Language of document : ECLI:EU:C:2016:779

SODBA SODIŠČA (drugi senat)

z dne 19. oktobra 2016(*)

„Predhodno odločanje – Obdelava osebnih podatkov – Direktiva 95/46/ES – Člen 2(a) – Člen 7(f) – Pojem ‚osebni podatki‘ – Naslovi internetnega protokola – Shranjevanje ponudnika storitev spletnih medijev – Nacionalna zakonodaja, ki ne dopušča, da bi se upošteval legitimni interes upravljavca“

V zadevi C‑582/14,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Bundesgerichtshof (zvezno sodišče, Nemčija) z odločbo z dne 28. oktobra 2014, ki je prispela na Sodišče 17. decembra 2014, v postopku

Patrick Breyer

proti

Bundesrepublik Deutschland,

SODIŠČE (drugi senat),

v sestavi M. Ilešič, predsednik senata, A. Prechal, sodnica, A. Rosas (poročevalec), sodnik, C. Toader, sodnica, in E. Jarašiūnas, sodnik,

generalni pravobranilec: M. Campos Sánchez-Bordona,

sodna tajnica: V. Giacobbo-Peyronnel, administratorka,

na podlagi pisnega postopka in obravnave z dne 25. februarja 2016,

ob upoštevanju stališč, ki so jih predložili:

–        za P. Breyerja M. Starostik, odvetnik,

–        za nemško vlado A. Lippstreu in T. Henze, agenta,

–        za avstrijsko vlado G. Eberhard, agent,

–        za portugalsko vlado L. Inez Fernandes in C. Vieira Guerra, agenta,

–        za Evropsko komisijo P. J. O. Van Nuffel, H. Krämer, P. Costa de Oliveira in J. Vondung, agenti,

po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 12. maja 2016

izreka naslednjo

Sodbo

1        Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 2(a) in člena 7(f) Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

2        Ta predlog je bil vložen v okviru spora med Patrickom Breyerjem in Bundesrepublik Deutschland (Zvezna republika Nemčija) zaradi njenega beleženja in shranjevanja naslova internetnega protokola (v nadaljevanju: IP-naslov) P. Breyerja pri njegovem dostopanju do več spletnih mest nemških zveznih služb.

 Pravni okvir

 Pravo Unije

3        V uvodni izjavi 26 Direktive 95/46 je navedeno:

„ker se morajo načela varstva uporabljati za vse informacije v zvezi z določeno ali določljivo osebo; ker bi bilo treba za odločitev o tem, ali je oseba določljiva ali ne, upoštevati vsa sredstva, za katera se [razumno] pričakuje, da jih bo uporabil bodisi upravljavec ali katera koli druga oseba za določitev take osebe; ker se načela varstva ne uporabljajo za podatke, ki so spremenjeni v anonimne tako, da posameznik, na katerega se osebni podatki nanašajo, ni več določljiv; ker so pravila ravnanja v smislu člena 27 lahko koristen instrument za usmerjanje k načinom, s katerimi se lahko podatki spremenijo v anonimne in se ohranijo v obliki, v kateri identifikacija posameznika, na katerega se osebni podatki nanašajo, ni več mogoča.“

4        Člen 1 navedene direktive določa:

„1.      V skladu s to direktivo države članice varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.“

2.      Države članice ne omejujejo niti ne prepovedujejo prostega prenosa osebnih podatkov med državami članicami zaradi razlogov, povezanih z varstvom, ki je zagotovljeno na podlagi odstavka 1.“

5        Člen 2 iste direktive določa:

„V tej direktivi:

(a)      ‚osebni podatek‘ pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo (‚posameznik, na katerega se nanašajo osebni podatki‘); določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto;

(b)      ,obdelava osebnih podatkov‘ (,obdelava‘) pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje;

[…]

(d)      ,upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa nacionalna zakonodaja ali zakonodaja Skupnosti, lahko upravljavca ali posebna merila za njegovo imenovanje določi nacionalna zakonodaja ali zakonodaja Skupnosti;

[…]

(f)      ,tretja stranka‘ pomeni katero koli fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki ni posameznik, na katerega se osebni podatki nanašajo, upravljavec, obdelovalec in oseba, ki je pod neposredno oblastjo upravljavca ali obdelovalca pooblaščena za obdelavo podatkov;

[…]“

6        Člen 3 Direktive 95/46, naslovljen „Področje uporabe“, določa:

„1.      Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke.

