FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
N. JÄÄSKINEN
fremsat den 17. november 2011 (1)
Sag C-461/10
Bonnier Audio AB
Earbooks AB
Norstedts Förlagsgrupp AB
Piratförlaget Aktiebolag
Storyside AB
mod
Perfect Communication Sweden AB (»ePhone«)
(anmodning om præjudiciel afgørelse indgivet af Högsta domstolen (Sverige))
»Ophavsret og beslægtede rettigheder – ret til en effektiv beskyttelse af intellektuelle ejendomsrettigheder – direktiv 2004/48/EF – artikel 8 – beskyttelse af personoplysninger – elektronisk kommunikation – lagring af visse genererede data – videregivelse af personoplysninger til privatpersoner – direktiv 2002/58/EF – artikel 15 – direktiv 2006/24/EF – artikel 4 – lydbøger – fildeling – retligt påbud til en internetudbyder om at oplyse navn og adresse vedrørende brugeren af en IP-adresse«
I – Indledning
1. Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 3-5 og 11 i Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (2) samt artikel 8 i Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder (3).
2. Anmodningen er blevet forelagt af Högsta domstolen (Sverige) i forbindelse med en tvist mellem på den ene side Bonnier Audio AB, Earbooks AB, Norstedts Förlagsgrupp AB, Piratförlaget Aktiebolag samt Storyside AB (herefter samlet »Bonnier Audio m.fl.«) og på den anden side Perfect Communication Sweden AB (herefter »ePhone«) vedrørende ePhones anfægtelse af en anmodning om påbud om at tilvejebringe oplysninger, som Bonnier Audio m.fl. har indgivet med det formål at kunne identificere en bestemt abonnent.
3. Beskyttelse af personoplysninger er et tværjuridisk område, der til stadighed giver anledning til en række spørgsmål inden for forskellige områder. Der er tale om en grundlæggende rettighed (artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »charteret om grundlæggende rettigheder«)), som i lighed med retten til respekt for privatliv og familieliv (artikel 7 i charteret om grundlæggende rettigheder) ofte skal afvejes over de andre grundlæggende rettigheder, der sikres ved Unionens retsorden såsom beskyttelsen af intellektuelle ejendomsrettigheder (artikel 17 i charteret om grundlæggende rettigheder) (4). I den afledte ret er to direktiver af særlig betydning, nemlig Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (5) og Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (6). De nævnte direktiver suppleres af direktiv 2006/24.
4. At beskyttelsen af personoplysninger vedrører nyskabende og følsomme spørgsmål fremgår endvidere af den omstændighed, at en lang række af de sager, som er blevet anlagt ved Domstolen bl.a. om fortolkningen af direktiv 95/46 (7), er blevet afgjort af Domstolens Store Afdeling.
5. Domstolen har allerede ved flere lejligheder udtalt sig om fortolkningen af direktiv 2006/24. Det retlige spørgsmål, der rejses i den foreliggende sag, adskiller sig imidlertid fra de spørgsmål, der er blevet behandlet i de tidligere afgjorte sager (8). I det foreliggende tilfælde ønsker den forelæggende ret nærmere bestemt oplyst, om den fortolkning, der blev anlagt i Promusicae-dommen, og i kendelsen i sagen LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (9) skal tilrettes som følge af vedtagelsen af direktiv 2006/24.
II – Retsforskrifter
A – EU-retten
1. Intellektuelle ejendomsrettigheder
6. Direktiv 2004/48 fastsætter regler om håndhævelsen af intellektuelle ejendomsrettigheder.
7. Artikel 8 i direktiv 2004/48 har følgende ordlyd:
»1. Medlemsstaterne sikrer, at de kompetente retslige myndigheder i forbindelse med sager om krænkelse af en intellektuel ejendomsrettighed og som svar på en velbegrundet og forholdsmæssig afpasset begæring fra rekvirenten kan pålægge den krænkende part og/eller enhver anden person at give oplysninger om oprindelsen af og distributionskanalerne for de varer eller tjenesteydelser, der krænker en intellektuel ejendomsrettighed, såfremt den pågældende:
a) er fundet i besiddelse af de omtvistede varer i kommerciel målestok
b) er fundet i færd med at anvende de omtvistede tjenesteydelser i kommerciel målestok
c) er fundet i færd med at yde tjenester, der anvendes i de omtvistede aktiviteter, i kommerciel målestok
eller
d) er blevet identificeret af den i litra a), b) eller c) omhandlede person som indblandet i produktion, fremstilling eller distribution af sådanne varer eller levering af sådanne tjenesteydelser.
