας ενεργεί στη διαδικασία της κύριας δίκης ως απλός φορέας παροχής υπηρεσιών διαδικτύου, δηλαδή ως ιδιώτης (και, επομένως, sine imperio). Εξ αυτού συνάγεται ότι, καταρχήν, η επεξεργασία των δεδομένων που αποτελούν αντικείμενο της υπό κρίση διαφοράς δεν εξαιρείται από το πεδίο εφαρμογής της οδηγίας 95/46.

83. Όπως αποφάνθηκε το Δικαστήριο στην απόφαση που εξέδωσε στην υπόθεση Lindqvist (24), οι δραστηριότητες που απαριθμούνται στο άρθρο 3, παράγραφος 2, της οδηγίας 95/46 «είναι, σε όλες τις περιπτώσεις, δραστηριότητες που ασκούνται από τα κράτη ή από τις κρατικές αρχές και δεν αφορούν τους τομείς δραστηριότητας των ιδιωτών» (25). Καθόσον υπεύθυνος για την επεξεργασία των επίμαχων δεδομένων είναι οντότητα η οποία, παρά την ιδιότητά της ως δημόσια αρχή, ενεργεί στην πραγματικότητα ως ιδιώτης, εφαρμόζεται η οδηγία 95/46.

84. Το αιτούν δικαστήριο, επισημαίνοντας τον κύριο σκοπό που επιδιώκει η γερμανική διοίκηση με την αποθήκευση των δυναμικών διευθύνσεων IP, υπογραμμίζει ότι στοχεύει στη «διασφάλιση και διατήρηση της ασφάλειας και λειτουργικότητας των τηλεμέσων της»· προάγει, ιδίως, τη «διάγνωση και αποτροπή συχνά εμφανιζόμενων επιθέσεων τύπου “denial of service”, οι οποίες παραλύουν τις τηλεπικοινωνιακές υποδομές μέσω στοχευμένης και συντονισμένης συμφορήσεως συγκεκριμένων διαδικτυακών διακομιστών με πλειάδα αιτημάτων» (26). Η διατήρηση των δυναμικών διευθύνσεων IP για τον σκοπό αυτό είναι συνηθισμένη πρακτική για κάθε κάτοχο σημαντικών δικτυακών τόπων και δεν σημαίνει, άμεσα ή έμμεσα, την άσκηση δημόσιας εξουσίας, και επομένως η υπαγωγή της στο πεδίο εφαρμογής της οδηγίας 95/46 δεν είναι εξαιρετικά δύσκολη.

85. Εντούτοις, το Bundesgerichtshof υποστηρίζει ότι η διατήρηση των δυναμικών διευθύνσεων IP από τους φορείς παροχής υπηρεσιών που εμπλέκονται στη διαδικασία της κύριας δίκης αποσκοπεί επίσης στην άσκηση ποινικών διώξεων, εφόσον συντρέχει περίπτωση, κατά των δραστών ενδεχόμενων επιθέσεων στον κυβερνοχώρο. Αρκεί η πρόθεση αυτή για να εξαιρεθεί η επεξεργασία των εν λόγω δεδομένων από το πεδίο εφαρμογής της οδηγίας 95/46;

86. Φρονώ ότι, εάν ως «ποινική δίωξη» νοείται η άσκηση του ius puniendi του κράτους από τους καθών στη διαδικασία της κύριας δίκης φορείς παροχής υπηρεσιών, πρόκειται για «δραστηριότητα του κράτους σε τομείς του ποινικού δικαίου» και, επομένως, για μία από τις εξαιρέσεις που προβλέπονται στο άρθρο 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46.

87. Υπό τις συνθήκες αυτές, σύμφωνα με τη νομολογία του Δικαστηρίου στην υπόθεση Huber (27), η επεξεργασία δεδομένων προσωπικού χαρακτήρα, χάριν της ασφάλειας και της τεχνικής λειτουργίας των τηλεμέσων της, θα εμπίπτει στο πεδίο εφαρμογής της οδηγίας 95/46, ενώ η επεξεργασία δεδομένων για την άσκηση της δραστηριότητας του κράτους σε τομείς του ποινικού δικαίου δεν εμπίπτει σε αυτό.