2.      Ta direktiva se ne uporablja za obdelavo osebnih podatkov:

–        med dejavnostjo, ki ne sodi na področje uporabe zakonodaje Skupnosti, kot so tiste, opredeljene v naslovih V in VI Pogodbe o Evropski uniji, in v vsakem primeru v postopkih obdelave v zvezi z javno varnostjo, obrambo, državno varnostjo (vključno z gospodarsko blaginjo države, kadar se postopek obdelave nanaša na zadeve državne varnosti) in pri dejavnostih države na področju kazenskega prava,

[…]“

7        Člen 5 te direktive določa:

„Države članice v mejah določb tega poglavja natančneje določijo pogoje, pod katerimi je obdelava osebnih podatkov zakonita.“

8        Člen 7 iste direktive določa:

„Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:

(a)      je posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev;

ali

(b)      je obdelava potrebna za izvajanje pogodbe, katere stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na zahtevo posameznika, na katerega se osebni podatki nanašajo, pred sklenitvijo pogodbe;

ali

(c)      je obdelava potrebna za skladnost z zakonsko obveznostjo, ki velja za upravljavca;

ali

(d)      je obdelava potrebna za varstvo življenjskih interesov posameznikov, na katere se osebni podatki nanašajo;

ali

(e)      je obdelava potrebna za izvajanje naloge, ki se opravlja v javnem interesu ali pri izvrševanju javne oblasti, dodeljene upravljavcu ali tretji stranki, ki so ji posredovani podatki.

ali

(f)      je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo, ki se varujejo na podlagi člena 1(1).“

9        Člen 13(1) Direktive 95/46 določa:

„Države članice lahko sprejmejo predpise za omejitev obsega obveznosti in pravic, opredeljenih v členih 6(1), 10, 11(1), 12 in 21, kadar taka omejitev predstavlja potrebni ukrep za zaščito:

[…]

(d)      preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali kršitve etike za zakonsko urejene poklice;

[…]“

 Nemško pravo

10      Člen 12 Telemediengesetz (zakon o telekomunikacijskih storitvah) z dne 26. februarja 2007 (BGBl. 2007 I, str. 179, v nadaljevanju: TMG) določa:

„1.      Ponudnik storitev lahko osebne podatke zbira in uporabi v zvezi z zagotavljanjem telekomunikacijskih storitev, samo če ta zakon ali drugi predpis, ki se izrecno nanaša na telekomunikacijske storitve, to dopušča, ali če je uporabnik v to privolil.

2.      Ponudnik storitev lahko osebne podatke, ki se zbirajo zaradi zagotavljanja telekomunikacijskih storitev, za druge namene uporabi, samo če ta zakon ali drugi predpis, ki se izrecno nanaša na telekomunikacijske storitve, to dopušča, ali če je uporabnik v to privolil.

3.      Če ni določeno drugače, se uporabljajo veljavni predpisi o varstvu osebnih podatkov, tudi če ne gre za avtomatizirano obdelavo podatkov.“

11      Člen 15 TMG določa:

„(1)      Ponudnik lahko osebne podatke uporabnika zbira in uporabi, samo če je to potrebno za omogočanje uporabe telekomunikacijskih storitev in njihovo zaračunavanje (podatki o uporabi). Podatki o uporabi so zlasti:

1.      podatki, ki omogočajo identifikacijo uporabnika;

2.       podatki o začetku in koncu ter obsegu uporabe in

3.      podatki o telekomunikacijskih storitvah, ki jih je uporabnik uporabil.

(2)      Ponudnik lahko podatke o uporabi različnih telekomunikacijskih storitev uporabnika povezuje, če je to potrebno za namene zaračunavanja storitev uporabniku.

[…]

(4)      Ponudnik lahko uporabi podatke o uporabi po koncu postopka uporabe, če je to potrebno za namene zaračunavanja storitev uporabniku (obračunski podatki). Zaradi izpolnjevanja obstoječih zakonskih, statutarnih ali pogodbenih obveznosti glede rokov hrambe lahko ponudnik storitev podatke blokira. […]“

12      V skladu s členom 3(1) Bundesdatenschutzgesetz (zvezni zakon o varstvu podatkov) z dne 20. decembra 1990 (BGBl. 1990 I, str. 2954, v nadaljevanju: BDSG) so „osebni podatki […] podatki o osebnih ali premoženjskih okoliščinah določene ali določljive fizične osebe (posameznik, na katerega se nanašajo osebni podatki). […]“.

 Spor o glavni stvari in vprašanji za predhodno odločanje

13      P. Breyer je obiskal več spletnih mest nemških zveznih služb. Na teh mestih, dostopnih javnosti, te službe objavljajo aktualne informacije.