2. De i stk. 1 nævnte oplysninger omfatter i givet fald:
a) navn og adresse på producenter, fremstillere, distributører, leverandører og andre tidligere indehavere af varer eller tjenesteydelser samt på engros- og detailhandelsled
b) oplysninger om producerede, fremstillede, leverede, modtagne eller bestilte mængder og om den pris, der er opnået for de pågældende varer eller tjenesteydelser.
3. Stk. 1 og 2 finder anvendelse med forbehold af andre lovbestemmelser, der
[…]
e) omhandler beskyttelsen af fortrolige kilder til information eller behandlingen af personoplysninger.«
2. Beskyttelse af personoplysninger
8. De relevante retlige rammer på området udgøres af tre direktiver, nemlig direktiv 95/46, direktiv 2002/58 og direktiv 2006/24.
a) Direktiv 95/46
9. Direktiv 95/46 pålægger medlemsstaterne at sikre beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger ved at fastsætte vejledende principper for lovligheden af en sådan behandling.
b) Direktiv 2002/58
10. Direktiv 2002/58 omsætter de principper, der er fastsat i direktiv 95/46, til en række særlige bestemmelser inden for sektoren for elektronisk kommunikation.
11. Bestemmelserne i artikel 5, stk. 1, i direktiv 2002/58 fastsætter, at medlemsstaterne skal sikre kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, og i princippet skal de navnlig forbyde lagring af disse data af andre end brugerne, uden at de pågældende brugere har indvilget heri. Den eneste undtagelse herfra er tilfælde, hvor det i henhold til dette direktivs artikel 15, stk. 1, er tilladt ifølge lovgivningen, og den tekniske lagring er nødvendig for overføring af en kommunikation. Hvad desuden angår trafikdata fastsættes det i artikel 6, stk. 1, i direktiv 2002/58, at de data, som lagres, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog samme artikels stk. 2, 3 og 5 samt artikel 15, stk. 1, i dette direktiv.
12. Det fremgår af artikel 15, stk. 1, i direktiv 2002/58, at medlemsstaterne kan vedtage retsforskrifter med henblik på bl.a. at indskrænke rækkevidden af pligten til at sikre kommunikationshemmeligheden for så vidt angår trafikdata, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed – dvs. statens sikkerhed – forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46.
c) Direktiv 2006/24
13. Direktiv 2006/24 omhandler lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet.
14. Artikel 1, stk. 1, i direktiv 2006/24 bestemmer følgende:
»Formålet med dette direktiv er at harmonisere medlemsstaternes bestemmelser om de pligter, der er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet for så vidt angår lagring af visse data, der genereres eller behandles af dem, med henblik på at sikre, at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning.«
15. Bestemmelserne i direktiv 2006/24 har nærmere bestemt til formål at tilnærme de nationale lovbestemmelser om pligt til at lagre data (artikel 3), de kategorier af data, der skal lagres (artikel 5), lagringsperioderne (artikel 6), databeskyttelse og datasikkerhed (artikel 7) og betingelserne for lagring (artikel 8).