88. Ομοίως, ακόμη και αν η ποινική δίωξη αυτή καθεαυτήν δεν ασκείται από την Ομοσπονδιακή Δημοκρατία της Γερμανίας, ως απλό φορέα παροχής υπηρεσιών στερούμενο δημόσιας εξουσίας, αλλά, όπως συμβαίνει με οποιονδήποτε ιδιώτη, οι ενέργειες περιορίζονται στη διαβίβαση των επίμαχων διευθύνσεων IP σε κρατικό φορέα για την επιβολή κατασταλτικού μέτρου, η επεξεργασία των δυναμικών διευθύνσεων IP έχει επίσης ως αντικείμενο δραστηριότητα εξαιρούμενη από το πεδίο εφαρμογής της οδηγίας 95/46.

89. Αυτό προκύπτει από την πάγια νομολογία στην υπόθεση Κοινοβούλιο κατά Συμβουλίου και Επιτροπής (28), στην οποία το Δικαστήριο αποφάνθηκε ότι το γεγονός ότι συγκεκριμένα δεδομένα προσωπικού χαρακτήρα «έχουν συλλεγεί από ιδιωτικούς φορείς για εμπορικούς σκοπούς και ότι οι φορείς αυτοί οργανώνουν τη διαβίβασή τους σε τρίτο κράτος» δεν σημαίνει ότι η εν λόγω διαβίβαση «δεν εμπίπτει στο πεδίο εφαρμογής» του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46, όταν σκοπός της διαβιβάσεως είναι εξ αντικειμένου οι δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου, δεδομένου ότι στην περίπτωση αυτή «εντάσσεται σε ένα πλαίσιο που έχουν δημιουργήσει οι δημόσιες αρχές σχετικά με τη δημόσια ασφάλεια» (29).

90. Εάν, αντιθέτως, όπως εκτιμώ, η «ποινική δίωξη» πρέπει να νοείται, όπως συνάγεται από τη διάταξη περί παραπομπής, ως η δυνατότητα ενός νομιμοποιούμενου ιδιώτη να ενεργοποιήσει τη δραστηριότητα ius puniendi του κράτους, μέσω της αντίστοιχης εγκλήσεως, τότε δεν μπορεί να υποστηριχθεί ότι η επεξεργασία των δυναμικών διευθύνσεων IP έχει ως αντικείμενο τη δραστηριότητα του κράτους σε τομείς του ποινικού δικαίου, η οποία εξαιρείται από το πεδίο εφαρμογής της οδηγίας 95/46.

91. Στην πραγματικότητα, η διατήρηση και η αποθήκευση του εν λόγω δεδομένου θα αποτελούσαν ένα ακόμη μέσο αποδείξεως με το οποίο ο κάτοχος της ιστοσελίδας ζητεί από το κράτος την καταστολή παράνομης συμπεριφοράς. Θα αποτελεί, εν κατακλείδι, μέσο προασπίσεως, σε επίπεδο ποινικού δικαίου, των δικαιωμάτων που αναγνωρίζει η έννομη τάξη σε συγκεκριμένο πρόσωπο (εν προκειμένω, σε δημόσια οντότητα η οποία ενεργεί υπό καθεστώς ιδιωτικού δικαίου). Από την άποψη αυτή, δεν διαφέρει από την πρωτοβουλία κάθε άλλου φορέα παροχής υπηρεσιών διαδικτύου που ζητεί την προστασία του κράτους βάσει των διαδικασιών ασκήσεως εγκλήσεως οι οποίες προβλέπονται στην έννομη τάξη.

92. Συνεπώς, καθόσον η γερμανική διοίκηση ενεργεί ως φορέας παροχής υπηρεσιών διαδικτύου χωρίς δημόσια εξουσία, στοιχείο το οποίο απόκειται στο αιτούν δικαστήριο να εκτιμήσει, η εκ μέρους της επεξεργασία των δυναμικών διευθύνσεων IP, ως δεδομένων προσωπικού χαρακτήρα, εμπίπτει στο πεδίο εφαρμογής της οδηγίας 95/46.