14      Zaradi odvračanja napadov in omogočanja kazenskega pregona napadalcev večina teh portalov beleži podatke o vseh dostopih v dnevniških datotekah. V teh datotekah se tudi po koncu postopka uporabe hranijo podatki o imenu datoteke oziroma mesta, do katerega je dostopil, pojmih, vnesenih v iskalnike, času dostopa, preneseni količini podatkov, podatki o tem, ali je bil dostop uspešen, in IP-naslov kličočega računalnika.

15      IP-naslovi so zaporedja številk, ki se dodelijo omrežno povezanim računalnikom za omogočanje njihove komunikacije z dostopom do interneta. Pri dostopu do spletnega mesta se IP-naslov kličočega računalnika posreduje strežniku, na katerem je to spletno mesto shranjeno. To je potrebno za zagotavljanje prenosa priklicanih podatkov do pravega prejemnika.

16      Poleg tega je iz predložitvene odločbe in spisa Sodišča razvidno, da ponudniki dostopa do interneta računalnikom internetnih uporabnikov dodelijo bodisi „statičen“ IP-naslov bodisi „dinamičen“ IP-naslov, torej naslov, ki se spreminja ob vsaki naknadni povezavi. Drugače kakor statični IP-naslovi dinamični IP-naslovi ne omogočajo povezave prek datotek, dostopnih javnosti, med danim računalnikom in fizičnim priključkom na omrežje, ki ga uporablja ponudnik dostopa do interneta.

17      P. Breyer je pri nemških upravnih sodiščih vložil tožbo, s katero je predlagal, naj se Zvezni republiki Nemčiji prepove hramba – po koncu vsakega dostopa do strani spletnih medijev nemških zveznih služb, dostopnih javnosti – IP-naslova gostujočega sistema, s katerega je dostopal, ker ta hramba ni potrebna v primeru motenj pri ponovni vzpostavitvi širjenja teh medijev.

18      Tožba P. Breyerja je bila na prvi stopnji zavrnjena, zato je vložil pritožbo zoper to zavrnitev.

19      Pritožbeno sodišče je delno spremenilo to odločbo. Zvezni republiki Nemčiji je prepovedalo hrambo – po vsakem dostopu – IP-naslova gostujočega sistema, s katerega dostopa P. Breyer, ki se prenese ob njegovem dostopu do strani spletnih medijev nemških zveznih služb, dostopnih javnosti, kadar se ta naslov hrani v povezavi z datumom poizvedbe, na katerega se nanaša, in kadar je P. Breyer med tem dostopom razkril svojo identiteto, vključno v obliki elektronskega naslova, v katerem je navedena njegova identiteta, če ta hramba ni potrebna za ponovno vzpostavitev razpoložljivosti telekomunikacijskih storitev v primeru motenj.

20      Po navedbah tega pritožbenega sodišča dinamični IP-naslov v povezavi z datumom poizvedbe, na katerega se nanaša, pomeni osebni podatek, kadar je uporabnik spletnega mesta med tem dostopom razkril svojo identiteto, ker lahko upravljavec tega spletnega mesta identificira tega uporabnika, če ima na voljo njegovo ime in IP-naslov njegovega računalnika.

21      Vendar je to pritožbeno sodišče presodilo, da glede drugih predlogov ni mogoče ugoditi pritožbi P. Breyerja. Če namreč P. Breyer med poizvedbo ne navede svoje identitete, lahko samo ponudnik dostopa do interneta poveže IP-naslov z identificiranim naročnikom. Za Zvezno republiko Nemčijo kot ponudnika storitev spletnih medijev tako IP-naslov ne bi bil osebni podatek, niti v povezavi z datumom poizvedbe, na katero se nanaša, saj ta država članica ne bi mogla identificirati uporabnika zadevnih spletnih mest.

22      P. Breyer in Zvezna republika Nemčija sta zoper odločbo pritožbenega sodišča vložila revizijo pri Bundesgerichtshof (zvezno sodišče, Nemčija). P. Breyer predlaga, naj se v celoti ugodi njegovemu predlogu za prepoved. Zvezna republika Nemčija predlaga, naj se ta predlog zavrne.

23      Predložitveno sodišče pojasnjuje, da dinamični IP-naslovi računalnika P. Breyerja, ki jih hrani Zvezna republika Nemčija, ki deluje kot ponudnik storitev spletnih medijev, pomenijo vsaj v kontekstu drugih podatkov, shranjenih v dnevniških datotekah, posebne podatke o materialnem stanju P. Breyerja, glede na to, da dajejo podatke o njegovem dostopanju do nekaterih strani ali nekaterih datotek na spletu ob nekaterih datumih.