16. Direktivets artikel 3, stk. 1, er affattet således:
»Uanset artikel 5, 6 og 9 i direktiv 2002/58/EF vedtager medlemsstaterne foranstaltninger til at sikre, at de i artikel 5 i nærværende direktiv nævnte data, som genereres eller behandles af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet inden for deres jurisdiktion, når de leverer de pågældende kommunikationstjenester, lagres i overensstemmelse med bestemmelserne i nærværende direktiv.«
17. Direktivets artikel 4 præciserer:
»Medlemsstaterne træffer foranstaltninger til at sikre, at data, der lagres i overensstemmelse med dette direktiv, kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning. Hver medlemsstat fastsætter i sin nationale lovgivning den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data i overensstemmelse med kravet om nødvendighed og proportionalitet, under hensyn til de relevante bestemmelser i EU-retten og folkeretten, herunder navnlig den europæiske menneskerettighedskonvention, således som den er fortolket af Den Europæiske Menneskerettighedsdomstol.«
18. Artikel 5 i direktiv 2006/24 bestemmer:
»1. Medlemsstaterne sikrer, at følgende kategorier af data lagres i medfør af nærværende direktiv:
[…]
2) for så vidt angår internetadgang og e-mail og telefoni via internettet:
i) tildelt brugeridentitet
ii) den brugeridentitet og det telefonnummer, som er tildelt kommunikationer, der indgår i et offentligt telefonnet
iii) navn og adresse på den abonnent eller registrerede bruger, til hvem en internetprotokol-adresse (IP-adresse), en brugeridentitet eller et telefonnummer var tildelt på kommunikationstidspunktet
b) data, der er nødvendige for at fastslå en kommunikations bestemmelsessted:
[…]
c) data, der er nødvendige for at fastslå en kommunikations dato, klokkeslæt og varighed:
[…]
d) data, der er nødvendige for at identificere kommunikationens type:
[…]
e) data, der er nødvendige for at identificere brugernes kommunikationsudstyr eller det, der fremstår som værende deres udstyr:
[…]
f) data, der er nødvendige for at foretage en lokalisering af mobilt udstyr:
[…]
2. Data, der afslører indholdet af kommunikationen, kan ikke lagres i medfør af dette direktiv.«
19. Artikel 11 i direktiv 2006/24 indsætter et nyt stk. 1a i artikel 15 i direktiv 2002/58. Ifølge denne bestemmelse finder artikel 15, stk. 1, i direktiv 2002/58 ikke anvendelse på data, der udtrykkelig kræves lagret i henhold til direktiv 2006/24.
B – National lovgivning
1. Ophavsret
20. Inden for ophavsretsområdet blev direktiv 2004/48 gennemført i svensk ret ved indførelsen af nye bestemmelser i lov 1960:729 om ophavsret til litterære og kunstneriske værker (lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk, herefter »upphovsrättslagen«). Disse nye bestemmelser trådte i kraft den 1. april 2009 (10).
21. § 53 c i upphovsrättslagen bestemmer:
»Godtgør sagsøgeren, at der er sket en krænkelse eller overtrædelse som nævnt i § 53, kan retten under fastsættelse af tvangsbøde pålægge de i stk. 2 nævnte personer at give sagsøgeren oplysninger om oprindelsen af og distributionskanalerne for de varer eller tjenesteydelser, som krænkelsen vedrører (oplysningspåbud). Et sådant påbud kan pålægges efter anmodning fra ophavsmanden eller den, til hvem ophavsretten er overgået eller overdraget. Påbuddet kan kun udstedes, hvis oplysningerne kan formodes at fremme undersøgelsen af krænkelsen af varerne eller tjenesteydelserne.
Pligten til at give oplysninger omfatter enhver, såfremt:
1) den pågældende har foretaget eller medvirket til krænkelsen eller overtrædelsen
2) den pågældende er fundet i besiddelse af den vare, som krænkelsen eller overtrædelsen vedrører, i kommerciel målestok
3) den pågældende er fundet i færd med at anvende den tjenesteydelse, som krænkelsen eller overtrædelsen vedrører, i kommerciel målestok
4) den pågældende er fundet i færd med at yde en elektronisk kommunikationstjeneste eller en anden tjenesteydelse, som har været anvendt i forbindelse med krænkelsen eller overtrædelsen, i kommerciel målestok
eller
5) den pågældende ifølge personer omfattet af nr. 2)-4) har medvirket til produktion eller distribution af en vare eller levering af den tjenesteydelse, som krænkelsen eller overtrædelsen vedrører.
Oplysninger om oprindelsen af og distributionskanalerne for varer og tjenesteydelser omfatter bl.a.:
1) navn og adresse på producenter, distributører, leverandører og andre tidligere indehavere af de pågældende varer og tjenesteydelser
2) navn og adresse på grossister og detailhandlere
og
3) oplysninger om de producerede, fremstillede, leverede, modtagne eller bestilte mængder og den pris, der er opnået for de pågældende varer eller tjenesteydelser.
Stk. 1-3 finder tilsvarende anvendelse på forsøg eller forberedelse til forsøg på krænkelse eller overtrædelse som nævnt i § 53.«
22. § 53 d i upphovsrättslagen bestemmer:
»Et påbud om oplysninger kan kun udstedes, hvis begrundelsen for foranstaltningen opvejer ulemperne eller den skade, som den i øvrigt indebærer for den person, der rammes af den, eller for en anden eventuel modstående interesse.