2. Επί της ουσίας

93. Το άρθρο 15, παράγραφος 1, του TMG επιτρέπει τη συλλογή και τη χρησιμοποίηση δεδομένων προσωπικού χαρακτήρα των χρηστών μόνον εφόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η χρήση τηλεμέσων. Συγκεκριμένα, ο φορέας παροχής υπηρεσιών μπορεί να συλλέγει και να χρησιμοποιεί τα λεγόμενα «δεδομένα χρήσεως», δηλαδή τα δεδομένα προσωπικού χαρακτήρα των χρηστών τα οποία είναι αναγκαία για «να καταστεί δυνατή και να τιμολογηθεί η χρήση τηλεμέσων». Τα εν λόγω δεδομένα πρέπει να διαγράφονται μετά τη λήξη της χρήσεως (δηλαδή, όταν παύει η συγκεκριμένη χρήση του τηλεμέσου), εκτός εάν πρέπει να διατηρηθούν «για σκοπούς τιμολογήσεως», όπως προβλέπεται στο άρθρο 15, παράγραφος 4, του TMG.

94. Μετά τη λήξη της συνδέσεως, το άρθρο 15 του TMG φαίνεται να αποκλείει το ενδεχόμενο αποθηκεύσεως των δεδομένων χρήσεως για άλλους σκοπούς, ούτε καν για να διασφαλισθεί «η χρήση τηλεμέσων» γενικά. Παραπέμποντας αποκλειστικά στους σκοπούς τιμολογήσεως για την αιτιολόγηση της διατηρήσεως των δεδομένων, ο συγκεκριμένος κανόνας του TMG θα μπορούσε να έχει την έννοια (καίτοι η τελική ερμηνεία απόκειται στο αιτούν δικαστήριο) ότι απαιτεί να χρησιμοποιούνται τα δεδομένα χρήσεως μόνο για να καταστήσουν δυνατή μια συγκεκριμένη σχέση και να διαγράφονται όταν αυτή τερματίζεται.

95. Το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 (30) επιτρέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα με όρους τους οποίους θα χαρακτήριζα πιο γενναιόδωρους (ως προς τον υπεύθυνο της επεξεργασίας) από τους προβλεπόμενους στο γράμμα του άρθρου 15 του TMG. Στην περίπτωση αυτή, ο γερμανικός κανόνας δικαίου μπορεί να χαρακτηρισθεί πιο περιοριστικός από εκείνον της Ένωσης, καθόσον δεν προβλέπει, καταρχήν, την προάσπιση άλλου εννόμου συμφέροντος μη συνδεόμενου με την τιμολόγηση της υπηρεσίας, καίτοι, ως φορέας παροχής υπηρεσιών διαδικτύου, η Ομοσπονδιακή Δημοκρατία της Γερμανίας θα μπορούσε να έχει επίσης έννομο συμφέρον να διασφαλίσει την ορθή λειτουργία των ιστοσελίδων της, πέραν από κάθε περίοδο χρήσεως (31).

96. Η νομολογία του Δικαστηρίου στις υποθέσεις ASNEF και FECEMD (32) παρέχει τα πρότυπα για να απαντηθεί το δεύτερο προδικαστικό ερώτημα. Το Δικαστήριο αποφάνθηκε τότε ότι από τον σκοπό που επιδιώκει η οδηγία 95/46 «προκύπτει ότι το άρθρο 7 της οδηγίας 95/46 προβλέπει εξαντλητικό και περιοριστικό κατάλογο των περιπτώσεων κατά τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί σύννομη» (33). Ως εκ τούτου, «τα κράτη μέλη δεν μπορούν ούτε να προσθέτουν νέες αρχές σχετικά με τη νομιμοποίηση επεξεργασιών δεδομένων προσωπικού χαρακτήρα στο άρθρο 7 της οδηγίας 95/46 ούτε να προβλέπουν πρόσθετες απαιτήσεις που τροποποιούν το περιεχόμενο μιας εκ των έξι αρχών που προβλέπει το εν λόγω άρθρο» (34).

97. Το άρθρο 15 του TMG δεν προβλέπει πρόσθετη απαίτηση στις προβλεπόμενες στο άρθρο 7 της οδηγίας 95/46 για τη νομιμότητα της επεξεργασίας των δεδομένων –όπως συνέβαινε στις υποθέσεις ASNEF και FECEMD– (35) αλλά, εάν ερμηνευθεί συσταλτικά, όπως προτείνει το αιτούν δικαστήριο, περιορίζει το περιεχόμενο της προϋποθέσεως που προβλέπεται στο άρθρο 7, στοιχείο στʹ: ενώ ο νομοθέτης της Ένωσης παραπέμπει, γενικά, στην επίτευξη του «εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα», το άρθρο 15 του TMG λαμβάνει υπόψη μόνον την αναγκαιότητα «να καταστεί δυνατή και να τιμολογηθεί η [συγκεκριμένη] χρήση τηλεμέσων».