24      Vendar pa naj tako hranjeni podatki ne bi omogočali neposredne ugotovitve identitete P. Breyerja. Upravljavci zadevnih spletnih mest naj bi namreč lahko identificirali P. Breyerja, samo če bi jim ponudnik dostopa do interneta prenesel informacije o identiteti tega uporabnika. Opredelitev teh „osebnih“ podatkov naj bi bila zato odvisna od vprašanja, ali je P. Breyer določljiv.

25      Bundesgerichtshof (zvezno sodišče) ugotavlja nasprotja v doktrini glede vprašanja, ali se je treba za ugotovitev tega, ali je neka oseba določljiva, opirati na „objektivno“ merilo ali na „relativno“ merilo. Uporaba „objektivnega“ merila bi povzročila, da bi se podatki, kakršni so IP-naslovi v zadevi v glavni stvari lahko po koncu dostopa do zadevnih spletnih mest šteli kot osebni podatki, čeprav je samo neka tretja oseba sposobna ugotoviti identiteto posameznika, na katerega se nanašajo osebni podatki, pri čemer je v obravnavanem primeru ta tretja oseba ponudnik dostopa do interneta P. Breyerja, ki je hranil dodatne podatke, ki so omogočali njegovo identifikacijo s pomočjo teh IP-naslovov. V skladu z „relativnim“ merilom bi se lahko ti podatki šteli za osebne podatke za organizacijo, kot je ponudnik dostopa do interneta P. Breyerja, ker omogočajo natančno identifikacijo uporabnika (glej v tem smislu sodbo z dne 24. novembra 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, točka 51), ne pa tudi za osebne podatke za drugo organizacijo, kot je upravljavec spletnih mest, do katerih je dostopal P. Breyer, saj ta upravljavec, če P. Breyer ne bi razkril svoje identitete med dostopanjem do teh mest, brez nesorazmernega truda ne bi imel potrebnih informacij o njegovi identifikaciji.

26      Če bi bilo treba dinamične IP-naslove računalnika P. Breyerja v povezavi z datumom poizvedbe, na katero se nanašajo, šteti za osebne podatke, želi predložitveno sodišče izvedeti, ali je hramba teh IP-naslovov po koncu te poizvedbe dovoljena na podlagi člena 7(f) iste direktive.

27      Glede tega Bundesgerichtshof (zvezno sodišče) po eni strani pojasnjuje, da lahko ponudniki storitev spletnih medijev v skladu s členom 15(1) TMG zbirajo in uporabljajo osebne podatke nekega uporabnika, samo če je to potrebno za omogočanje uporabe telekomunikacijskih storitev in njihovo zaračunavanje. Predložitveno sodišče po drugi strani navaja, da je po mnenju Zvezne republike Nemčije hramba teh podatkov nujna za zagotavljanje varnosti in kontinuitete dobrega delovanja strani storitev spletnih medijev, ki jih daje na voljo javnosti, ker zlasti omogoča odkrivanje napadov, imenovanih „napadi, ki povzročajo zavrnitev storitve“, katerih cilj je onesposobljenje delovanja teh strani s ciljnim in koordiniranim napadom na posamezne spletne strežnike v obliki velikega povpraševanja in boj proti njim.

28      Predložitveno sodišče navaja, da če so za odvrnitev takšnih napadov potrebni ukrepi ponudnika, bi se lahko ukrepi šteli kot nujni za „omogočanje uporabe telekomunikacijskih storitev“ na podlagi člena 15 TMG. V doktrini pa se nasprotno pretežno zastopa stališče, po katerem je zbiranje in uporaba osebnih podatkov uporabnika spletnega mesta dopustna samo za omogočanje konkretne uporabe tega spletnega mesta, in da je treba podatke, ki niso potrebni za namene zaračunavanja, po koncu postopka uporabe izbrisati. Taka stroga razlaga člena 15(1) TMG pa naj bi nasprotovala dovolitvi hrambe IP-naslovov, da bi na splošno zagotovila varnost in kontinuiteto dobrega delovanja spletnih medijev.

29      Predložitveno sodišče se sprašuje, ali je ta razlaga, ki jo zagovarja tudi pritožbeno sodišče, v skladu s členom 7(f) Direktive 95/46, zlasti glede na merila, ki jih je Sodišče postavilo v točki 29 in naslednjih sodbe z dne 24. novembra 2011, ASNEF in FECEMD (C‑468/10 in C‑469/10, EU:C:2011:777).