Pligten til at give oplysninger i medfør af § 53 c omfatter ikke sådanne oplysninger, der må antages at udsætte den, anmodningen vedrører, eller hans nærmeste pårørende, jf. § 3 i kapitel 36 i rättegångsbalken [retsplejeloven], for straf.
Personuppgiftslagen [personoplysningsloven] (1998:204) indeholder bestemmelser, der fastsætter begrænsninger for behandlingen af sådanne oplysninger.«
2. Beskyttelse af personoplysninger
23. Direktiv 2002/58 blev gennemført i svensk ret bl.a. ved lov 2003:839 om elektronisk kommunikation (lagen (2003:389) om elektronisk kommunikation). Det følger af denne lovs § 20, stk. 1, i kapitel 6, at den, som i forbindelse med leveringen af et elektronisk kommunikationsnet eller en elektronisk kommunikationstjeneste har modtaget eller har fået adgang til oplysninger om abonnementer, ikke uberettiget må videregive eller benytte det, han har modtaget eller fået adgang til.
24. Den forelæggende ret har i denne henseende anført, at tavshedspligten for bl.a. internetudbydere er udformet således, at den alene indebærer et forbud med uberettiget at videregive eller benytte visse oplysninger. Tavshedspligten er imidlertid underordnet andre bestemmelser, der fastsætter, at oplysninger skal videregives, idet videregivelsen i sådanne tilfælde ikke er uberettiget. Ifølge Högsta domstolen har retten til oplysninger i henhold til § 53 c i upphovsrättslagen, som også gælder i forhold til internetudbydere, ikke krævet nogen særlige lovændringer, for at de nye bestemmelser om videregivelse af oplysninger kan have forrang frem for princippet om tavshedspligt (11). Tavshedspligten fjernes således ved rettens afgørelse om påbud om oplysninger.
25. Direktiv 2006/24 er ikke blevet gennemført i svensk ret inden for den fastsatte frist (12).
III – Tvisten i hovedsagen, de præjudicielle spørgsmål og retsforhandlingerne for Domstolen
26. Bonnier Audio m.fl. er forlag, der bl.a. har eneret til at fremstille 27 nærmere angivne bøger i lydbogsformat, til at udgive eksemplarer af værkerne samt til at stille værkerne til rådighed for almenheden.
27. Bonnier Audio m.fl. har gjort gældende, at der er sket en krænkelse af deres eneret, idet disse 27 værker uden indehavernes samtykke er blevet gjort tilgængeligt for almenheden via en FTP-server (»file transfer protocol«), der gør det muligt at dele filer og overføre data mellem computere via internettet.
28. ePhone er den internetudbyder, der har stillet den internetforbindelse til rådighed, via hvilken den påståede ulovlige fildeling har fundet sted.
29. Bonnier Audio m.fl. anmodede Solna tingsrätt om at udstede påbud med henblik på at få oplyst navn og adresse på den person, der benyttede den IP-adresse, som angiveligt blev anvendt til at overføre de omhandlede filer i perioden fra den 1. april 2009, kl. 03.28, til den 1. april 2009, kl. 05.45.
30. ePhone bestred anmodningen og gjorde bl.a. gældende, at det ønskede påbud var i strid med direktiv 2006/24.
31. Solna tingsrätt efterkom anmodningen om påbud vedrørende de omhandlede oplysninger.
32. ePhone ankede afgørelsen til Svea hovrätt og nedlagde påstand om, at anmodningen om påbud om oplysninger skulle forkastes. ePhone nedlagde endvidere påstand om, at hovrätten skulle indhente en præjudiciel afgørelse fra Domstolen med hensyn til, om direktiv 2006/24 er til hinder for, at abonnentoplysninger, som vedrører en bestemt IP-adresse, må videregives til andre end de myndigheder, der er nævnt i direktivet.
33. Svea hovrätt fandt, at bestemmelserne i direktiv 2006/24 ikke er til hinder for, at en part i et søgsmål videregiver abonnentoplysninger til andre end en myndighed. Svea hovrätt afviste endvidere at indhente en præjudiciel afgørelse fra Domstolen.
34. Svea hovrätt fandt endvidere, at lydbogsforlagene ikke havde godtgjort, at der var en begrundet formodning for, at der forelå en krænkelse af en intellektuel ejendomsrettighed. Svea hovrätt annullerede derfor tingsrättens afgørelse om påbud om oplysninger. Bonnier Audio m.fl. indbragte derefter sagen for den forelæggende ret, Högsta domstolen.
