Language of document : ECLI:EU:C:2007:454

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

J. KOKOTT

fremsat den 18. juli 2007 1(1)

Sag C-275/06

Productores de Música de España (Promusicae)

mod

Telefónica de España SAU

(anmodning om præjudiciel afgørelse indgivet af Juzgado de lo mercantil nº 5, Madrid(Spanien))

»Informationssamfundet – ophavsret og beslægtede rettigheder – databeskyttelse – videregivelse af trafikdata«





I –    Indledning

1.        Denne sag viser, at opbevaring af data til bestemte formål fremkalder et ønske om at udnytte disse data i et større omfang. I Spanien skal udbydere af adgang til internettet opbevare visse data vedrørende hver enkelt bruger, således at disse eventuelt kan anvendes i forbindelse med en strafferetlig undersøgelse eller med det formål at beskytte den offentlige sikkerhed og det nationale forsvar. Nu vil et forbund af indehavere af ophavsrettigheder ved hjælp af disse data identificere brugere, som har krænket ophavsrettigheder, idet de har udvekslet filer.

2.        Derfor ønsker den forelæggende ret oplyst, hvorvidt fællesskabsretten tillader eller endda kræver, at personlige trafikdata vedrørende benyttelse af internettet videregives til indehaverne af intellektuelle ejendomsrettigheder. Den forelæggende ret antager, at forskellige direktiver vedrørende beskyttelse af intellektuelle ejendomsrettigheder og informationssamfundet giver indehaverne af sådanne rettigheder et krav over for udbyderne af elektroniske tjenester på at få udleveret sådanne data, hvis disse data kan bevise, at der foreligger krænkelse af sådanne beskyttende rettigheder.

3.        Senere skal jeg imidlertid påvise, at bestemmelserne i fællesskabsretten om databeskyttelse i forbindelse med elektronisk kommunikation kun tillader videregivelse af personlige trafikdata til de kompetente statslige myndigheder og ikke direkte videregivelse til indehavere af ophavsrettigheder, som ønsker at retsforfølge en krænkelse af deres rettigheder i et civilt søgsmål.

II – Retsforskrifter

A –    Fællesskabsretten

4.        I denne sag er bestemmelserne om beskyttelse af intellektuelle ejendomsrettigheder og om elektronisk handel samt især bestemmelserne om databeskyttelse relevante.

1.      Beskyttelse af intellektuelle rettigheder i informationssamfundet

5.        For så vidt angår beskyttelse af intellektuelle ejendomsrettigheder i informationssamfundet skal jeg først og fremmest nævne Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (2).

6.        Artikel 1, stk. 5, i direktiv 2000/31 afgrænser direktivets anvendelsesområde. Ifølge litra b) finder dette direktiv ikke anvendelse på »spørgsmål, der vedrører informationssamfundstjenester omfattet af direktiv 95/46/EF og 97/66/EF« (3).

7.        Artikel 15, stk. 2, i direktiv 2000/31 bestemmer:

»Medlemsstaterne kan kræve, at leverandører af informationssamfundstjenester straks underretter de kompetente offentlige myndigheder om påståede ulovlige aktiviteter, der udøves, eller information, der leveres af deres tjenestemodtagere, eller at de på anmodning giver de kompetente myndigheder oplysninger, som gør det muligt at identificere de tjenestemodtagere, de har oplagringsaftaler med.«

8.        Artikel 18, stk. 1, i direktiv 2000/31 har følgende ordlyd:

»Medlemsstaterne drager omsorg for, at indgivelse af søgsmål i henhold til national ret vedrørende aktiviteter i forbindelse med informationssamfundstjenester kan føre til hurtig vedtagelse af forholdsregler, herunder foreløbige forholdsregler, for at bringe den påståede overtrædelse til ophør og hindre, at der opstår yderligere skade for de berørte interesser.«

9.        Særlige regler for beskyttelse af intellektuelle ejendomsrettigheder i elektronisk trafik findes i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet (4). Især er dette direktivs artikel 8, med overskriften »Sanktioner og retsmidler«, relevant:

»1. Medlemsstaterne indfører passende sanktioner og retsmidler over for krænkelser af de rettigheder og forpligtelser, der er fastsat i dette direktiv, og de træffer de foranstaltninger, der er nødvendige for at sikre, at sanktionerne og retsmidlerne finder anvendelse. Sanktionerne skal være effektive, stå i et rimeligt forhold til krænkelsen og være afskrækkende.

2. Hver medlemsstat træffer de foranstaltninger, der er nødvendige for at sikre, at rettighedshavere, hvis interesser påvirkes af en krænkelse på dens område, kan anlægge erstatningssøgsmål og/eller kræve nedlagt forbud og i givet fald kræve beslaglæggelse af det materiale, der ligger til grund for krænkelsen, samt de i artikel 6, stk. 2, nævnte anordninger, produkter eller komponenter.

3. […]«

10.      Artikel 9 i direktiv 2001/29 begrænser dets anvendelsesområde som følger:

»Dette direktiv berører ikke bestemmelser vedrørende især patentret, varemærker, mønsterrettigheder, brugsmønstre, halvlederprodukters topografi, skrifttyper, adgangsstyrede og adgangsstyrende tjenester, adgang til radio- og tv-spredningstjenesters kabel, beskyttelse af nationale skatte, pligtaflevering, lovgivning om restriktiv praksis og illoyal konkurrence, forretningshemmeligheder, sikkerhed, klassificerede oplysninger, databeskyttelse og privatlivets fred, aktindsigt i offentlige dokumenter og aftalelovgivningen.«

11.      En særlig ret til information har indehavere af intellektuelle ejendomsrettigheder i medfør af artikel 8 i Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder (5):

»1. Medlemsstaterne sikrer, at de kompetente retslige myndigheder i forbindelse med sager om krænkelse af en intellektuel ejendomsrettighed og som svar på en velbegrundet og forholdsmæssig afpasset begæring fra rekvirenten, kan pålægge den krænkende part og/eller enhver anden person at give oplysninger om oprindelsen af og distributionskanalerne for de varer eller tjenesteydelser, der krænker en intellektuel ejendomsrettighed, såfremt den pågældende:

[…]

c)      er fundet i færd med at yde tjenester, der anvendes i de omtvistede aktiviteter, i kommerciel målestok

[…]

2. De i stk. 1 nævnte oplysninger omfatter i givet fald:

a)      navn og adresse på producenter, fremstillere, distributører, leverandører og andre tidligere indehavere af varer eller tjenesteydelser samt på engros- og detailhandelsled

b)      […]

3. Stk. 1 og 2 finder anvendelse med forbehold af andre lovbestemmelser, der:

a)-d) […]

eller

e)      omhandler beskyttelsen af fortrolige kilder til information eller behandlingen af personoplysninger.«

12.      Samtidig berører direktiv 2004/48 ifølge dets artikel 2, stk. 3, ikke

»a)      fællesskabsbestemmelserne med materielle regler vedrørende intellektuel ejendomsret, direktiv 95/46/EF, direktiv 1999/93/EF og direktiv 2000/31/EF i almindelighed, og artikel 12-15 i direktiv 2000/31/EF i særdeleshed

b)      [...]«

2.      Bestemmelserne om databeskyttelse

13.      For så vidt angår databeskyttelse er Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (6) vigtig.

14.      Dette direktiv »tager [ifølge dets artikel 1, stk. 1] sigte på en harmonisering af medlemsstaternes bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig privatlivets fred i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i Fællesskabet«.

15.      Af direktivets artikel 1, stk. 2, fremgår, at dets bestemmelser med henblik på at nå de i stk. 1 omhandlede mål specificerer og supplerer Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (7).

16.      Artikel 2, litra b), i direktiv 2002/58 definerer begrebet trafikdata som »data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf«.

17.      Behandlingen af trafikdata reguleres i artikel 6:

»1.      Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5 samt artikel 15, stk. 1.

2.      Med henblik på debitering af abonnenten og afregning for samtrafik er det tilladt at behandle trafikdata. En sådan behandling er tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.

3.-5. […]

6.      Stk. 1, 2, 3 og 5 berører ikke de kompetente organers mulighed for i overensstemmelse med gældende lovgivning at indhente oplysninger om trafikdata med henblik på bilæggelse af tvister, navnlig vedrørende samtrafik eller debitering.«

18.      Det forbehold, som artikel 6, stk. 1, i direktiv 2002/58 henviser til i direktivets artikel 15, stk. 1, har følgende ordlyd:

»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«

19.      Dette forbehold forklares i betragtning 11:

»(11) Ligesom direktiv 95/46/EF finder dette direktiv ikke anvendelse på beskyttelse af grundlæggende rettigheder og frihedsrettigheder, der er forbundet med aktiviteter, der ikke er omfattet af fællesskabsretten. Det ændrer derfor ikke den nuværende balance mellem enkeltpersoners ret til privatlivets fred og medlemsstaternes mulighed for, jf. artikel 15, stk. 1, i dette direktiv, at træffe de foranstaltninger, der er nødvendige til beskyttelse af den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område. Dette direktiv berører derfor ikke medlemsstaternes mulighed for lovligt at opfange elektronisk kommunikation eller træffe andre foranstaltninger, hvis det er nødvendigt med et af disse formål for øje og i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder som fortolket i Den Europæiske Menneskerettighedsdomstols retspraksis. Sådanne foranstaltninger skal være passende, stå i åbenbart rimeligt forhold til det mål, der forfølges, og være nødvendige i et demokratisk samfund, og foranstaltningerne bør omfattes af passende beskyttelsesordninger i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.«

20.      Artikel 19 i direktiv 2002/58 regulerer dette direktivs forhold til det foregående direktiv 97/66:

»Direktiv 97/66/EF ophæves herved med virkning fra den i artikel 17, stk. 1, nævnte dato.

Henvisninger til det ophævede direktiv skal læses som henvisninger til dette direktiv.«

21.      I artikel 15, stk. 1, i direktiv 2002/58 henvises der til artikel 13, stk. 1, i direktiv 95/46, som har følgende ordlyd:

»1. Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til

a)      statens sikkerhed

b)      forsvaret

c)      den offentlige sikkerhed

d)      forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv

e)      væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender

f)      en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder

g)      beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.«

22.      Derudover angives, at der i medfør af artikel 29 i direktiv 95/46 er nedsat en uafhængig gruppe bestående af repræsentanter fra medlemsstaternes tilsynsmyndigheder for databeskyttelsesområdet (herefter »Artikel 29-gruppen vedrørende Databeskyttelse« eller »databeskyttelsesgruppen«) (8). Den har til opgave at tage stilling til retlige spørgsmål vedrørende databeskyttelse. En lignende funktion indtager den tilsynsførende for databeskyttelse, som er udpeget i henhold til artikel 286 EF og forordning (EF) nr. 45/2001 (9).