30      V teh okoliščinah je Bundesgerichtshof (zvezno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ti vprašanji:

„1.      Ali je treba člen 2(a) Direktive 95/46/ES razlagati tako, da IP-naslov, ki ga zabeleži ponudnik storitev [spletnih medijev] pri dostopu do njegovega spletnega mesta, za tega ponudnika pomeni osebni podatek, čeprav je tretja oseba (tukaj: ponudnik dostopa) tista, ki ima na voljo dodatne podatke, potrebne za identifikacijo posameznika, na katerega se nanašajo osebni podatki?

2.      Ali člen 7(f) [te direktive] nasprotuje nacionalnemu predpisu, v skladu s katerim lahko ponudnik storitev [spletnih medijev] osebne podatke, ki se nanašajo na nekega uporabnika, brez privolitve uporabnika zbira in uporabi, samo če je to potrebno, da se zadevnemu uporabniku omogoča in zaračunava konkretni dostop do spletnih medijev, in po katerem cilj zagotavljanja splošnega delovanja spletnih medijev ne upravičuje uporabe podatkov po koncu postopka uporabe?“

 Vprašanji za predhodno odločanje

 Prvo vprašanje

31      S prvim vprašanjem predložitveno sodišče v bistvu sprašuje, ali je treba člen 2(a) Direktive 95/46 razlagati tako, da dinamični IP-naslov, ki ga je ponudnik storitev spletnih medijev shranil ob dostopu neke osebe do spletnega mesta, ki ga ta ponudnik daje na voljo javnosti, glede tega ponudnika pomeni osebni podatek v smislu te določbe, če ima samo neka tretja oseba, v tem primeru ponudnik dostopa do interneta te osebe, na voljo dodatne informacije, potrebne za njeno identifikacijo.

32      V skladu s to določbo „osebni podatek“ pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo („posameznik, na katerega se nanašajo osebni podatki“). Na podlagi te določbe je določljiva oseba tista, ki se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto.

33      Najprej je treba poudariti, da je Sodišče v točki 51 sodbe z dne 24. novembra 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), ki se je nanašala med drugim na razlago iste direktive, v bistvu presodilo, da so IP-naslovi uporabnikov interneta varovani osebni podatki, ker omogočajo natančno identifikacijo teh uporabnikov.

34      Vendar se je ta trditev Sodišča nanašala na primer, ko so IP-naslove uporabnikov interneta zbirali in identificirali ponudniki dostopa do interneta.

35      V obravnavanem primeru pa se prvo vprašanje nanaša na primer, v katerem ponudnik storitev spletnih medijev, in sicer Zvezna republika Nemčija, beleži IP-naslove uporabnikov spletnih mest, ki jih ta ponudnik daje na voljo javnosti, ne da bi imela na voljo dodatne informacije za identifikacijo teh uporabnikov.

36      Poleg tega ni sporno, da so IP-naslovi, o katerih govori predložitveno sodišče, „dinamični“ IP-naslovi, in sicer začasni naslovi, ki se dodelijo vsaki povezavi z internetom in se zamenjajo z vsako naknadno povezavo, in ne „statični“ IP-naslovi, ki niso spremenljivi in omogočajo trajno identifikacijo naprave, priključene na omrežje.

37      Prvo vprašanje predložitvenega sodišča tako temelji na premisi, da po eni strani podatki, ki jih tvori dinamični IP-naslov ter datum in ura dostopa do spletnega mesta s tega IP-naslova, ki jih shrani ponudnik storitev spletnih medijev, temu ponudniku ne dajejo možnosti identifikacije uporabnika, ki je dostopal do tega spletnega mesta ob tem poizvedovanju, po drugi strani pa ima ponudnik dostopa do interneta na voljo dodatne informacije, ki bi skupaj s tem IP-naslovom omogočile identifikacijo tega uporabnika.

38      Glede tega je treba najprej poudariti, da ni sporno, da dinamični IP-naslov ne pomeni informacije, ki se nanaša na „določeno fizično osebo“, ker tak naslov ne razkriva neposredno identitete fizične osebe, ki je lastnik računalnika, s katerega se je dostopalo do nekega spletnega mesta, niti druge osebe, ki bi lahko uporabila ta računalnik.

39      Nazadnje, za ugotovitev, ali dinamični IP-naslov v primeru, navedenem v točki 37 te sodbe, pomeni osebni podatek v smislu člena 2(a) Direktive 96/45 glede ponudnika storitev spletnih medijev, je treba preučiti, ali se lahko tak IP-naslov, ki ga shrani tak ponudnik, opredeli kot informacija, ki se nanaša na „določljivo fizično osebo“, če ima dodatne informacije, potrebne za identifikacijo uporabnikov spletnega mesta, ki ga ta ponudnik storitev daje na voljo javnosti, ponudnik dostopa do interneta tega uporabnika.