35. Den forelæggende ret har anført, at til trods for Promusicae-dommen og kendelsen i sagen LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten er der fortsat usikkerhed om, hvorvidt EU-retten er til hinder for anvendelsen af § 53 c i upphovsrättslagen, idet direktiv 2006/24 ikke nævnes i disse to afgørelser.
36. Under disse omstændigheder har Högsta domstolen besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:
»1) Er […] direktiv 2006/24 […], navnlig artikel 3-5 og 11 heri, til hinder for anvendelsen af en national bestemmelse, der er indført i henhold til artikel 8 i […] direktiv 2004/48 […], og som indebærer, at en internetudbyder i et civilt søgsmål med det formål at kunne identificere en bestemt abonnent tilpligtes at give indehaverne af ophavsretten eller den, til hvem retten er overgået, oplysninger om den abonnent, der har fået tildelt en bestemt IP-adresse af internetudbyderen, hvorfra den påståede krænkelse er foretaget? Forudsætningen for dette spørgsmål er, at sagsøgeren har godtgjort, at der er en begrundet formodning for, at der foreligger en krænkelse af visse ophavsrettigheder, og at foranstaltningen står i rimeligt forhold hertil?
2) Har det betydning for besvarelsen af spørgsmål 1, at medlemsstaten ikke har gennemført datalagringsdirektivet, selv om fristen er udløbet?«
37. Bonnier Audio m.fl., ePhone, den italienske, den lettiske, den svenske og den tjekkiske regering samt Europa-Kommissionen har afgivet skriftlige indlæg.
38. Med undtagelse af den lettiske og den tjekkiske regering var de parter, der afgav skriftlige indlæg, til stede under retsmødet, der blev afholdt den 30. juni 2011.
IV – Bedømmelse
A – Rækkevidden af direktiv 2006/24
39. Den forelæggende ret ønsker nærmere bestemt med det første spørgsmål oplyst, om direktiv 2006/24 er til hinder for anvendelsen af en national bestemmelse, der er indført i henhold til artikel 8 i direktiv 2004/48, og som indebærer, at en internetudbyder tilpligtes at give indehaveren af en ophavsret eller den, til hvem retten er overgået, oplysninger om navn og adresse på den abonnent, der har fået tildelt den IP-adresse, hvorfra den påståede ophavsretskrænkelse er foretaget.
40. Den forelæggende ret har stillet dette spørgsmål ud fra den forudsætning, dels at Bonnier Audio m.fl., der har anmodet om påbuddet i hovedsagen, kan godtgøre, at der foreligger en ophavsretskrænkelse, dels at foranstaltningen står i rimeligt forhold hertil.
41. Som det fremgår af forelæggelsesafgørelsen er den sag, som Bonnier Audio m.fl. har anlagt i hovedsagen med henblik på at få udleveret personoplysninger, anlagt som civilt søgsmål.
42. Det første spørgsmål, der skal besvares, er, om de ønskede oplysninger udgør personoplysninger. Lovgivningen om beskyttelse af personoplysninger kan kun finde anvendelse, hvis der er tale om sådanne oplysninger. Der er i hovedsagen tale om navn og adresse på en abonnent, der identificeres på grundlag af en IP-adresse. Dette falder inden for anvendelsesområdet for bestemmelserne om beskyttelse af personoplysninger.
43. Det bemærkes imidlertid, at en person, der kan have foretaget en ophavsretskrænkelse, ikke udelukkende kan identificeres på grundlag af en IP-adresse, såfremt flere personer kan benytte den samme IP-adresse til at få adgang til internettet. Dette er f.eks. tilfældet, når der anvendes trådløse netværk, som ikke er effektivt beskyttede, når der sker uberettiget anvendelse af computere, som er tilsluttet internettet, og når flere personer anvender den samme computer. Det forekommer mig imidlertid, at en IP-adresse i en række medlemsstater anvendes som bevis for den påståede krænkers identitet (13).
44. Det skal dernæst undersøges, om direktiv 2006/24 finder anvendelse i hovedsagen. I Promusicae-dommen fandt direktivet ikke tidsmæssig anvendelse, hvorfor Domstolen uden videre afviste at anvende direktivet (14).
45. Hvad angår vurderingen af, om direktiv 2006/24 finder tidsmæssig anvendelse i det foreliggende tilfælde, bemærkes, at det af direktivets artikel 1 fremgår, at direktivet skal sikre, »at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning« (15). Det følger endvidere af direktivets artikel 4, at medlemsstaterne har pligt til at træffe foranstaltninger til at sikre, at data, der lagres i overensstemmelse med direktivet, kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning.