98. Όπως στην περίπτωση των υποθέσεων ASNEF και FECEMD (36) στην παρούσα υπόθεση ένα εθνικό μέτρο –εκ νέου, εάν ερμηνευθεί συσταλτικά όπως προεκτέθηκε– τροποποιεί την εμβέλεια μιας αρχής που προβλέπεται στο άρθρο 7 της οδηγίας 95/46, αντί να περιοριστεί στον καθορισμό της, μοναδική περίπτωση στην οποία οι αρχές κάθε κράτους μέλους έχουν κάποια διακριτική ευχέρεια, βάσει του άρθρου 5 της οδηγίας 95/46.

99. Πράγματι, κατά το εν λόγω άρθρο, «[τ]α κράτη μέλη καθορίζουν, εντός των ορίων του παρόντος κεφαλαίου ^[(37)^], τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη». Εντούτοις, όπως αποφάνθηκε το Δικαστήριο στην απόφαση που εξέδωσε στις υποθέσεις ASNEF και FECEMD (38), δυνάμει του εν λόγω κανόνα, «τα κράτη μέλη δεν μπορούν ούτε να θέτουν άλλες αρχές σχετικά με τη νομιμοποίηση των επεξεργασιών δεδομένων προσωπικού χαρακτήρα, εκτός αυτών που διατυπώνονται στο άρθρο 7 της οδηγίας αυτής, ούτε να τροποποιούν, με πρόσθετες απαιτήσεις, το περιεχόμενο των έξι αρχών που θέτει το εν λόγω άρθρο 7».

100. Το άρθρο 15 του TMG περιορίζει ουσιαστικά, σε σχέση με το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46, την εμβέλεια του σχετικού εννόμου συμφέροντος που δικαιολογεί την επεξεργασία δεδομένων, χωρίς να περιορίζεται στη συγκεκριμενοποίηση ή στην επεξήγησή του κατά τα προβλεπόμενα στο άρθρο 5 της εν λόγω οδηγίας. Επιπλέον, ο περιορισμός είναι κατηγορηματικός και απόλυτος και δεν λαμβάνει υπόψη ότι η προστασία και η διασφάλιση της γενικής χρήσεως των τηλεμέσων μπορούν να σταθμιστούν με «το συμφέρον ή τα θεμελιώδη δικαιώματα και [τις] ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1, παράγραφος 1», της οδηγίας 95/46, όπως επιτάσσει το άρθρο 7, στοιχείο στʹ, αυτής.

101. Εν κατακλείδι, όπως και στις υποθέσεις ASNEF και FECEMD (39), ο Γερμανός ομοσπονδιακός νομοθέτης επέβαλε «σαφώς για [ορισμένες κατηγορίες δεδομένων προσωπικού χαρακτήρα] το αποτέλεσμα της σταθμίσεως των αντιτιθεμένων δικαιωμάτων και συμφερόντων, χωρίς να επιτρέπει διαφορετικό αποτέλεσμα λόγω ειδικών περιστάσεων συγκεκριμένης περιπτώσεως», με αποτέλεσμα να μην «πρόκειται πλέον για καθορισμό κατά την έννοια του […] άρθρου 5» της οδηγίας 95/46.

102. Υπό τις συνθήκες αυτές, φρονώ ότι το Bundesgerichtshof οφείλει να ερμηνεύσει την εθνική νομοθεσία κατά τρόπο που να συνάδει με την οδηγία 95/46, γεγονός που σημαίνει: α) ότι μπορεί να περιληφθεί στους λόγους που δικαιολογούν την επεξεργασία των λεγόμενων «δεδομένων χρήσεως» το έννομο συμφέρον του φορέα παροχής τηλεμέσων για προστασία της γενικής χρήσεως αυτών και β) ότι μπορεί να σταθμιστεί, εν προκειμένω, το εν λόγω συμφέρον του φορέα παροχής της υπηρεσίας, αντιπαραβάλλοντάς το με το συμφέρον ή τα θεμελιώδη δικαιώματα και τις ελευθερίες του χρήστη, ώστε να αποσαφηνισθεί το αγαθό που πρέπει να προστατευθεί βάσει του άρθρου 1, παράγραφος 1, της οδηγίας 95/46 (40).