40      Glede tega je iz besedila člena 2(a) Direktive 95/46 razvidno, da se šteje za določljivo oseba, ki se lahko identificira ne samo neposredno, ampak tudi posredno.

41      To, da je zakonodajalec Unije uporabil izraz „posredno“, kaže na to, da za opredelitev osebnega podatka ni nujno, da zgolj ta informacija omogoči identifikacijo posameznika, na katerega se nanašajo osebni podatki.

42      Poleg tega je v uvodni izjavi 26 Direktive 95/46 navedeno, da bi bilo treba za odločitev o tem, ali je oseba določljiva ali ne, upoštevati vsa sredstva, za katera se razumno pričakuje, da jih bo uporabil bodisi upravljavec ali katera koli druga oseba za določitev take osebe.

43      Ker se ta uvodna izjava nanaša na sredstva, za katera se razumno pričakuje, da jih bo uporabil tako upravljavec kot tudi „katera koli druga oseba“, je na podlagi tega besedila mogoče sklepati, da za to, da se nek podatek lahko opredeli kot „osebni podatek“ v smislu člena 2(a) te direktive, ni nujno, da se vse informacije, ki omogočajo identifikacijo posameznika, na katerega se nanašajo osebni podatki, znajdejo v rokah samo ene osebe.

44      Zdi se, da dejstvo, da dodatnih informacij, potrebnih za identifikacijo uporabnika spletnega mesta, nima ponudnik storitev spletnih medijev, ampak ponudnik dostopa do interneta tega uporabnika, tako ne izključuje, da dinamični IP-naslovi, ki jih zabeleži ponudnik storitev spletnih medijev, zanj pomenijo osebne podatke v smislu člena 2(a) Direktive 95/46.

45      Vendar je treba ugotoviti, ali možnost, da se dinamični IP-naslov poveže s temi dodatnimi informacijami, ki jih ima ta ponudnik dostopa do interneta, pomeni sredstvo, za katero se razumno pričakuje, da se bo uporabilo za identifikacijo posameznika, na katerega se nanašajo osebni podatki.

46      Kakor je poudaril generalni pravobranilec v točki 68 sklepnih predlogov, to ne bi bilo tako v primeru, če bi bila identifikacija posameznika, na katerega se nanašajo osebni podatki, prepovedana z zakonom ali praktično neizvedljiva zaradi, na primer, pretiranega truda z vidika časa ter človeških in finančnih virov, tako da se tveganje identifikacije dejansko zdi nepomembno.

47      Čeprav predložitveno sodišče v predložitveni odločbi navaja, da po nemškem pravu ponudniku dostopa do interneta ni dovoljeno, da neposredno prenese ponudniku storitev spletnih medijev dodatne informacije, potrebne za identifikacijo posameznika, na katerega se nanašajo osebni podatki, pa se kljub temu zdi – kar pa mora preveriti predložitveno sodišče – da obstajajo zakonite poti, ki ponudniku storitev spletnih medijev omogočijo, da se zlasti v primeru kibernetskih napadov obrnejo na pristojen organ, da ta sprejme ukrepe, potrebne za pridobitev teh informacij pri ponudniku dostopa do interneta in začetek kazenskega pregona.

48      Tako se zdi, da ima ponudnik storitev spletnih medijev na voljo sredstva, za katera se razumno pričakuje, da se bodo uporabila za identifikacijo posameznika, na katerega se nanašajo osebni podatki, na podlagi shranjenih IP-naslovov, s pomočjo drugih oseb, in sicer pristojnega organa in ponudnika dostopa do interneta.

49      Glede na navedeno je treba na prvo vprašanje odgovoriti, da je treba člen 2(a) Direktive 95/46 razlagati tako, da dinamični IP-naslov, ki ga je ponudnik storitev spletnih medijev zabeležil ob dostopu neke osebe do spletnega mesta, ki jo ta ponudnik daje na voljo javnosti, glede tega ponudnika pomeni osebni podatek v smislu te določbe, če ima na voljo pravna sredstva, ki mu omogočajo identifikacijo posameznika, na katerega se nanašajo osebni podatki, z dodatnimi informacijami, ki jih ima na voljo ponudnik dostopa do interneta tega posameznika.