23.      Endelig er også Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58 (10) relevant i denne sag.

24.      Direktiv 2006/24 forpligter medlemsstaterne til bl.a. at lagre trafikdata vedrørende internettrafikken. I medfør af dets artikel 15 skal direktivet gennemføres senest den 15. september 2007, men det giver dog mulighed for at udsætte lagring vedrørende internettrafikken i yderligere 18 måneder. Kongeriget Spanien har ikke udnyttet denne mulighed.

25.      Artikel 11 i direktiv 2006/24 indsætter et nyt stk. 1a i artikel 15 i direktiv 2002/58:

»Stk. 1 finder ikke anvendelse på data, der udtrykkelig kræves lagret i henhold til Europa-Parlamentets og Rådets direktiv 2006/24/EF […] til de formål, der er omhandlet i nævnte direktivs artikel 1, stk. 1.«

26.      Videregivelse af data, der lagres i henhold til direktiv 2006/24, er reguleret i artikel 4:

»Medlemsstaterne træffer foranstaltninger til at sikre, at data, der lagres i overensstemmelse med dette direktiv, kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning. Hver medlemsstat fastsætter i sin nationale lovgivning den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data i overensstemmelse med kravet om nødvendighed og proportionalitet, under hensyn til de relevante bestemmelser i EU-retten og folkeretten, herunder navnlig den europæiske menneskerettighedskonvention, således som den er fortolket af Den Europæiske Menneskerettighedsdomstol.«

B –    Spansk ret

27.      Den forelæggende ret har i forbindelse med redegørelsen for retsforskrifterne i den nationale ret i det væsentligste alene nævnt artikel 12, stk. 1-3, i Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico af 11. juli 2002 (lov nr. 34/2002 om tjenesteydelser i informationssamfundet og om elektronisk handel):

»Artikel 12. Forpligtelsen til at opbevare trafikdata vedrørende elektroniske kommunikationer

1.      Netoperatørerne og leverandørerne af tjenesteydelser vedrørende elektronisk kommunikation, leverandørerne af adgang til telekommunikationsnet og virksomheder, der leverer ydelser vedrørende oplagring af data, er forpligtet til at opbevare de tilslutnings- og trafikdata, der skabes ved de kommunikationer, der etableres i forbindelse med leveringen af en tjenesteydelse i informationssamfundet, i en periode på maksimalt 12 måneder, i henhold til de nærmere bestemmelser i denne artikel og i gennemførelsesbestemmelserne dertil.

2.      […] De i denne artikel omhandlede netoperatører og leverandører af ydelser vedrørende elektronisk kommunikation og tjenesteydere må ikke anvende de opbevarede data til andre formål end dem, der er angivet nedenfor i stk. 3, eller til anden lovhjemlet anvendelse, og de skal træffe passende sikkerhedsforanstaltninger for at undgå, at disse data fortabes eller ændres, eller at der gives uautoriseret adgang til dem.

3.      De nævnte data opbevares med henblik på at finde anvendelse i forbindelse med en strafferetlig undersøgelse eller med det formål at beskytte den offentlige sikkerhed og det nationale forsvar, og de stilles til rådighed for dommere, retter og anklagemyndigheden på disses instansers begæring herom. Forelæggelse af disse data for sikkerhedsstyrkerne og -organerne sker med forbehold af bestemmelserne i lovgivningen om beskyttelse af personlige oplysninger.«

28.      Endvidere har den forelæggende ret angivet, at krænkelse af ophavsrettigheder kun er strafbart i Spanien, såfremt handlingen begås med vinding for øje (11).

III – Den tekniske baggrund, de faktiske omstændigheder og tvisten i hovedsagen

29.      Sagsøgeren i hovedsagen (Productores de Música de España, herefter »Promusicae«) er en sammenslutning, der arbejder uden vinding for øje, og hvis medlemmer er producenter og udgivere af musikoptagelser og audiovisuelle optagelser, i det væsentlige af musik. Den har anlagt sag med begæring om, at en spansk udbyder af internetadgang, Telefónica de España SAU, skal afsløre bestemte internetbrugeres identitet og bopæl. Promusicae har identificeret disse personer ved hjælp af såkaldte IP-adresser samt datoen og tidspunktet for benyttelsen af disse.

30.      IP-adressen er et numerisk adresseformat, sammenligneligt med et telefonnummer, som gør det muligt at kommunikere på internettet mellem opkoblede apparater som webservere, e-mail-servere eller private computere. F.eks. har den server, via hvilken man kan få adgang til Domstolens internetsider, IP-adressen 147.67.243.28 (12). Når man går ind på en internetside, modtager den computer, som den pågældende side ligger på, adressen på den computer, som benyttes til at komme ind på siden med, således at dataene via internettet kan overføres fra den ene til den anden computer.

31.      Med henblik på at koble private brugere på internettet kan de – ligesom ved tilslutning til telefonnettet – få tildelt faste IP-adresser. Dette er dog ret sjældent, da internettet stadig er organiseret således, at hver enkelt internetudbyder kun har et begrænset antal adresser til rådighed (13). Derfor anvendes for det meste – ligesom i det foreliggende tilfælde – dynamiske IP-adresser, dvs. at udbyderen hver gang, hans kunde kobler sig på internettet, tildeler denne en ad hoc-adresse fra sin adressekvote. I sagens natur kan adressen ændre sig, hver gang man kobler sig på.

32.      Promusicae har anført, at de har identificeret en række IP-adresser, som på bestemte tidspunkter er blevet benyttet til såkaldt filesharing af musikfiler, som deres medlemmer har ophavs- og licensrettighederne til.

33.      Filesharing er en form for udveksling af filer, f.eks. af musikstykker eller film. Brugerne kopierer først filerne til deres egen computer og tilbyder dem så senere til enhver, som de er forbundet med via internettet og et bestemt program, i dette tilfælde Kazaa. Derved benyttes normalt (14) den persons IP-adresse, som tilbyder andre at hente filen, og derfor kan man finde frem til denne.

34.      Med henblik på at anlægge sag mod disse brugere har Promusicae krævet af den pågældende udbyder af internetadgang, selskabet Telefónica, at få oplyst, hvilke brugere der på de af sagsøgeren anførte tidspunkter havde fået tildelt de ligeledes af sagsøgeren identificerede IP-adresser. Telefónica kan finde frem til, hvem der i hvert enkelt tilfælde har koblet sig på systemet, da selskabet også efter hver opkobling lagrer, hvem det har tildelt en bestemt IP-adresse og hvornår.

35.      Den forelæggende ret afsagde først en kendelse, hvorved den pålagde Telefónica at udlevere de ønskede oplysninger. Telefónica gjorde imidlertid indsigelse mod dette under henvisning til, at det i medfør af artikel 12 i loven om tjenesteydelser i informationssamfundet og om elektronisk handel under ingen omstændigheder kan udlevere oplysninger til retten. Operatøren af elektroniske kommunikationer eller leverandøren af tjenesteydelsen vil kun under en strafferetlig undersøgelse, eller såfremt det er nødvendigt for at beskytte den offentlige sikkerhed, eller hvis nationale sikkerhedsinteresser er berørt, være forpligtet til at stille de data til rådighed, som denne pligtmæssigt skal opbevare ifølge loven.

36.      Den forelæggende ret anser det ganske vist for muligt, at denne opfattelse er korrekt ifølge spansk lov, men mener dog, at den omhandlede bestemmelse da er uforenelig med fællesskabsretten. Derfor har den anmodet Domstolen om at afgøre følgende præjudicielle spørgsmål:

»Tillader fællesskabsretten – og konkret artikel 15, stk. 2, og artikel 18 i direktiv 2000/31, artikel 8, stk. 1 og 2, i direktiv 2001/29, artikel 8 i direktiv 2004/48 og artikel 17, stk. 2, og artikel 47 i Den Europæiske Unions charter – at medlemsstaterne begrænser den pligt til opbevaring og tilrådighedsstillelse af tilslutnings- og trafikdata, der skabes ved kommunikationer, som etableres i forbindelse med leveringen af en informationssamfundstjeneste, og som påhviler netoperatører og tjenesteydere inden for elektronisk kommunikation, leverandører af adgang til telekommunikationsnet og leverandører af dataoplagringstjenester, til en strafferetlig undersøgelse eller til formål vedrørende beskyttelse af den offentlige sikkerhed og det nationale forsvar, således at forpligtelsen ikke finder anvendelse i civile retssager?«

37.      Promusicae, Telefónica, Finland, Italien, Slovenien, Det Forenede Kongerige samt Kommissionen har deltaget i sagen. Derimod har Artikel 29-gruppen vedrørende Databeskyttelse (15) og Den Europæiske Tilsynsførende for Databeskyttelse ikke deltaget i sagen, især fordi de i henhold til artikel 23 i Domstolens statut ikke skal gøre det. Da de imidlertid kan yde et vigtigt bidrag i forbindelse med behandlingen af databeskyttelsesretlige spørgsmål, har jeg i det mindste rettet særlig opmærksomhed mod de af deres offentliggjorte udtalelser, som vedrører spørgsmål i denne sag.

IV – Stillingtagen

38.      Domstolen skal tage stilling til, hvorvidt det er foreneligt med de af den forelæggende ret nævnte direktiver, at forpligtelsen til at videregive tilslutningsdata er begrænset til strafferetlig forfølgning og lignende tilfælde, hvorimod civilretlige søgsmål er udelukket fra denne forpligtelse.

39.      Den forelæggende ret er således af den opfattelse, at der er modstrid mellem spansk ret og fællesskabsretten. I den forbindelse har den imidlertid ikke taget i betragtning, at den nævnte bestemmelse i spansk ret er baseret på artikel 15 i direktiv 2002/58 og i vid udstrækning har fået sin ordlyd herfra. Dette direktiv indeholder bestemmelser vedrørende databeskyttelse i forbindelse med elektronisk kommunikation og supplerer for så vidt direktiv 95/46 med generelle regler for databeskyttelse.