46. Der er i hovedsagen tale om et civilt søgsmål, og det er ikke en kompetent national myndighed, men private virksomheder, der har anmodet om oplysninger.
47. Det er derfor min opfattelse, at omstændighederne i hovedsagen ikke er omfattet af det materielle anvendelsesområde for direktiv 2006/24, selv om de data, der lagres til formål i overensstemmelse med direktivet, er omfattet af anvendelsesområdet for direktiverne om beskyttelse af personoplysninger i det omfang, udbyderen opbevarer oplysningerne til andre formål.
48. Det andet spørgsmål om, hvilken betydning det har for besvarelsen af det første spørgsmål, at direktiv 2006/24 ikke er gennemført i Sverige, er derfor irrelevant.
49. Selv om direktiv 2006/24 ikke finder anvendelse i det foreliggende tilfælde, skal det undersøges, hvilken betydning direktivet kunne have haft i hovedsagen. Inden jeg vender tilbage til dette spørgsmål, vil jeg først gennemgå bestemmelserne om beskyttelse af personoplysninger.
B – Begrænsninger i beskyttelsen af personoplysninger
50. Det bemærkes indledningsvis, at beskyttelsen af personoplysninger i EU-retten er underlagt visse grundlæggende principper.
51. Ifølge det grundlæggende princip, der er fastsat i artikel 6, stk. 1, litra b), i direktiv 95/46 må personoplysninger kun indsamles til udtrykkeligt angivne og legitime formål, og senere behandling heraf må ikke være uforenelig med disse formål. Indsamlingen af personoplysninger og fremgangsmåden for og formålene med denne indsamling, skal fastsættes på forhånd. Senere behandling, der ikke er forenelig med de på forhånd fastsatte formål, er forbudt.
52. Det skal derfor undersøges, om der er på unionsniveau eller nationalt niveau er vedtaget bestemmelser, der fastsætter sådanne krav, for så vidt angår lagring af personoplysninger og videregivelse til tredjemand i de situationer, hvor en privatperson gør gældende, at der angiveligt foreligger en krænkelse af en intellektuel ejendomsrettighed.
1. Begrænsninger i henhold til EU-retten
53. Hvad angår EU-lovgivningen om data inden for telekommunikationsområdet, præciseres de generelle rammer, der er fastsat i direktiv 95/46, særligt af direktiv 2002/58, der suppleres af direktiv 2006/24. En gennemgang af direktiv 2002/58 og direktiv 2006/24 viser, at disse direktiver ikke indeholder særlige bestemmelser om lagring eller anvendelse af kommunikationsdata inden for rammerne af sager om bekæmpelse af krænkelser af intellektuelle ejendomsrettigheder foretaget af privatpersoner. Direktiv 2002/58 omhandler rettigheder og forpligtelser for udbydere af elektroniske kommunikationstjenester. Direktiv 2006/24 omhandler offentlige myndigheders lagring af oplysninger med henblik på at afsløre alvorlige forbrydelser. Hvad angår de krænkelser af intellektuelle ejendomsrettigheder, som gøres gældende af privatpersoner, bemærkes, at hverken direktiv 2002/58 eller direktiv 2006/24 fastsætter nogen mulighed for eller pligt til at lagre eller benytte kommunikationsdata til et bestemt formål eller til at anvende allerede eksisterende data, der lagres til andre formål.
54. I direktiv 2004/48 nævnes personoplysninger kun i direktivets artikel 8, stk. 3, litra e). Det fremgår af denne bestemmelse, at direktivets artikel 8, stk. 1 og 2, der omhandler adgangen til oplysninger, som kan vedrøre en krænkelse af en intellektuel ejendomsrettighed, finder anvendelse med forbehold af andre lovbestemmelser, der omhandler behandlingen af personoplysninger. Det fremgår således af direktiv 2004/48, at de lovbestemmelser, der omhandler behandlingen af personoplysninger, skal overholdes. Direktivet indeholder derimod ikke en præcisering af, hvilke personoplysninger der må lagres, hvad formålet med og varigheden af lagringen skal være, eller hvem der kan få adgang til disse oplysninger, når der foreligger en krænkelse af en intellektuel ejendomsrettighed.