 Drugo vprašanje

50      Z drugim vprašanjem predložitveno sodišče v bistvu sprašuje, ali je treba člen 7(f) Direktive 95/46 razlagati tako, da nasprotuje zakonodaji države članice, v skladu s katero lahko ponudnik storitev spletnih medijev zbira in uporablja osebne podatke, ki se nanašajo na uporabnika teh storitev brez njegovega soglasja, samo če je to potrebno, da se zadevnemu uporabniku omogoča in zaračunava konkretni dostop do teh storitev, ne da bi cilj zagotavljanja splošnega delovanja teh storitev lahko upravičil uporabo teh podatkov po koncu postopka uporabe.

51      Pred odgovorom na to vprašanje je treba ugotoviti, ali obdelava osebnih podatkov iz zadeve v glavni stvari, to je dinamičnih IP-naslovov uporabnikov nekaterih spletnih mest nemških zveznih služb, ni izključena s področja uporabe Direktive 95/46 ob uporabi njenega člena 3(2), prva alinea, na podlagi katerega se ta ne uporablja za obdelavo osebnih podatkov, katere predmet so med drugim dejavnosti države na področju kazenskega prava.

52      Glede tega je treba spomniti, da so dejavnosti, ki so primeroma navedene v tej določbi, vsekakor dejavnosti, značilne za države ali za državne organe in ne spadajo na področje dejavnosti posameznikov (glej sodbe z dne 6. novembra 2003, Lindquist, C‑101/01, EU:C:2003:596, točka 43 in z dne 16. decembra 2008, Satakunnan Markkinapörssi in Sastamedia, C‑73/07, EU:C:2008:727, točka 41).

53      V zadevi v glavni stvari, pa se zdi – kar mora preveriti predložitveno sodišče – da nemške zvezne službe, ki ponujajo storitve spletnih medijev in ki so odgovorne za obdelavo dinamičnih IP-naslovov, kljub svojemu statusu javnih organov delujejo kot posamezniki in zunaj okvira dejavnosti na področju kazenskega prava.

54      Zato je treba ugotoviti, ali je zakonodaja države članice, kakršna je ta v postopku v glavni stvari, združljiva s členom 7(f) Direktive 95/46.

55      Za to je treba spomniti, da nacionalna zakonodaja v glavni stvari, ki jo predložitveno sodišče razlaga v ozkem pomenu, dovoljuje zbiranje in uporabo osebnih podatkov, ki se nanašajo na uporabnika teh storitev brez njegovega soglasja, samo če je to potrebno, da se zadevnemu uporabniku omogoča in zaračunava konkretni dostop do spletnih medijev, ne da bi cilj zagotavljanja splošnega delovanja spletnih medijev lahko upravičil uporabo teh podatkov po koncu postopka uporabe.

56      Na podlagi člena 7(f) direktive 95/46 je obdelava osebnih podatkov zakonita, če je „potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo, ki se varujejo na podlagi člena 1(1)“ te direktive.

57      Spomniti je treba, da je Sodišče presodilo, da je v členu 7 te direktive določen izčrpen in taksativen seznam primerov, v katerih je mogoče šteti, da je obdelava osebnih podatkov dopustna, in da države članice ne smejo niti dodati novih načel glede zakonitosti obdelave osebnih podatkov iz tega člena niti določiti dodatnih zahtev, ki bi spreminjale obseg enega od šestih načel, določenih v tem členu (glej v tem smislu sodbo z dne 24. novembra 2011, ASNEF in FECEMD, C‑468/10 in C‑469/10, EU:C:2011:777, točki 30 in 32).

58      Čeprav člen 5 Direktive 95/46 državam članicam dovoljuje, da v mejah določb poglavja II te Direktive in torej njenega člena 7 natančneje določijo pogoje, pod katerimi je obdelava osebnih podatkov zakonita, pa je diskrecijsko pravico, ki jo imajo države članice na podlagi navedenega člena 5, mogoče uporabiti zgolj v skladu s ciljem, ki mu sledi ta direktiva, to pa je ohranjanje ravnotežja med prostim pretokom osebnih podatkov in varstvom zasebnosti. Države članice na podlagi člena 5 te direktive ne smejo dodati drugih načel glede zakonitosti obdelave osebnih podatkov, kot so tista iz člena 7 te direktive, niti z dodatnimi zahtevami spremeniti obsega šestih načel, določenih v navedenem členu 7 (glej v tem smislu sodbo z dne 24. novembra 2011, ASNEF in FECEMD, C‑468/10 in C‑469/10, EU:C:2011:777, točke 33, 34 in 36).