40.      Derfor skal jeg undersøge, om det under hensyntagen til bestemmelserne om databeskyttelse er foreneligt med de af den forelæggende ret fremlagte bestemmelser at forbyde udbydere af internetadgang at identificere indehaverne af visse tilslutninger med henblik på at gennemføre en civilretlig sag vedrørende krænkelse af ophavsrettigheder.

A –    Formaliteten

41.      Der kan muligvis rejses tvivl om, hvorvidt anmodningen om en præjudiciel afgørelse for så vidt angår afgørelsens relevans kan antages til realitetsbehandling (16). Et direktiv kan ikke i sig selv skabe forpligtelser for private (17). Hvis spansk ret uden nogen som helst tvivl var til hinder for videregivelse af de omhandlede data, ville den fortolkning af direktiverne, som den forelæggende ret har anmodet om, heller ikke kunne bevirke, at Telefónica blev forpligtiget til at videregive dataene. På grundlag af de foreliggende oplysninger kan det dog ikke udelukkes, at spansk ret kan fortolkes i overensstemmelse med direktiverne. Så længe denne mulighed eksisterer, kan en anmodning om en præjudiciel afgørelse som den foreliggende ikke betragtes som irrelevant (18).

B –    De forskellige direktivers indbyrdes forhold

42.      Visse procesdeltagere koncentrerede sig – næsten udelukkende – om fortolkningen af de af den forelæggende ret nævnte direktiver. I den forbindelse har de flere gange understreget nødvendigheden af at have en effektiv retsbeskyttelse ved krænkelser af ophavsrettigheder. Kommissionen derimod har med rette fremhævet, at samtlige tre direktiver ikke berører databeskyttelsesretten.

43.      I henhold til artikel 1, stk. 5, litra b), i direktiv 2000/31 om elektronisk handel finder direktivet ikke anvendelse på spørgsmål, der vedrører informationssamfundstjenester, som er omfattet af direktiv 95/46 om databeskyttelse, og direktiv 97/66 om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren. Sidstnævnte direktiv er i mellemtiden blevet erstattet af direktiv 2002/58 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor.

44.      Ligeledes bestemmes det udtrykkeligt i artikel 9 i direktiv 2001/29 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet, at direktivet bl.a. ikke berører retlige bestemmelser vedrørende databeskyttelse og privatlivets fred.

45.      Mindre klart er forholdet mellem på den ene side direktiv 2004/48 om håndhævelse af intellektuelle rettigheder og på den anden side databeskyttelse. Ifølge dette direktivs artikel 2, stk. 3, litra a), berører det ikke direktiv 95/46. Promusicae har på grundlag heraf konkluderet, at det der ikke nævnte direktiv 2002/58 ikke finder anvendelse inden for direktiv 2004/48’s anvendelsesområde.

46.      Dette anbringende skal muligvis forstås således, at direktiv 2004/48 ifølge princippet lex posterior derogat legi priori har forrang for direktiv 2002/58, men ikke for det udtrykkeligt undtagne direktiv 95/46. Herimod taler dog, at direktiv 2002/58 ifølge dets artikel 1, stk. 2, specificerer og supplerer direktiv 95/46. Dette formål er ikke tilsigtet med direktiv 2004/48. Tværtimod bør den beskyttelse af den intellektuelle ejendomsret, som dette direktiv sikrer, ifølge dets anden betragtning ikke være til hinder for beskyttelsen af personoplysninger, heller ikke på internettet. Men det ville være selvmodsigende, uden erstatning at lade specificerende og supplerende bestemmelser, som navnlig vedrører databeskyttelse på internettet – som udtrykkeligt ikke måtte påvirkes – ude af betragtning samtidig med, at de generelle bestemmelser stadig respekteres. Tværtimod er det mere nærliggende at udvide det forbehold, som er til fordel for direktiv 95/46, til også at omfatte direktiv 2002/58.

47.      For dette resultat taler for så vidt angår den ret til information i henhold til artikel 8, stk. 1 og 2, i direktiv 2004/48, som jeg skal undersøge her, ligeledes, at denne ret i medfør af direktivets artikel 8, stk. 3, litra c), gælder med forbehold af andre lovbestemmelser, der omhandler behandlingen af personoplysninger. Denne yderligere, udtrykkelige fremhævelse af databeskyttelse var endnu ikke indeholdt i Kommissionens forslag, men blev integreret i direktivet under forhandlingerne i Rådet og i Parlamentet (19). Direktiv 2002/58 indeholder netop sådanne bestemmelser og bliver derfor ikke påvirket, i hvert fald ikke af den her omhandlede ret til informationer i henhold til artikel 8 i direktiv 2004/48.

48.      I øvrigt skal jeg gøre opmærksom på, at heller ikke TRIPs-aftalen (20) kræver, at databeskyttelse skal træde tilbage i forhold til direktiv 2004/48. Promusicae har med rette anført, at artikel 41 og 42 i TRIPs-aftalen kræver effektiv beskyttelse af intellektuelle ejendomsrettigheder, og at det især skal være muligt at opnå retslig beskyttelse. En ret til oplysninger foreskriver artikel 47 i TRIPs-aftalen imidlertid kun indirekte i forhold til lovovertræderne (21). De kontraherende stater kan vælge at indføre en sådan ret, men i henhold til ordlyden i artikel 47 er de ikke forpligtet hertil (22). Udvidelsen af oplysningspligten til også at omfatte tredjemand i medfør af artikel 8 i direktiv 2004/48 er mere vidtrækkende end selv denne valgmulighed. Den kan derfor begrænses af databeskyttelse uden at komme i konflikt med TRIPs-aftalen.

49.      Alle tre af de af den forelæggende ret anførte direktiver må derfor vige for databeskyttelsesdirektiverne 95/46 og 2002/58. I modsætning til, hvad visse procesdeltagere har fremført, betyder dette ikke, at databeskyttelse har forrang frem for målene med disse direktiver. Tværtimod skal databeskyttelse og disse mål inden for rammerne af databeskyttelsesdirektiverne bringes i en forholdsmæssig ligevægt.

C –    Databeskyttelse

50.      Relevant afledt ret er i denne sag direktiv 2002/58 med bestemmelser om databeskyttelse i forbindelse med elektronisk kommunikation samt direktiv 95/46, som regulerer databeskyttelse generelt. Men Domstolen har med henblik på sin fortolkning af disse bestemmelser i den afledte ret uddraget vigtige retningslinjer af databeskyttelsens fundament i de grundlæggende rettigheder.

1.      Databeskyttelsens fundament i de grundlæggende rettigheder

51.      Databeskyttelsen er baseret på den grundlæggende ret til privatlivets fred, som navnlig fremgår af artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder undertegnet i Rom den 4. november 1950 (herefter »EMRK«) (23). I Den Europæiske Unions charter om grundlæggende rettigheder, proklameret i Nice den 7. december 2000 (24) (herefter »Den Europæiske Unions charter«), bekræftes denne grundlæggende ret i artikel 7 og navnlig fremhæves heri den grundlæggende ret til beskyttelse af personoplysninger, herunder også vigtige grundlæggende principper for databeskyttelse, i artikel 8.

52.      I henhold hertil udgør videregivelse af personoplysninger til tredjemand et indgreb i de berørte personers ret til beskyttelse af privatlivets fred, uanset hvorledes de videregivne oplysninger efterfølgende anvendes, og er dermed et indgreb i den forstand, hvori udtrykket er anvendt i EMRK’s artikel 8 (25).

53.      Et sådant indgreb er i strid med EMRK’s artikel 8, medmindre det er »i overensstemmelse med loven« (26). Det skal derfor i overensstemmelse med kravet om forudsigelighed være affattet tilstrækkeligt præcist til, at lovens adressater kan tilpasse deres adfærd til det (27). Kravet om forudsigelighed har fundet en særlig form i databeskyttelsesretten med det bundne formål, som nævnes udtrykkeligt i artikel 8, stk. 2, i Den Europæiske Unions charter. I henhold til den konkret udtrykte formålsbinding i artikel 6, stk. 1, litra b), i direktiv 95/46 må personoplysninger kun indsamles til udtrykkeligt angivne og legitime formål, og senere behandling heraf må ikke være uforenelig med disse formål.

54.      Derudover skal et indgreb i privatlivets fred – behandling af personoplysninger – være forholdsmæssigt i forhold til de formål, der varetages (28). Der skal således foreligge et tvingende socialt hensyn, og den trufne foranstaltning skal stå i et rimeligt forhold til det legitime formål, som varetages (29).

55.      De legitime formål udgør rammen for undersøgelsen i denne sag af de relevante grundlæggende rettigheder, som indehaverne af ophavsrettighederne har, især beskyttelse af ejendomsretten og kravet på effektiv retsbeskyttelse. Også disse to grundlæggende rettigheder hører ifølge fast retspraksis til fællesskabsrettens almindelige grundsætninger (30), hvilket er blevet bekræftet af artikel 17 og 47 i Den Europæiske Unions charter. I Den Europæiske Unions charters artikel 17, stk. 2, understreges, at også intellektuelle ejendomsrettigheder er omfattet af beskyttelsen af den grundlæggende ejendomsret (31).

56.      Balancen mellem de relevante grundlæggende rettigheder tilkommer det i første omgang Fællesskabets lovgiver og dernæst ved fortolkningen af fællesskabsretten Domstolen at fastlægge. Medlemsstaterne er dog også forpligtede til at overholde disse rettigheder, når de gennemfører direktiver inden for rammerne af deres resterende lovgivningsmæssige spillerum. Derudover skal medlemsstaternes myndigheder og domstole ikke kun fortolke deres nationale ret i overensstemmelse med databeskyttelsesdirektiverne, men også sørge for, at de ikke lægger en fortolkning af disse direktiver til grund, som kommer i konflikt med grundlæggende rettigheder, som beskyttes ved Fællesskabets retsorden, eller med andre generelle fællesskabsretlige principper (32).

2.      Anvendelse af databeskyttelsesdirektiverne

57.      Den afledte ret konkretiserer bestemmelserne vedrørende de grundlæggende rettigheder for så vidt angår databeskyttelse og udvider dem på et punkt, som også er afgørende for denne sag. Direktiverne foreskriver nemlig ikke kun, at statslige myndigheder er forpligtet til at overholde databeskyttelsen, men har tillige udvidet dennes anvendelsesområde til også at omfatte enkeltpersoner, medmindre det drejer sig om en handling i medfør af artikel 3, stk. 2, andet led, i direktiv 95/46, som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter (33). Dermed gennemfører og konkretiserer Fællesskabet et beskyttelsesformål, som er et resultat af den grundlæggende ret til databeskyttelse (34).