103. Φρονώ ότι δεν χρειάζεται να προστεθεί οτιδήποτε άλλο σχετικά με τους όρους υπό τους οποίους πρέπει να πραγματοποιηθεί η εν λόγω στάθμιση στη διαφορά, στο πλαίσιο της οποίας ανέκυψε η αίτηση προδικαστικής αποφάσεως. Το Bundesgerichtshof δεν ερωτά τίποτε επ’ αυτού, καθώς προβληματίζεται για τη λύση που πρέπει να δοθεί σε ζήτημα που προηγείται της κρίσεως επί της σταθμίσεως, δηλαδή το κατά πόσον η εν λόγω κρίση μπορεί να πραγματοποιηθεί.

104. Τέλος, φρονώ ότι περιττεύει να επισημανθεί ότι το αιτούν δικαστήριο μπορεί να λάβει υπόψη τις νομικές διατάξεις που ενδεχομένως θέσπισε το κράτος μέλος στο πλαίσιο της δυνατότητας που παρέχεται στο άρθρο 13, παράγραφος 1, στοιχείο δʹ, της οδηγίας 95/46, για τον περιορισμό της εμβέλειας των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στο άρθρο 6 της εν λόγω οδηγίας, όταν αυτό απαιτείται για τη διαφύλαξη, μεταξύ άλλων αγαθών, «[…] της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου […]». Το αιτούν δικαστήριο δεν μνημονεύει την περίπτωση αυτή, αναμφίβολα επειδή γνωρίζει την ύπαρξη αμφοτέρων των άρθρων.

105. Ως εκ τούτου, προτείνω να δοθεί στο δεύτερο προδικαστικό ερώτημα η απάντηση ότι το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 αντιτίθεται σε εθνική κανονιστική ρύθμιση της οποίας η ερμηνεία εμποδίζει φορέα παροχής υπηρεσιών να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεσή τους, με σκοπό να διασφαλιστεί η γενική λειτουργικότητα του τηλεμέσου μετά τη λήξη της εκάστοτε χρήσεως.

VI – Πρόταση

106. Για τους προαναφερθέντες λόγους, προτείνω στο Δικαστήριο να δώσει την ακόλουθη απάντηση στα υποβληθέντα ερωτήματα:

«1) Βάσει του άρθρου 2, στοιχείο αʹ, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, δυναμική διεύθυνση IP μέσω της οποίας χρήστης απέκτησε πρόσβαση στην ιστοσελίδα φορέα παροχής τηλεμέσων αποτελεί ως προς εκείνον “δεδομένο προσωπικού χαρακτήρα”, στο μέτρο που φορέας παροχής υπηρεσιών προσβάσεως στο διαδίκτυο διαθέτει πρόσθετα δεδομένα τα οποία, σε συνδυασμό με τη δυναμική διεύθυνση IP, συμβάλλουν στην εξακρίβωση της ταυτότητας του χρήστη.

2) Το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 έχει την έννοια ότι ο σκοπός της διασφαλίσεως της λειτουργικότητας του τηλεμέσου μπορεί, καταρχήν, να θεωρηθεί έννομο συμφέρον, του οποίου η επίτευξη δικαιολογεί την επεξεργασία του συγκεκριμένου δεδομένου προσωπικού χαρακτήρα, με την επιφύλαξη ότι το ως άνω συμφέρον προέχει του συμφέροντος ή των θεμελιωδών δικαιωμάτων και ελευθεριών του θιγόμενου προσώπου. Εθνική διάταξη η οποία δεν επιτρέπει να ληφθεί υπόψη το εν λόγω έννομο συμφέρον δεν συνάδει με το προμνησθέν άρθρο.»

1 – Γλώσσα του πρωτοτύπου: η ισπανική.