59      V obravnavanem primeru se zdi, da bi imel člen 15 TMG, če bi se razlagal strogo, kot je navedeno v členu 55 te sodbe, ožji domet kot načelo, določeno v členu 7(f) Direktive 95/46.

60      Medtem ko se člen 7(f) te direktive na splošno nanaša na uresničitev „zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani“, pa naj bi namreč člen 15 TMG ponudniku storitev dovoljeval, da zbira in uporablja osebne podatke uporabnika, če je to potrebno za omogočanje konkretne uporabe telekomunikacijskih storitev in njihovo zaračunavanje. Člen 15 TMG naj bi torej za zagotovitev uporabe spletnih medijev na splošno nasprotoval hrambi osebnih podatkov po koncu postopka uporabe teh medijev. Nemške zvezne službe, ki ponujajo storitve spletnih medijev, bi lahko tudi imele legitimni interes za zagotavljanje kontinuitete delovanja teh strani po vsaki konkretni uporabi njihovih spletnih mest, dostopnih javnosti.

61      Kot je generalni pravobranilec poudaril v točkah 100 in 101 sklepnih predlogov, se taka nacionalna zakonodaja ne omejuje na to, da bi v skladu s členom 5 Direktive 95/46 zgolj natančno določala „zakoniti interes“ iz člena 7(f) te direktive.

62      Glede tega je treba tudi spomniti, da člen 7(f) te direktive nasprotuje tudi temu, da država članica kategorično in na splošno izključi možnost za nekatere vrste osebnih podatkov, da se obdelajo, ne da bi omogočila tehtanje zadevnih nasprotujočih si pravic in interesov v posebnem primeru. Država članica tako za te vrste ne sme dokončno določiti izida tehtanja nasprotujočih si pravic in interesov, ne da bi omogočala drugačen izid zaradi posebnih okoliščin konkretnega primera (glej v tem smislu sodbo z dne 24. novembra 2011, ASNEF in FECEMD, C‑468/10 in C‑469/10, EU:C:2011:777, točki 47 in 48).

63      Zakonodaja, kakršna je ta v postopku v glavni stvari, pa glede obdelave osebnih podatkov uporabnikov strani spletnih medijev zmanjšuje obseg načela, določenega v členu 7(f) Direktive 95/46, tako da izključuje, da je cilj zagotavljanja splošnega delovanja teh spletnih medijev lahko predmet tehtanja v primerjavi z interesi ali s temeljnimi pravicami in svoboščinami teh uporabnikov, ki v skladu s to določbo zahtevajo varstvo na podlagi člena 1(1) te direktive.

64      Iz vsega navedenega je razvidno, da je treba na drugo vprašanje odgovoriti tako, da je treba člen 7(f) Direktive 95/46 razlagati tako, da nasprotuje zakonodaji države članice, v skladu s katero lahko ponudnik storitev spletnih medijev zbira in uporablja osebne podatke, ki se nanašajo na uporabnika teh storitev brez njegovega soglasja, samo če sta to zbiranje in ta uporaba potrebna za to, da se zadevnemu uporabniku omogoča in zaračunava konkretni dostop do teh storitev, ne da bi cilj zagotavljanja splošnega delovanja teh storitev lahko upravičil uporabo teh podatkov po koncu postopka uporabe.

 Stroški

65      Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški, priglašeni za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (drugi senat) razsodilo:

1.      Člen 2(a) Direktive 95/46 Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov je treba razlagati tako, da dinamični naslov internetnega protokola, ki ga je ponudnik storitev spletnih medijev zabeležil ob dostopu neke osebe do spletnega mesta, ki ga ta ponudnik daje na voljo javnosti, glede tega ponudnika pomeni osebni podatek v smislu te določbe, če ima na voljo pravna sredstva, ki mu omogočajo identifikacijo posameznika, na katerega se nanašajo osebni podatki, z dodatnimi informacijami, ki jih ima na voljo ponudnik dostopa do interneta tega posameznika.

2.      Člen 7(f) Direktive 95/46 je treba razlagati tako, da nasprotuje zakonodaji države članice, v skladu s katero lahko ponudnik storitev spletnih medijev zbira in uporablja osebne podatke, ki se nanašajo na uporabnika teh storitev brez njegovega soglasja, samo če sta to zbiranje in ta uporaba potrebna za to, da se zadevnemu uporabniku omogoča in zaračunava konkretni dostop do teh storitev, ne da bi cilj zagotavljanja splošnega delovanja teh storitev lahko upravičil uporabo teh podatkov po koncu postopka uporabe.

Podpisi

* Jezik postopka: nemščina.