58.      Hverken Promusicaes civilretlige sag med påstand om krænkelse af ophavsrettigheder eller Telefónicas behandling af tilslutningsdata kan kvalificeres som personlige eller familiemæssige aktiviteter. Dette fremgår for så vidt angår behandling af tilslutningsdata også af selve eksistensen af direktiv 2002/58, som ganske vist ikke indeholder undtagelsen for personlige og familiemæssige aktiviteter, men hvori det antages, at behandling af personoplysninger foretaget af udbydere af elektroniske kommunikationstjenester principielt er underlagt databeskyttelsen. Således er fremsendelse af sådanne data mellem private virksomheder ikke udelukket fra databeskyttelsens anvendelsesområde. Derfor skal jeg undersøge, hvorvidt de øvrige forudsætninger for at anvende databeskyttelsesretten er til stede i den foreliggende sag.

59.      Direktiv 2002/58 finder ifølge dets artikel 3, stk. 1, anvendelse på behandling af personoplysninger i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Fællesskabet. Disse begreber defineres ifølge artikel 2 i direktiv 2002/58, i direktiv 95/46 og i direktiv 2002/21/EF (35).

60.      Det at stille internetadgang til rådighed er en offentligt tilgængelig elektronisk kommunikationstjeneste i den forstand, som fremgår af artikel 2, litra c), i direktiv 2002/21, dvs. en tjeneste, som normalt ydes mod betaling, og som udelukkende eller overvejende består i overføring af signaler via elektroniske kommunikationsnet.

61.      Oplysninger om, hvilke brugere havde fået tildelt bestemte IP-adresser på bestemte tidspunkter, omfatter personoplysninger i henhold til artikel 2, litra a), i direktiv 95/46, nemlig informationer om identificerede eller identificerbare (36) fysiske personer. Ved hjælp af disse oplysninger knyttes de handlinger, som er foretaget på den pågældende IP-adresse, sammen med indehaveren af tilslutningen.

62.      Videregivelse af sådanne oplysninger anføres i artikel 2, litra b), i direktiv 95/46 udtrykkeligt som et eksempel på behandling, dvs. en operation med eller uden brug af elektronisk databehandling.

63.      Samtidig er i hvert fald brugernes midlertidigt tildelte IP-adresser trafikdata i den forstand, som fremgår af definitionen i artikel 2, litra b), i direktiv 2002/58, nemlig data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet.

3.      De relevante forbud mod behandling af data

64.      I medfør af artikel 5, stk. 1, i direktiv 2002/58 omfatter kommunikationshemmeligheden også de med kommunikationen forbundne trafikdata. Medlemsstaterne skal især forbyde lagring og andre måder, hvorpå trafikdata kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1.

65.      Artikel 6, stk. 1, i direktiv 2002/58 bestemmer for så vidt angår eventuel lagring af trafikdata i forbindelse med driften af kommunikationsnet, at disse data, som vedrører abonnenter og brugere, og som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog denne artikels stk. 2, 3 og 5, samt artikel 15, stk. 1.

66.      Såvel lagring som videregivelse af personlige trafikdata om brugen af internettet skal derfor principielt forbydes.

4.      Undtagelserne fra forbuddene mod at behandle data

67.      Der gælder imidlertid undtagelser fra disse forbud mod at behandle data. Disse findes i artikel 6 og 15 i direktiv 2002/58.

a)      Undtagelserne i medfør af artikel 6, stk. 2, 3 og 5, i direktiv 2002/58

68.      De undtagelser i artikel 6, stk. 2, 3 og 5, i direktiv 2002/58, som der udtrykkeligt henvises til i artikel 6, stk. 1, udgør ikke nogen egnet hjemmel for, at behandlingsforbuddet i medfør af stk. 1 ikke tages i betragtning ved videregivelse af oplysninger til Promusicae.

69.      Ifølge artikel 6, stk. 2, i direktiv 2002/58 er det undtagelsesvis tilladt at behandle disse trafikdata, såfremt og så længe det er nødvendigt med henblik på debitering af abonnenten og afregning af samtrafik. Det er allerede tvivlsomt, hvorvidt denne undtagelse overhovedet tillader at lagre, hvem der har fået en dynamisk IP-adresse tildelt hvornår. Normalt er disse oplysninger ikke nødvendige for at debitere abonnenten internetudbyderens gebyrer. De gængse afregningsmetoder er baseret på varigheden af opkoblingen hos internetudbyderen eller på omfanget af brugerens trafikdata, medmindre der endda er blevet aftalt ubegrænset brug af internetadgangen mod betaling af et fast beløb. Men såfremt behandling af IP-adressen ikke er nødvendig for afregningen, er det også af denne grund ikke tilladt at lagre den (37).

70.      Uafhængigt heraf udgør artikel 6, stk. 2, under alle omstændigheder ikke nogen egnet hjemmel til at videregive trafikdata til tredjemand, som vil drage brugeren til ansvar for handlinger, som er begået under anvendelsen af denne IP-adresse. Sådanne foranstaltninger til forfølgelse af en bruger har intet at gøre med debitering af abonnenten eller afregning af samtrafik.

71.      Lige så lidt relevant er undtagelsen i medfør af artikel 6, stk. 3, i direktiv 2002/58. Den tillader kun, såfremt brugeren har givet sit samtykke hertil, at udbyderen behandler data med henblik på markedsføring af elektroniske kommunikationstjenester eller levering af tillægstjenester.

72.      Endelig kan Promusicae heller ikke henholde sig til artikel 6, stk. 5, i direktiv 2002/58. I henhold hertil må en tredjemand, som handler efter bemyndigelse fra udbyderen, behandle trafikdata til bestemte formål, herunder navnlig bekæmpelse af svig. Betragtning 29 gør det klart, at der ved svig forstås uretmæssig gratis brug af den elektroniske kommunikationstjeneste. Promusicae handler ikke efter bemyndigelse fra Telefónica, og krænkelse af ophavsrettigheder kan ikke betragtes som svig i denne forstand.

b)      Artikel 6, stk. 6, i direktiv 2002/58

73.      Ifølge Promusicaes opfattelse er det dog i medfør af artikel 6, stk. 6, i direktiv 2002/58 tilladt at videregive og anvende trafikdata med henblik på ved et civilt søgsmål at gennemføre ophavsretlige krav. I henhold til denne bestemmelse har de kompetente organer mulighed for i overensstemmelse med gældende lovgivning at indhente oplysninger om trafikdata med henblik på bilæggelse af tvister, navnlig vedrørende samtrafik eller debitering.

74.      Men denne bestemmelse kan ikke begrunde videregivelse af trafikdata til Promusicae allerede af den grund, at Promusicae ikke er et kompetent organ til bilæggelse af tvister. Heller ikke for så vidt angår hovedsagen mellem Promusicae og Telefónica er det i nogen nævneværdig grad nødvendigt at videregive de omhandlede tilslutningsdata til retten. For at træffe sin afgørelse i tvisten om, hvorvidt Telefónica er berettiget og forpligtet til at udlevere disse data til Promusicae, er det ikke nødvendigt for retten at have kendskab til disse data.

75.      Det forhold, at Promusicae kræver trafikdataene udleveret for at kunne anlægge sag mod de pågældende brugere, medfører heller ikke, at oplysningerne kan videregives under henvisning til artikel 6, stk. 6, i direktiv 2002/58.

76.      En fortolkning af artikel 6, stk. 6, i direktiv 2002/58 således, at allerede det formål, at trafikdata skal anvendes i en retssag, begrunder udlevering af disse til den mulige modpart, ville i mangel af tilstrækkelige holdepunkter i bestemmelsens ordlyd være uforenelig med princippet om forudsigelighed, som skal overholdes i forbindelse med en lovmæssig begrundelse af indgreb i privatlivets fred og databeskyttelsen. Ud over de i artikel 6, stk. 1, udtrykkeligt nævnte og forholdsvist klart beskrevne undtagelser i artikel 6, stk. 2, 3 og 5, samt artikel 15, stk. 1, ville en ny, næsten grænseløs undtagelse blive indført (38). En sådan undtagelse behøver brugere af elektroniske kommunikationstjenester ifølge ordlyden af artikel 6 ikke at regne med.

77.      Samtidig ville denne undtagelse være meget vidtrækkende og ville derfor ikke kunne anerkendes som forholdsmæssig i forhold til de formål, der varetages. Enhver bruger måtte i princippet konstant – ikke kun i tilfælde af krænkelse af ophavsrettigheder – regne med, at hans trafikdata videregives til en tredjemand, som af en eller anden årsag vil anlægge sag mod denne. Det må udelukkes, at sådanne tvister i hvert tilfælde er begrundet i et tvingende socialt hensyn i den forstand, som fremgår af retspraksis vedrørende EMRK’s artikel 8 (39).

78.      Betragter man formålene med at lagre trafikdata i medfør af artikel 6 i direktiv 2002/58, foreligger der endda et endnu stærkere argument for at begrænse videregivelse af data. Kun formålene med lagringen kan i medfør af artikel 6, stk. 1, litra b), i direktiv 95/46 begrunde videregivelse. Disse formål er i tilfælde af trafikdata ifølge artikel 6 i direktiv 2002/58 drift af et kommunikationsnet, debitering af abonnenter, efter brugerens samtykke markedsføring samt tillægstjenester og – derudover – behandling efter bemyndigelse med henblik på kundeforespørgsler og afsløring af svig i den forstand, som allerede er nævnt (40). Bilæggelse af en tvist er ikke noget formål i sig selv med lagringen af trafikdata, men begrunder kun, at de kompetente organer får kendskab dertil. Den kan således kun forekomme ved tvister, som vedrører formålene med lagringen (41). At stille bevismateriale til rådighed for tvister med tredjemand er imidlertid ikke et identificerbart formål med lagringen.

79.      Således kan videregivelse af de ønskede trafikdata til Promusicae ikke hjemles i artikel 6, stk. 6, i direktiv 2002/58.

c)      Artikel 15, stk. 1, i direktiv 2002/58

80.      Endvidere tillader artikel 15, stk. 1, i direktiv 2002/58 en indskrænkning af rettighederne i artikel 6, stk. 1. En sådan indskrænkning skal være nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46.