2 – Το άρθρο 5 της οδηγίας 2006/24/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Μαρτίου 2006, για τη διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημοσίων δικτύων επικοινωνιών και για την τροποποίηση της οδηγίας 2002/58/ΕΚ (ΕΕ 2006, L 105, σ. 54), προέβλεπε, μεταξύ άλλων, την υποχρέωση να διατηρούνται, για σκοπούς διερευνήσεως, διαπιστώσεως και τιμωρίας σοβαρών αδικημάτων, «η ημερομηνία και η ώρα σύνδεσης και αποσύνδεσης με το Διαδίκτυο, […] καθώς και η διεύθυνση πρωτοκόλλου του διαδικτύου (ΙΡ), είτε δυναμική είτε στατική που έδωσε στην επικοινωνία ο πάροχος υπηρεσιών πρόσβασης στο Διαδίκτυο, καθώς και ο κωδικός ταυτότητας χρήστη του συνδρομητή ή εγγεγραμμένου χρήστη».

3 – Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).

4 – Απόφαση της 24ης Νοεμβρίου 2011 (C‑70/10, EU:C:2011:771, σκέψη 51).

5 – Ομοίως, απόφαση της 19ης Απριλίου 2012, Bonnier Audio κ.λπ. (C‑461/10, EU:C:2012:219, σκέψεις 51 και 52).

6 – Νόμος της 26ης Φεβρουαρίου 2007 (BGBl 2007 I, σ. 179).

7 – Νόμος της 20ής Δεκεμβρίου 1990 (BGBl 1990 I, σ. 2954).

8 – Κατά το Bundesgerichtshof, τέτοια δεδομένα χρήσεως είναι στοιχεία για την εξακρίβωση της ταυτότητας του χρήστη, δεδομένα για την έναρξη, τη λήξη καθώς και την έκταση της εκάστοτε χρήσεως και δεδομένα σχετικά με τα τηλεμέσα που χρησιμοποιήθηκαν από τον χρήστη.

9 – Απόφαση της 24ης Νοεμβρίου 2011 (C‑70/10, EU:C:2011:771, σκέψη 51).

10 – Ζήτημα το οποίο κρίθηκε από το Δικαστήριο με τις αποφάσεις της 24ης Νοεμβρίου 2011, Scarlet Extended (C‑70/10, EU:C:2011:771, σκέψη 51), και της 19ης Απριλίου 2012, Bonnier Audio κ.λπ. (C‑461/10, EU:C:2012:219). Στις σκέψεις 51 και 52 της δεύτερης αποφάσεως, το Δικαστήριο κατέληξε στη διαπίστωση ότι η κοινοποίηση, «για να διαπιστώσουν την ταυτότητά του, του ονοματεπώνυμου και της διευθύνσεως […] ενός χρήστη του Διαδικτύου που χρησιμοποιεί τη διεύθυνση IP από την οποία εικάζεται ότι παράνομα αντηλλάγησαν αρχεία περιέχοντα προστατευόμενα έργα […] συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2, πρώτο εδάφιο, της οδηγίας 2002/58, σε συνδυασμό με το άρθρο 2, στοιχείο βʹ, της οδηγίας 95/46».

11 – Σχετικά με τις δύο θέσεις στη θεωρία, βλ., για παράδειγμα, Schreibauer, M., σε Kommentar zum Bundesdatenschutzgesetz. Nebengesetze, Esser, M., Kramer, P., και von Lewinski, K. (επιμ.), Carl Heymanns Verlag/Wolters Kluwer, Κολωνία, 2014, 4η έκδ., § 11 Telemediengesetz (4 έως 10). Nink, J., και Pohle, J.: «Die Bestimmbarkeit des Personenbezugs. Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze», σε Multimedia und Recht, 9/2015, σ. 563 έως 567. Heidrich, J., και Wegener, C.: «Rechtliche und technische Anforderungen an die Protokollierung von IT-Daten. Problemfall Logging», σε Multimedia und Recht, 8/2015, σ. 487 έως 492. Leisterer, H.: «Die neuen Pflichten zur Netz– und Informationssicherheit und die Verarbeitung personenbezogener Daten zur Gefahrenabwehr», σε Computer und Recht, 10/2015, σ. 665 έως 670.

12 – Παρατίθεται στο σημείο 13.

13 – Παρατίθεται στο σημείο 11.