81.      Spanien har gjort denne undtagelsesbestemmelse gældende og i artikel 12, stk. 1, i den spanske lov 34/2002 pålagt udbyderne af internetadgang at lagre trafik- og tilslutningsdata. Videregivelse derimod er udtrykkeligt begrænset til strafferetlige undersøgelser eller beskyttelse af den offentlige sikkerhed samt det nationale forsvar. Andre formål må de lagrede data udtrykkeligt ikke videregives til.

82.      Der kan ganske vist rejses tvivl om, hvorvidt lagring af trafikdata på alle brugere – så at sige til opbevaring på et forrådslager – er forenelig med de grundlæggende rettigheder (42), især da dette sker uden nogen konkret mistanke (43). Men da den spanske lovregel under alle omstændigheder er forenelig med ordlyden af artikel 15, stk. 1, i direktiv 2002/58, kan det antages, at lagringen i det mindste i det foreliggende tilfælde er lovlig. Såfremt man på grundlag af ovennævnte tvivl faldt tilbage på de grundlæggende rettigheder, ville dette sprænge rammerne for denne sag, da denne ikke vedrører gyldigheden af artikel 15, stk. 1 (44). Muligvis skal dette spørgsmål en dag undersøges på grund af direktiv 2006/24, som har indført en fællesskabsretlig forpligtelse til at lagre data (45). Hvis Domstolen imidlertid allerede i nærværende sag forinden ønsker at efterprøve, om en sådan lagring er lovlig, ville det sikkert være nødvendigt at genåbne den mundtlige forhandling for i medfør af artikel 23 i statutten for Domstolen at give ytringsberettigede mulighed for at indgive indlæg.

83.      Det centrale her er dog spørgsmålet, hvorvidt artikel 15, stk. 1, i direktiv 2002/58 tillader videregivelse af de ønskede – lagrede – data til Promusicae. Såfremt videregivelse er tilladt i henhold til databeskyttelsesretten, bør det nemlig undersøges, hvorvidt de af den forelæggende ret nævnte direktiver – og de i denne forbindelse beskyttede goder tilhørende indehavere af ophavsrettigheder – kræver, at denne mulighed også udnyttes. I så fald ville de spanske domstole være forpligtet til at udnytte eventuelle fortolkningsmæssige spillerum for at muliggøre denne videregivelse (46).

84.      I artikel 15, stk. 1, i direktiv 2002/58 nævnes udtrykkeligt to typer grundlag for undtagelser, nemlig på den ene side i de første fire alternativer den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed samt forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, og på den anden side i det femte alternativ uautoriseret brug af elektroniske kommunikationssystemer. Derudover henviser artikel 15, stk. 1, i direktiv 2002/58 til artikel 13, stk. 1, i direktiv 95/46, som indeholder yderligere grunde til undtagelser.

Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med artikel 13, stk. 1, litra g), i direktiv 95/46

85.      En første hjemmel for videregivelse kan artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med artikel 13, stk. 1, litra g), i direktiv 95/46 udgøre. Ifølge artikel 13, stk. 1, litra g), i direktiv 95/46 er det tilladt at videregive personoplysninger af hensyn til beskyttelse af andres rettigheder og frihedsrettigheder. I modsætning til andre grunde til undtagelser i artikel 13, stk. 1, i direktiv 95/46 nævnes denne grund ganske vist ikke udtrykkeligt i artikel 15, stk. 1, i direktiv 2002/58, men artikel 15, stk. 1, i direktiv 2002/58 tillader ifølge den tyske version indskrænkninger »i henhold til artikel 13, stk. 1, i direktiv 95/46/EF«.

86.      Isoleret betragtet kan dette forstås som en henvisning til alle undtagelsesgrunde i artikel 13, stk. 1, i direktiv 95/46 (47). Herimod taler imidlertid allerede det forhold, at artikel 15, stk. 1, i direktiv 2002/58 selv nævner undtagelsesgrunde, ifølge hvilke en indskrænkning »i henhold til artikel 13, stk. 1, i direktiv 95/46/EF« skal være tilladt. Disse grunde svarer kun delvist til grundene i artikel 13, stk. 1, i direktiv 95/46 og indeholder ikke den under litra g) nævnte undtagelse for andres rettigheder. Derfor gælder grundene nævnt i artikel 13, stk. 1, i direktiv 95/46 inden for området elektronisk kommunikation kun, for så vidt som de er udtrykkeligt medtaget i artikel 15, stk. 1, i direktiv 2002/58.

87.      Denne lovregel fremgår tydeligere af andre sprogversioner end den tyske. I stedet for »i henhold til«, som kan misforstås, henvises der ved hjælp af formuleringen »således som foreskrevet i artikel 13, stk. 1, i direktiv 95/46/EF« (48). Dette skyldes en bevidst beslutning under lovgivningsproceduren. Som Kommissionen har fremhævet, tog Rådet nemlig ved den første udstedelse af denne regel i forbindelse med direktiv 97/66 afstand fra at overtage samtlige undtagelsesgrunde i artikel 13, stk. 1, i direktiv 95/46 og valgte i stedet den foreliggende, differentierede lovregel (49).

88.      For dette resultat taler også, at artikel 15, stk. 1, i direktiv 2002/58 er specifik i forhold til artikel 13, stk. 1, i direktiv 95/46 (50). Sidstnævnte gælder for alle personoplysninger uafhængigt af, hvilken kontekst de forekommer i. Bestemmelsen er således formuleret forholdsvist generelt, da den skal finde anvendelse på mange, fuldstændigt forskellige situationer (51). Førstnævnte derimod refererer konkret til de personoplysninger, som forekommer i forbindelse med elektronisk kommunikation, og er derfor baseret på en forholdsvis præcis vurdering af, hvor stærkt videregivelse af personlige trafikdata griber ind i den grundlæggende ret til databeskyttelse.

89.      Derfor kan beskyttelse af andres rettigheder og frihedsrettigheder efter artikel 13, stk. 1, litra g), i direktiv 95/46 ikke begrunde, at personlige trafikdata videregives.

Uautoriseret brug af elektroniske kommunikationssystemer

90.      Som hjemmel for at videregive data kommer endvidere uautoriseret brug af elektroniske kommunikationssystemer, det femte alternativ i artikel 15, stk. 1, i direktiv 2002/58, i betragtning.

91.      Begrebet uautoriseret brug af elektroniske kommunikationssystemer tillader hovedsagelig to fortolkningsmuligheder for så vidt angår den omhandlede adfærd, nemlig brug til uautoriserede formål og brug i strid med systemet. Et uautoriseret formål kan sikkert også være krænkelse af ophavsrettigheder. I den forbindelse kan man dog anvende kommunikationssystemet til det, det er beregnet til, nemlig til at hente data fra andre computere, som er tilsluttet internettet. Til det formål er det ikke nødvendigt – i strid med systemet – at manipulere med kommunikationssystemet ved, at man f.eks. skaffer sig passwords til fremmede computere eller over for den fremmede computer foregiver at have en identitet, som er falsk (52).

92.      Efter Kommissionens opfattelse menes der i artikel 15, stk. 1, i direktiv 2002/58 brug i strid med systemet, når denne brug udgør en trussel mod kommunikationssystemets integritet eller sikkerhed. Dette fremgår også af vedtagelsesforløbet, da dette begreb blev indført i forordning 97/66 for at sikre korrekt frekvensbenyttelse.

93.      Denne snævre fortolkning af begrebet uautoriseret brug er i overensstemmelse med kommunikationshemmeligheden, som er beskyttet i medfør af artikel 5 i direktiv 2002/58. Brug til uautoriserede formål kan man som regel kun konstatere ved at overvåge kommunikationens indhold.

94.      Ganske vist begrunder artikel 15, stk. 1, også undtagelser fra kommunikationshemmeligheden, men hvis man fortolker begrebet uautoriseret brug bredt, ville de øvrige, udtrykkeligt nævnte undtagelsesgrunde være overflødige og stort set uden effekt i praksis, da trusler mod den nationale sikkerhed, den offentlige sikkerhed og forsvaret samt strafbare handlinger ved brug af elektroniske kommunikationssystemer som regel er ensbetydende med et uautoriseret formål.

95.      Samtidig ville man næppe kunne forudsige, hvorledes en bredt formuleret undtagelse ville blive anvendt i forbindelse med kommunikation med uautoriseret formål, og den ville i stort omfang udhule retten til beskyttelse af personlige trafikdata.

96.      Allerede omfanget af strafferetligt ulovlige kommunikationsoperationer er relativ bredt. Derudover kan kommunikation også komme i konflikt med forpligtelser – som ikke sanktioneres strafferetligt – i visse retlige relationer, f.eks. et arbejdsforhold, eller forpligtelser over for familien. Den mulighed foreligger endda, at udbyderen af den elektroniske kommunikationstjeneste misbilliger opkobling til visse emner eller udbredelse heraf. Hvilke af disse retlige relationer ville kunne tillade lagring og videregivelse af trafikdata eller måske endda af kommunikationsindhold, ville man derfor vanskeligt kunne afgrænse. Derfor ville denne grund til at indskrænke rettigheder fortolket i bred forstand ikke være forenelig med kravet om forudsigelighed.

97.      Dertil kommer, at en bred fortolkning stort set ville udhule ikke blot beskyttelsen af personlige trafikdata, men også beskyttelsen af kommunikationshemmeligheden. For effektivt at kunne undersøge, om elektroniske kommunikationssystemer anvendes til uautoriserede formål, ville det være nødvendigt at lagre al kommunikation og bearbejde dens indhold intensivt. Dermed ville »den gennemsigtige borger« være en realitet.

98.      Derfor bør Kommissionens fortolkning foretrækkes. Som følge heraf omfatter uautoriseret brug af elektroniske kommunikationssystemer kun brug i strid med systemet og ikke brug til uautoriserede formål.

Undtagelsesgrundene i de første fire alternativer i artikel 15, stk. 1, i direktiv 2002/58

99.      Således resterer som hjemmel for videregivelse af tilslutningsdata kun de første fire alternativer i artikel 15, stk. 1, i direktiv 2002/58, navnlig forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager samt den offentlige sikkerhed.