14 – Αυτό επισήμανε ο γενικός εισαγγελέας P. Cruz Villalón στις προτάσεις του στην υπόθεση Scarlet Extended (C‑70/10, EU:C:2011:255, σημείο 76), και αυτό εκτίμησε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων στις γνωμοδοτήσεις του, της 22ας Φεβρουαρίου 2010, σχετικά με τις τρέχουσες διαπραγματεύσεις στις οποίες συμμετέχει η Ευρωπαϊκή Ένωση για τη σύναψη εμπορικής συμφωνίας καταπολέμησης της παραποίησης/απομίμησης (ACTA) (ΕΕ 2010, C 147, σ. 1, παράγραφος 24), και της 10ης Μαΐου 2010, σχετικά με την πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την καταπολέμηση της σεξουαλικής κακοποίησης, της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας, με την οποία καταργείται η απόφαση-πλαίσιο 2004/68/ΔΕΥ (ΕΕ 2010, C 323, σ. 6, παράγραφος 11).

15 – Βλ., συναφώς, απόφαση της 20ής Μαΐου 2003, Österreichischer Rundfunk (C‑465/00, C‑138/01 και C‑139/01, EU:C:2003:294, σκέψη 68), και προτάσεις της γενικής εισαγγελέα J. Kokott στην υπόθεση Promusicae (C‑275/06, EU:C:2007:454, σημεία 51 επ.).

16 – Πρέπει να γίνει δεκτό ότι, εκτός αποδείξεως του αντιθέτου, το συγκεκριμένο πρόσωπο είναι αυτό που πλοηγήθηκε στο διαδίκτυο και έχει πρόσβαση στην αντίστοιχη ιστοσελίδα. Εν πάση περιπτώσει, ακόμη και χωρίς την παραδοχή αυτή, οι πληροφορίες σχετικά με την ημερομηνία, την ώρα και την ψηφιακή προέλευση της προσβάσεως σε ιστοσελίδα επιτρέπουν τη σύνδεση της εν λόγω προσβάσεως με τον κάτοχο της συσκευής και τη σύνδεση αυτού εμμέσως με τα πρότυπα της συμπεριφοράς του στο διαδίκτυο. Ενδεχόμενη εξαίρεση αποτελούν οι διευθύνσεις IP οι οποίες αποδίδονται σε υπολογιστές χώρων όπως τα Ίντερνετ καφέ, των οποίων οι ανώνυμοι χρήστες δεν είναι πρόσωπα των οποίων μπορεί να εξακριβωθεί η ταυτότητα, ενώ η πλοήγηση στο διαδίκτυο των κατόχων των εν λόγω υπολογιστών στον συγκεκριμένο χώρο δεν παράγει καμία λυσιτελή πληροφορία προσωπικού χαρακτήρα. Αυτή είναι, εξάλλου, η μόνη εξαίρεση της αρχής ότι οι διευθύνσεις IP αποτελούν δεδομένα προσωπικού χαρακτήρα την οποία δέχεται η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία συστήθηκε από την οδηγία 95/46 (γνωστή ως «ομάδα του άρθρου 29»). Βλ. γνωμοδότηση 4/2007, της 20ής Ιουνίου 2007, σχετικά με την έννοια του όρου «δεδομένα προσωπικού χαρακτήρα», WP 136, στη διεύθυνση http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.

17 – Η υπογράμμιση δική μου.

18 – Αυτή η προληπτική και προορατική τάση αποτελεί τη βάση της στάσεως που υιοθέτησε η ομάδα του άρθρου 29, κατά την οποία, όπως επισημάνθηκε, αφετηρία πρέπει να αποτελεί η αρχή ότι οι διευθύνσεις IP συνιστούν δεδομένο προσωπικού χαρακτήρα, κάνοντας δεκτή ως μοναδική εξαίρεση την περίπτωση στην οποία ο πάροχος της υπηρεσίας είναι σε θέση να καθορίσει με απόλυτη βεβαιότητα ότι πρόκειται για διευθύνσεις οι οποίες αντιστοιχούν σε πρόσωπα των οποίων η ταυτότητα δεν μπορεί να εξακριβωθεί, όπως μπορεί να είναι οι χρήστες ενός Ίντερνετ καφέ. Βλ. υποσημείωση 16, in fine.

19 – Παράγραφοι 40 και 45 των γραπτών παρατηρήσεών της.

20 – Στο πλαίσιο αυτό, δεν ασκεί επιρροή το γεγονός ότι η πρόσβαση στο δεδομένο προσωπικού χαρακτήρα είναι εκ των πραγμάτων εφικτή μέσω της παραβιάσεως της νομοθεσίας περί προστασίας των δεδομένων.