100. I betragtning 11 til direktiv 2002/58 forklares de første fire alternativer i artikel 15, stk. 1. Ifølge denne betragtning finder direktivet ikke anvendelse på områder, der ikke er omfattet af fællesskabsretten. Det ændrer derfor ikke den nuværende balance mellem enkeltpersoners ret til privatlivets fred og medlemsstaternes mulighed for, jf. artikel 15, stk. 1, i dette direktiv, at træffe de foranstaltninger, der er nødvendige til beskyttelse af den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område.

101. Som Domstolen allerede har fastslået, drejer det sig herved om statens eller statslige myndigheders aktiviteter (53). Statslige myndigheder kan ganske vist forpligte privatpersoner til at hjælpe (54), men privatpersoners retsforfølgning af krænkelser på eget ansvar er ikke omfattet af disse undtagelser. Allerede af den grund kan de første fire alternativer i artikel 15, stk. 1, i direktiv 2002/58 kun give mulighed for videregivelse til statslige myndigheder og ikke, at trafikdata videregives direkte til Promusicae (55).

102. Hvorvidt videregivelse til statslige myndigheder er muligt i denne sag i medfør af artikel 15, stk. 1, fjerde alternativ, i direktiv 2002/58, dvs. af hensyn til forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, er ligeledes tvivlsomt. Som Kommissionen med rette har anført, forudsætter dette, at de af Promusicae påståede krænkelser af ophavsrettigheder tillige skal anses for strafbare inden for rammerne af en straffesag.

103. I fællesskabsretten er strafbarhed ikke udelukket, da – hvilket også fremgår af artikel 8, stk. 1, i direktiv 2001/29 og artikel 16 i direktiv 2004/48 – den nationale lovgiver skal træffe afgørelse om, hvorvidt og i hvilken form krænkelser af ophavsretten skal sanktioneres. Den nationale lovgiver kan derfor gøre en eventuel krænkelse af ophavsrettigheder i form af filesharing strafbar. Ifølge den forelæggende rets oplysninger forholder det sig imidlertid således, at sådanne handlinger kun er strafbare i Spanien, såfremt de begås med vinding for øje (56). At dette skulle være tilfældet, er der er indtil videre ikke fremført nogen holdepunkter for.

104. Derudover kommer blandt undtagelserne i artikel 15, stk. 1, i direktiv 2002/58 også det tredje alternativ i betragtning, nemlig den offentlige sikkerhed. Ifølge retspraksis inden for området grundlæggende frihedsrettigheder kan den offentlige orden og sikkerhed kun gøres gældende, såfremt der foreligger en virkelig og tilstrækkeligt alvorlig trussel mod et grundlæggende samfundshensyn (57).

105. Beskyttelse af ophavsrettigheder er en samfundsinteresse, hvis betydning især Fællesskabet gentagne gange har understreget. Derfor kan man, også selv om rettighedsindehavernes interesse i første linje ikke er af offentlig, men af privat karakter, anerkende dette formål som et grundlæggende samfundshensyn. Ulovlig filesharing udgør også en virkelig trussel mod beskyttelse af ophavsrettigheder.

106. Men det er ikke sikkert, at privat filesharing, navnlig når det foregår uden vinding for øje, udgør en tilstrækkeligt alvorlig trussel mod ophavsrettigheder til at begrunde, at denne undtagelse bringes i anvendelse. Hvorvidt privat filesharing forårsager en ægte skade, er nemlig omtvistet (58).

107. At vurdere dette bør – med forbehold af Domstolens prøvelse heraf – forblive lovgivers opgave. Navnlig når medlemsstaterne gør det strafbart at krænke ophavsrettigheder ved privat filesharing, foretager de en sådan vurdering, men i dette tilfælde finder allerede artikel 15, stk. 1, fjerde alternativ, i direktiv 2002/58 anvendelse, hvorfor det ikke er nødvendigt at falde tilbage på alternativet den offentlige sikkerhed.

108. Strafbarhed ville ganske vist være et vægtigt indicium for, at der foreligger en tilstrækkelig alvorlig trussel mod beskyttelsen af ophavsrettigheder, men strafferetten er ikke nødvendigvis den eneste form, i hvilken lovgiver kan give udtryk for en sådan tilkendegivelse af ulovlighed. Tværtimod kan lovgiver også give denne tilkendegivelse gyldighed ved først blot at give mulighed for at forfølge videregivelse af personlige trafikdata i et civilt søgsmål. Men det er en forudsætning for en sådan ordning, at databeskyttelse ikke begrænses i bagatelsager på grund af mulig krænkelse af ophavsrettigheder.

109. En sådan ordning må i overensstemmelse med princippet om forudsigelighed og formålsbindingen inden for databeskyttelsesretten på tilstrækkeligt klart angive, at lagring og videregivelse af personlige trafikdata foretaget af udbydere af internetadgang også sker med det formål at beskytte ophavsrettigheder. Da ordningen er baseret på artikel 15, stk. 1, tredje alternativ, i direktiv 2002/58, må der ligeledes tages hensyn til, at beskyttelse af den offentlige sikkerhed er en opgave for statslige myndigheder, og at trafikdata derfor ikke kan udleveres til de private rettighedsindehavere uden sådanne myndigheders deltagelse – f.eks. domstolene eller databeskyttelsesretlige kontrolinstanser.

110. Fællesskabslovgiver har i hvert fald hidtil ikke truffet nogen sådan afgørelse om, at databeskyttelse nedprioriteres til fordel for forfølgelse af krænkelser af ophavsrettigheder. Især er de af den forelæggende ret anførte direktiver ikke relevante, da de, som allerede nævnt (59), ikke berører databeskyttelse. Dette gælder navnlig retten til information i henhold til artikel 8 i direktiv 2004/48, hvis ordlyd også kunne omfatte afsløring af internetbrugeres identitet. Denne bestemmelse finder i medfør af dens stk. 3, litra e), anvendelse med forbehold af andre lovbestemmelser, der vedrører behandling af personoplysninger.

111. Det vil således ikke kunne forudsiges, at der af disse direktiver udledes et formål med lagringen af trafikdata, som ikke udtrykkeligt er angivet deri, og et udtrykkeligt angivet formål er nødvendigt i medfør af kravet om forudsigelighed og af artikel 6, stk. 1, litra b), i direktiv 95/46 (60). Dertil kommer, at der heller ikke er nogen som helst henvisning til, at statslige myndigheder deltager i videregivelsen af personlige trafikdata til private rettighedsindehavere.

112. Medlemsstaterne kan dog på fællesskabsrettens nuværende udviklingstrin i henhold til artikel 15, stk. 1, tredje og fjerde alternativ, i direktiv 2002/58 bestemme, at personlige trafikdata udleveres til statslige myndigheder med henblik på at gøre det muligt at strafforfølge krænkelse af ophavsrettigheder ved filesharing både i et strafferetligt og et civilretligt søgsmål. Men de er ikke forpligtet hertil.

113.  Sammenlignet med direkte videregivelse af personlige trafikdata til indehaverne af krænkede rettigheder er dette i den foreliggende konstellation et mildere retsmiddel, som samtidig sikrer, at videregivelsen forbliver rimelig i forhold til den beskyttede rettighed.

114. Inddragelsen af statslige myndigheder er mildere, fordi de i modsætning til borgerne er direkte forpligtede af de grundlæggende rettigheder. Især er de forpligtede til at respektere processuelle garantier. Derudover tager de som regel også hensyn til forhold, som er til fordel for en bruger, som foreholdes at have krænket ophavsrettigheder.

115. Således er det i tilfælde, hvor ophavsrettigheder på et bestemt tidspunkt er blevet krænket på en IP-adresse, ikke sikkert, at disse handlinger også er foretaget af indehaveren af den internettilslutning, som på det pågældende tidspunkt havde fået tildelt denne adresse. Tværtimod er det også muligt, at andre har brugt den pågældendes tilslutning eller computer. Dette kan endda ske uden hans vidende, hvis han f.eks. for at undgå ledninger har et utilstrækkeligt sikret, lokalt trådløst netværk (61), eller hans computer er blevet »overtaget« af en tredjemand via internettet.

116. Indehavere af ophavsrettigheder har – i modsætning til statslige myndigheder – ingen interesse i at tage hensyn til eller opklare sådanne forhold.

117. Også rimeligheden i at videregive personlige trafikdata sikres bedre, når statslige myndigheder inddrages.

118. Lovgiver vil kun i tilfælde af tilstrækkelig mistanke om en krænkelse foreskrive en sådan inddragelse. I den forbindelse råder lovgiver over et vidt udformnings- og skønsmæssigt spillerum. I henhold til artikel 8, stk. 1, i direktiv 2001/29 og artikel 16 i direktiv 2004/48 skal sanktionerne ganske vist være passende, effektive, stå i et rimeligt forhold til krænkelsen og være afskrækkende, men i den forbindelse skal der også tages hensyn til graden af den pågældende krænkelse af ophavsrettighederne.

119. Derfor kan muligheden for at videregive personlige trafikdata begrænses til særligt alvorlige tilfælde – f.eks. til handlinger begået med vinding for øje, dvs. en ulovlig udnyttelse af beskyttede værker, som forringer rettighedsindehaverens økonomiske udnyttelse af disse betydeligt. At håndhævelse af ophavsrettigheder i forbindelse med krænkelser på internettet netop skal være rettet mod alvorlige forringelser, fremgår også af niende betragtning til direktiv 2004/48. Det Forenede Kongerige har ganske vist med rette anført, at man der nævner salg af piratkopier på internettet, men dette sættes i forbindelse med organiseret kriminalitet.

120. Den grundlæggende ejendomsret og den grundlæggende ret til effektiv retsbeskyttelse rejser ikke tvivl om denne vurdering af, hvad der er rimeligt. De grundlæggende rettigheder påbyder ganske sikkert, at indehaverne af ophavsrettigheder skal have mulighed for at forsvare sig mod krænkelser i et søgsmål. Men i denne sag drejer det sig – i modsætning til i den af Promusicae nævnte sag Moldovan m.fl. mod Rumænien (62) – ikke om, hvorvidt det overhovedet er muligt at anlægge et søgsmål, men om de midler, som rettighedsindehaverne får til rådighed til at bevise krænkelsen med.

121. Hvad dette angår, rækker statens beskyttelsesforpligtelser ikke så vidt, at rettighedsindehavere skal have ubegrænsede midler til rådighed til opklaringen af retskrænkelser. Tværtimod bør det ikke kritiseres, når visse rettigheder i forbindelse med opklaringen enten er forbeholdt statslige myndigheder eller overhovedet ikke er til rådighed.

5.      Direktiv 2006/24

122. Direktiv 2006/24 giver ikke noget andet resultat i denne sag. Ganske vist gælder artikel 15, stk. 1, i direktiv 2002/58 ikke for data, som er lagret i medfør af direktiv 2006/24, men de her omtvistede data er ikke blevet lagret på grundlag af det nye direktiv. Som Promusicae også har fremført, finder direktivet derfor ratione temporis ikke anvendelse.

123. Selv om direktiv 2006/24 fandt anvendelse, ville det ikke tillade, at personlige trafikdata blev videregivet direkte til Promusicae. Ifølge dets artikel 1 er hensigten med lagringen alene efterforskning, afsløring og retsforfølgning af grov kriminalitet. I overensstemmelse hermed må disse data i medfør af artikel 4 kun udleveres til de kompetente nationale myndigheder.

124. Hvis man overhovedet kan uddrage noget af direktiv 2006/24 i denne sag, er det fællesskabslovgivers værdisignalerende afgørelse, at det indtil videre kun er grov kriminalitet, som kræver lagring af trafikdata og anvendelse heraf på fællesskabsplan.

6.      Afgørelse vedrørende databeskyttelse

125. Derfor er det i lyset af direktiv 2002/58 foreneligt med fællesskabsretten, navnlig direktiv 2000/31, direktiv 2001/29 og direktiv 2004/48, når medlemsstater udelukker, at personlige trafikdata udleveres med henblik på retsforfølgning af krænkelser af ophavsrettigheder i et civilt søgsmål.

126. Såfremt Fællesskabet anser det for nødvendigt at indføre en mere vidtgående beskyttelse af indehavere af ophavsrettigheder, vil det kræve en ændring af bestemmelserne om databeskyttelse. Hidtil har lovgiveren dog ikke taget et sådant skridt. Tværtimod har lovgiver ved udstedelsen af direktiv 2000/31, direktiv 2001/29 og direktiv 2004/48 bestemt, at databeskyttelsen fortsat skal gælde uden forbehold, og endvidere i forbindelse med udstedelsen af de specifikke databeskyttelsesdirektiver 2002/58 og 2006/24 ikke fundet anledning til at indføre indskrænkninger af databeskyttelsen til fordel for beskyttelse af intellektuelle ejendomsrettigheder.

127. Direktiv 2006/24 kan snarere have til følge, at databeskyttelse i fællesskabsretten styrkes for så vidt angår tvister om krænkelser af ophavsrettigheder. Man kan så nemlig selv i strafferetlige efterforskningssager rejse det spørgsmål, hvorvidt det er foreneligt med den i fællesskabsretten forankrede grundlæggende ret til databeskyttelse at give krænkede rettighedsindehavere indsigt i efterforskningsresultaterne, når disse er baseret på evaluering af lagrede trafikdata i den forstand, som fremgår af direktiv 2006/24. Hidtil har fællesskabsretten ikke berørt dette spørgsmål, da databeskyttelsesdirektiverne ikke gælder for strafforfølgningen (63).

V –    Forslag til afgørelse

128. På baggrund heraf foreslår jeg derfor Domstolen at besvare det præjudicielle spørgsmål som følger:

»Det er foreneligt med fællesskabsretten, når medlemsstater udelukker, at personlige trafikdata udleveres med henblik på retsforfølgning af krænkelser af ophavsrettigheder i et civilt søgsmål.«


1 – Originalsprog: tysk.


2 – EFT L 178, s. 1.


3 – Det drejer sig om Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, EFT L 281, s. 31, og Europa-Parlamentets og Rådets direktiv 97/66/EF af 15.12.1997 om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren, EFT 1998 L 24, s. 1.


4 – EFT L 167, s. 10.


5 – EFT L 157, s. 45; anvendt er den berigtigede version i EFT L 195, s. 16.


6 – EFT L 201, s. 37.


7 – EFT L 281, s. 31.


8 – Databeskyttelsesgruppens dokumenter kan findes på internetadressen http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm


9 – Europa-Parlamentets og Rådets forordning af 18.12.2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger, EFT 2001 L 8, s. 1.


10 – EFT L 105, s. 54.


11 – Retten har herved henvist sig til statens centrale anklagemyndigheds cirkulære af 5.5.2006, Circular 1/2006, sobre los delitos contra la propiedad intelectual e industrial tras la reforma de la Ley Orgánica 15/2003, som findes på internetadressen http://www.fiscal.es/csblob/CIRCULAR%201-2006.doc?blobcol=urldata&blobheader=application%2Fmsword&blobkey=id&blobtable=MungoBlobs&blobwhere=1109248064092&ssbinary=true, s. 37 ff., i Fiscalia General del Estado.


12 – Ifølge www.dnsstuff.com.


13 – Jf. meddelelse fra Kommissionen til Rådet og Europa-Parlamentet – Internettets næste generation – vigtigste indsatsområder for overgangen til den nye internetprotokol, IPv6, KOM(2002) 96.


14 – Teknisk er det tilsyneladende også muligt at skjule ens egen IP-adresse. Men det koster et gebyr og/eller går langsomt. Jf. opslaget »Anonymous P2P« på Wikipedia på internetadressen http://en.wikipedia.org/wiki/Anonymous_p2p samt arbejdsdokumentet fra Artikel 29-gruppen vedrørende Databeskyttelse, WP 37 af 21.11.2000, Beskyttelse af privatlivets fred på internettet, s. 86 f., som dog ikke omhandler filesharing.


15 – Jf. punkt 22 ovenfor.


16 – Jf. dom af 16.3.2006, sag C-3/04, Poseidon Chartering, Sml. I, s. 2505, præmis 14, og af 14.12.2006, sag C-217/05, Confederación Española de Empresarios de Estaciones de Servicio, Sml. I, s. 11987, præmis 17, begge med yderligere henvisninger.


17 – Dom af 5.10.2004, forenede sager C-397/01 – C-403/01, Pfeiffer m.fl., Sml. I, s. 8835, præmis 108, og af 3.5.2005, forenede sager C-387/02, C-391/02 og C-403/02, Berlusconi m.fl., Sml. I, s. 3565, præmis 73.


18 – Jf. dom af 16.6.2005, sag C-105/03, Pupino, Sml. I, s. 5285, præmis 31 ff., navnlig præmis 48.


19 – Sammenlign artikel 9, stk. 3, litra e), i Kommissionens forslag (KOM(2003) 46) med den samme bestemmelse i Rådets konsoliderede udkast af 19.12.2003 (rådsdokument 16289/03) og med artikel 8, stk. 3, litra e), i det af Parlamentet ændrede udkast (EUT 2004 C 102 E, s. 242 ff.), som Rådet overtog uden ændringer.


20 – Aftalen om handelsrelaterede aspekter af intellektuelle ejendomsrettigheder, der er indeholdt i bilag 1 C til overenskomsten om oprettelse af Verdenshandelsorganisationen, som er indgået på Fællesskabets vegne, for så vidt angår de områder, der hører under dets kompetence, ved Rådets afgørelse 94/800/EF af 22.12.1994 (EFT L 336, s. 1). TRIPs står for Agreement on Trade-Related Aspects of Intellectual Property Rights.


21 – Artikel 42, stk. 4, i TRIPs-aftalen kan ganske vist i den tysksprogede version (mis)forstås således, at effektiv retsbeskyttelse skal give mulighed for at efterforske fortrolige oplysninger, men denne bestemmelse skal tværtimod gøre det muligt at beskytte fortrolige oplysninger under en retssag, såfremt dette er lovligt. Dette fremgår tydeligere af de bindende sprogversioner (engelsk, fransk og spansk). Denne opfattelse ses også hos Daniel Gervais, The TRIPs Agreement, Drafting History and Analysis, London, 2003, s. 291.


22 – Dette var også Rådets og Kommissionens opfattelse under proceduren til udstedelse af direktiv 2004/48 (rådsdokument 6052/04 af 9.2.2004, s. 6 f.).


23 – Dom af 20.5.2003, forenede sager C-465/00, C-138/01 og C-139/01, Österreichischer Rundfunk m.fl., Sml. I, s. 4989, præmis 73 ff.


24 - EFT C 364, s. 1.


25 – Dommen i de forenede sager Österreichischer Rundfunk m.fl., nævnt i fodnote 23 ovenfor, præmis 74.


26 – Dommen i de forenede sager Österreichischer Rundfunk m.fl., nævnt i fodnote 23 ovenfor, præmis 76.


27 – Dommen i de forenede sager Österreichischer Rundfunk m.fl., nævnt i fodnote 23 ovenfor, præmis 77, med henvisning til Den Europæiske Menneskerettighedsdomstols retspraksis.


28 – Dommen i de forenede sager Österreichischer Rundfunk m.fl., nævnt i fodnote 23 ovenfor, præmis 80.


29 – Dommen i de forenede sager Österreichischer Rundfunk m.fl., nævnt i fodnote 23 ovenfor, præmis 83, med henvisning til Den Europæiske Menneskerettighedsdomstols retspraksis.


30 – Jf. for så vidt angår ejendomsret f.eks. dom af 11.7.1989, sag 265/87, Schräder, Sml. s. 2237, præmis 15, af 28.4.1998, sag C-200/96, Metronome Musik, Sml. I, s. 1953, præmis 21, og af 6.12.2005, forenede sager C-453/03, C-11/04, C-12/04 og C-194/04, ABNA m.fl., Sml. I, s. 10423, præmis 87, og for så vidt angår effektiv retsbeskyttelse dom af 15.5.1986, sag 222/84, Johnston, Sml. s. 1651, præmis 18 og 19, af 15.10.1987, sag 222/86, Heylens m.fl., Sml. s. 4097, præmis 14, af 25.7.2002, sag C-50/00 P, Unión de Pequeños Agricultores mod Rådet, Sml. I, s. 6677, præmis 39, og af 13.3.2007, sag C-432/05, Unibet, endnu ikke trykt i Samling af Afgørelser, præmis 37.


31 – Således allerede dommen i sagen Metronome Musik, nævnt i fodnote 30 ovenfor, præmis 21 og 26, samt nyligt Den Europæiske Menneskerettighedsdomstols dom af 11.1.2007 i sagen Anheuser-Busch Inc. mod Portugal (klage 73049/01, § 72).