21 – Παράγραφοι 47 και 48 των γραπτών παρατηρήσεών της.

22 – Παράγραφος 36 των γραπτών παρατηρήσεών της.

23 – Δεν εμπίπτει στο πεδίο εφαρμογής της οδηγίας 95/46 η «επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους […] και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου» (η υπογράμμιση δική μου).

24 – Απόφαση της 6ης Νοεμβρίου 2003 (C‑101/01, EU:C:2003:596, σκέψη 43).

25 – Ομοίως, απόφαση της 16ης Δεκεμβρίου 2008, Satakunnan Markkinapörssi και Satamedia (C‑73/07, EU:C:2008:727, σκέψη 41).

26 – Σκέψη 36 της διατάξεως περί παραπομπής.

27 – Απόφαση της 16ης Δεκεμβρίου 2008 (C‑524/06, EU:C:2008:724, σκέψη 45).

28 – Απόφαση της 30ής Μαΐου 2006 (C‑317/04 και C‑318/04, EU:C:2006:346, σκέψεις 54 έως 59).

29 – Όπ.π. (σκέψη 59). Η υπόθεση αφορούσε δεδομένα προσωπικού χαρακτήρα των οποίων η επεξεργασία δεν ήταν απαραίτητη για την παροχή των υπηρεσιών που αποτελούσε τη δραστηριότητα των θιγόμενων ιδιωτικών φορέων (αεροπορικές εταιρείες), αλλά τα οποία οι εν λόγω ιδιωτικοί φορείς υποχρεούνταν να διαβιβάσουν σε αμερικανικές αρχές για την πρόληψη και την καταπολέμηση της τρομοκρατίας.

30 – Παρατίθεται στο σημείο 17.

31 – Βλ. σημείο 84. Βεβαίως, οι κάτοχοι ιστοσελίδων έχουν έννομο συμφέρον να προλαμβάνουν και να καταπολεμούν τις επιθέσεις αρνήσεως υπηρεσιών («denials of service») που μνημονεύει το αιτούν δικαστήριο, δηλαδή τις μαζικές επιθέσεις οι οποίες εξαπολύονται, ενίοτε, με συντονισμένο τρόπο κατά ορισμένων δικτυακών τόπων για να προκαλέσουν τον κορεσμό και την αδυναμία λειτουργίας τους.

32 – Απόφαση της 24ης Νοεμβρίου 2011 (C‑468/10 και C‑469/10, EU:C:2011:777).

33 – Όπ.π. (σκέψη 30).

34 – Όπ.π. (σκέψη 32).

35 – Περίπτωση στην οποία η εθνική νομοθεσία πρόσθεσε στις απαιτήσεις που προβλέπονται στο άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 την απαίτηση να περιλαμβάνονται τα δεδομένα που υποβάλλονται σε επεξεργασία σε προσβάσιμες στο κοινό πηγές.

36 – Απόφαση της 24ης Νοεμβρίου 2011 (C‑468/10 και C‑469/10, EU:C:2011:777).

37 – Κεφάλαιο II, με τίτλο «Γενικές προϋποθέσεις σχετικά με τη θεμιτή επεξεργασία δεδομένων προσωπικού χαρακτήρα», το οποίο περιλαμβάνει τα άρθρα 5 έως 21 της οδηγίας 95/46.

38 – Απόφαση της 24ης Νοεμβρίου 2011 (C-468/10 και C-469/10, EU:C:2011:777, σκέψη 36).

39 – Όπ.π. (σκέψη 47).

40 – Κατά την επ’ ακροατηρίου συζήτηση, ο P. Breyer αμφισβήτησε ότι η αποθήκευση των δυναμικών διευθύνσεων IP είναι απαραίτητη για την ορθή λειτουργία των υπηρεσιών διαδικτύου σε περίπτωση επιθέσεων. Δεν πιστεύω ότι μπορεί να δοθεί κατηγορηματική απάντηση στο ζήτημα αυτό, για την επίλυση του οποίου, αντιθέτως, θα πρέπει να προηγείται, σε κάθε επιμέρους υπόθεση, η αντιπαραβολή του συμφέροντος του κατόχου του δικτυακού τόπου και των δικαιωμάτων και των συμφερόντων των χρηστών.