32 – Jf. dom af 6.11.2003, sag C-101/01, Lindqvist, Sml. I, s. 12971, præmis 87.


33 – Jf. Lindqvist-dommen, nævnt i fodnote 32 ovenfor, præmis 46 f.


34 – For så vidt angår telehemmeligheden antager den tyske forfatningsdomstol i sin kendelse af 9.10.2002, sag 1 BvR 1611/96 og 1 BvR 805/98, BVerfGE 106, 28 [37], præmis 21, i versionen på www.bundesverfassungsgericht.de, og af 27.10.2006, sag 1 BvR 1811/99, Multimedia und Recht, 2007, 308, præmis 13, i versionen på www.bundesverfassungsgericht.de endda, at staten har en tilsvarende beskyttelsesforpligtelse. Hvorvidt privatpersoners databeskyttelsesretlige forpligtelser i fællesskabsretten også beror på en ufravigelig beskyttelsesforpligtelse hos Fællesskabet, er det dog ikke nødvendigt at tage stilling til her.


35 - Europa-Parlamentets og Rådets direktiv af 7.3.2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester, EFT L 108, s. 33.


36 - For så vidt som de pågældende indehavere af IP-adresser er identificerbare på grund af den lagring af tildelingen af adressen, som udbyderen af internetadgangen foretager, er der i øvrigt allerede på det tidspunkt, hvor Promusicae opsamler IP-adresserne, tale om behandling af personoplysninger, som skal opfylde kravene til databeskyttelse; jf. dom afsagt af Rechtsbank Utrecht den 12.7.2005 i sagen Brein, 194741/KGZA 05-462, bilag 5 til Promusicaes skriftlige indlæg, punkt 4.24 ff., Databeskyttelsesgruppens arbejdsdokument WP 104 af 18.1.2005, Datenschutzfragen im Zusammenhang mit Immaterialgüterrechten [spørgsmål vedrørende databeskyttelse i forbindelse med rettigheder knyttet til immaterielle goder], s. 4, samt i henhold til fransk ret afgørelse (délibérations) 2005-235 afsagt den 18.10.2005 og 2006-294 afsagt den 21.12.2006 af commission nationale de l’informatique et des libertés (CNIL) (kan findes på internetadressen http://www.legifrance.gouv.fr/WAspad/RechercheExperteCnil.jsp). I registret over anmeldte behandlingsoperationer hos Agencia Española de Protección de Datos, https://www.agpd.es/index.php?idSeccion=100, er der en lignende anmeldelse af Promusicae.


37 – Jf. i denne retning punkt 2.8. i Databeskyttelsesgruppens udtalelse om lagring af trafikdata til debiteringsformål, WP 69 af 29.1.2003.


38 – Jf. mit forslag til afgørelse af 29.1.2004, sag C-350/02, Kommissionen mod Nederlandene, Sml. I, s. 6213, punkt 71, vedrørende fortolkning af artikel 6, stk. 4, i direktiv 97/66.


39 - Jf. punkt 54 ovenfor.


40 – Jf. punkt 72 ovenfor.


41 – I den forbindelse må mit udsagn, som indgår i en anden sammenhæng, om »de forskelligartede tvister« i forslag til afgørelse i sagen Kommissionen mod Nederlandene, nævnt i fodnote 38 ovenfor, punkt 81, ikke overfortolkes.


42 – Jf. udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til Europa-Parlamentets og Rådets direktiv om opbevaring af data, der behandles i forbindelse med levering af offentlige elektroniske kommunikationstjenester og om ændring af direktiv 2002/58/EF (KOM(2005) 438 endelig udg.), EUT 2005 C 298, s. 1, samt Databeskyttelsesgruppens udtalelse 4/2005 om forslag til Europa-Parlamentets og Rådets direktiv om lagring af data behandlet i forbindelse med tilvejebringelse af offentlige elektroniske kommunikationstjenester og om ændring af direktiv 2002/58/EF (KOM(2005) 438 endelig udg. af 21.9.2005) vedtaget den 21.10.2005 og udtalelse 3/2006 om Europa-Parlamentets og Rådets direktiv 2006/24/EF om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF vedtaget den 25.3.2006.


43 – Den tyske forbundsdomstol tillægger sådanne indgreb høj indgrebsintensitet, da den enkelte borger ikke giver nogen anledning til indgrebet, men, også selv om hans adfærd er lovlig, kan intimideres på grund af risici for misbrug og en følelse af at være overvåget; jf. forbundsdomstolens kendelse af 4.4.2006 vedrørende edb-styret eftersøgning, sag 1 BvR 518/02, Neue Juristische Wochenschrift, 2006, 1939 [1944], præmis 117, i den version, som findes på internetadressen www.bundesverfassungsgericht.de


44 – Jf. dom af 11.11.1997, sag C-408/95, Eurotunnel m.fl., Sml. I, s. 6315, præmis 33 f.


45 – For tiden verserer sag C-301/06, Irland mod Rådet og Parlamentet, meddelt i EUT 2006 C 237, s. 5. Irland har gjort gældende, at direktiv 2006/24 annulleres på grund af valg af forkert retsgrundlag. Derimod omfatter stævningen ikke spørgsmålet, hvorvidt lagringen er forenelig med de grundlæggende rettigheder.


46 – Jf. Lindqvist-dommen, nævnt i fodnote 32 ovenfor, præmis 87.


47 – F.eks. er Christian Cychowski i »Auskunftsansprüche gegenüber Internetzugangsprovidern »vor« dem 2. Korb und »nach« der Enforcement-Richtlinie der EU«, Multimedia und Recht, 2004, 514 (517 f.), af den opfattelse, at den tyske gennemførelse af denne undtagelsesregel tillader, at trafikdata for krænkere af ophavsrettigheder videregives til indehaverne af rettighederne.


48 – Således har den franske version »comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE«, den engelske version »as referred to in Article 13(1) of Directive 95/46/EC« og den spanske version »a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE« efter opremsningen af de forskellige grunde, der er tilladt som begrundelse for at gøre en undtagelse.


49 – Jf. fodnote 6 i Kommissionens skriftlige indlæg.


50 – Ulrich Sieber og Frank Michael Höfiger, »Drittauskunftsansprüche nach § 101a UrhG gegen Internetprovider zur Verfolgung von Urheberrechtsverletzungen«, Multimedia und Recht, 2004, 575 (582), samt Gerald Spindler og Joachim Dorschel, »Auskunftsansprüche gegen Internet-Service-Provider«, Computer und Recht, 2005, 38 (45 f.).


51 – Jf. i denne retning Lindqvist-dommen, nævnt i fodnote 32 ovenfor, præmis 83.


52 – Brug i strid med systemet foreligger ifølge reglerne også i tilfælde af handlinger, som er strafbare ifølge Rådets rammeafgørelse 2005/222/RIA af 24.2.2005 om angreb på informationssystemer, EUT L 69, s. 67.


53 – Lindqvist-dommen, nævnt i fodnote 32 ovenfor, præmis 43.


54 – Dom af 30.5.2006, forenede sager C-317/04 og C-318/04, Parlamentet mod Rådet og Parlamentet mod Kommissionen, Sml. I, s. 4721, præmis 58.


55 – Ifølge Promusicaes oplysninger svarer det således fremkomne resultat vedrørende det tredje og fjerde alternativ i artikel 15, stk. 1, i direktiv 2002/58 til retstilstanden i Frankrig, Italien og Belgien, hvor det skal være bestemt, at de kompetente statslige myndigheder kan kræve personlige trafikdata udleveret. Artikel 29-gruppen vedrørende databeskyttelse går i sit arbejdsdokument WP 104 (nævnt i fodnote 36 ovenfor, s. 8) endda et skridt videre og begrænser videregivelsen til kun at måtte ske til anklagemyndigheden: »Princippet om forenelighed og overholdelse af princippet om fortrolighed i direktiv 2002/58 og 95/46/EF forbyder, at databeholdninger hos udbydere af internettjenester, som behandles til bestemte formål og i det væsentligste også vedrører en telekommunikationstjenestes ydelse, gives videre til tredjemænd, f.eks. indehavere af rettigheder; undtaget herfra er, under klare lovmæssige forudsætninger, anklagemyndigheden.«


56 – Jf. punkt 28 ovenfor.


57 – Jf. f.eks. dom af 29.4.2004, forenede sager C-482/01 og C-493/01, Orfanopoulos og Oliveri, Sml. I, s. 5257, præmis 66, for så vidt angår fri bevægelighed for personer, og af 14.3.2000, sag C-54/99, Église de scientologie, Sml. I, s. 1335, præmis 17, for så vidt angår fri bevægelighed for kapital.


58 – Jf. rapporten DSTI/ICCP/IE(2004)12/FINAL af 13.12.2005 (http://www.oecd.org/dataoecd/13/2/34995041.pdf, s. 76 ff.) rettet til arbejdsgruppen for informationsøkonomi i Organisationen for Økonomisk Samarbejde og Udvikling (OECD).


59 – Jf. punkt 42 ff. ovenfor.


60 – Jf. punkt 53 ovenfor.


61 – Jf. arbejdsdokumentet fra International Working Group on Data Protection in Telecommunications af 15.4.2004 angående potentielle risici ved trådløse netværk, som kan findes på engelsk og tysk på http://www.datenschutz-berlin.de/doc/int/iwgdpt/index.htm. Ifølge Stefan Dörhöfer i Empirische Untersuchungen zur WLAN-Sicherheit mittels Wardriving, https://pi1-old.informatik.uni-mannheim.de:8443/pub/research/theses/diplomarbeit-2006-doerhoefer.pdf, s. 98, var ca. 23% af alle trådløse netværk i Tyskland på undersøgelsestidspunktet slet ikke og ca. 60% utilstrækkeligt sikrede. For så vidt angår angrebsmetoderne se Erik Tews, Ralf-Philipp Weinmann og Andrei Pyshkin, Breaking 104 bit WEP in less than 60 seconds, på http://eprint.iacr.org/2007/120.pdf


62 – Den Europæiske Menneskerettighedsdomstols dom af 12.7.2005, klage 41138/98 og 64320/01, § 118 f.


63 – Jf. dommen i de forenede sager Parlamentet mod Rådet og Parlamentet mod Kommissionen, nævnt i fodnote 54 ovenfor, præmis 58.