55. Selv om det på unionsniveau vil være hensigtsmæssigt med et direktiv, der kan supplere direktiv 2002/58 ved at foreskrive en pligt til foretage lagring af oplysninger vedrørende krænkelser af intellektuelle ejendomsrettigheder, og som samtidig præciserer formålet med lagringen, de oplysninger, der skal lagres, lagringens varighed og de personer, der kan få adgang til sådanne oplysninger, bemærkes, at der på nuværende tidspunkt ikke findes et sådant direktiv (16).
56. På baggrund af det ovenstående må det fastslås, at den gældende EU-lovgivning ikke foreskriver de nødvendige præciseringer af, hvordan personoplysninger, der genereres i forbindelse med elektroniske kommunikation, skal lagres og videregives, når der foreligger en krænkelse af en intellektuel ejendomsrettighed, som gøres gældende af en privatperson.
2. Begrænsninger på medlemsstatsniveau
57. Hvad angår medlemsstaternes lovgivning bemærkes, at artikel 15 i direktiv 2002/58 gør det muligt at begrænse anvendelsen af de principper, som ligger til grund for direktivet.
58. Domstolen har fortolket denne artikel i Promusicae-dommen og i kendelsen i sagen LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten. Domstolen fastslog i den forbindelse, at direktiv 2002/58 ikke udelukker medlemsstaternes mulighed for at fastsætte en pligt til under en civil retssag at videregive personoplysninger, men udtalte samtidig, at EU-retten ikke tvinger medlemsstaterne til at fastsætte en sådan forpligtelse (17). Domstolen fastslog endvidere, at der består en sammenhæng mellem direktivets artikel 15, stk. 1, og artikel 13, stk. 1, i direktiv 95/46 (18).
59. Promusicae-dommen vedrørte spørgsmålet om videregivelse af personoplysninger og i sidste ende også spørgsmålet om medlemsstaternes pligt til under gennemførelsen af de pågældende direktiver at påse, at de lægger en fortolkning af disse direktiver til grund, som gør det muligt at sikre den rette afvejning mellem de forskellige grundlæggende rettigheder, der er beskyttet af Unionens retsorden (19). Jeg fortolker denne konstatering således, at de grundlæggende principper inden for hvert område, dvs. beskyttelsen af tavshedspligten vedrørende elektronisk kommunikation og beskyttelsen af ophavsretten og de beslægtede rettigheder, skal overholdes fuldt ud.
60. For at der kan ske videregivelse af personoplysninger, kræves ifølge EU-retten, at den nationale lovgivning foreskriver en pligt til at lagre sådanne oplysninger for således at kunne angive de kategorier af oplysninger, der skal lagres, lagringens formål og varighed samt de personer, der kan få adgang til disse oplysninger. Det vil være i strid med principperne om beskyttelse af personoplysninger at anvende databaser, der er oprettet til andre formål end dem, der af fastsat af lovgiver.
61. For at lagring og videregivelse af personoplysninger kan være i overensstemmelse med artikel 15 i direktiv 2002/58 i en situation, som den i hovedsagen omhandlede, skal det på forhånd udførligt fremgå af den nationale lovgivning, hvilke begrænsninger der gælder for de rettigheder og forpligtelser, der er fastsat i direktivets artikel 5, 6 og 8, stk. 1-4, samt artikel 9 (20). En sådan begrænsning skal endvidere udgøre en foranstaltning, der er nødvendig, passende og forholdsmæssig. En pligt for en internetudbyder til at videregive personoplysninger, der er lagret til et andet formål, er ikke tilstrækkeligt til at opfylde disse krav (21).
62. Sammenfattende bemærkes, at de grundlæggende rettigheder vedrørende på den ene side beskyttelsen af personoplysninger og privatlivet og på den anden side beskyttelsen af intellektuelle ejendomsrettigheder bør gives ligelig beskyttelse. Der bør derfor ikke tages særligt hensyn til indehavere af intellektuelle ejendomsrettigheder ved at give dem ret til at anvende personoplysninger, der er blevet lovligt indsamlet og lagret til et andet formål end at beskytte deres rettigheder. Disse oplysninger kan kun indsamles og anvendes til sådanne formål i overensstemmelse med den gældende EU-lovgivning vedrørende beskyttelse af personoplysninger, såfremt den nationale lovgiver på forhånd har vedtaget udførlige bestemmelser herom i henhold til artikel 15 i direktiv 2002/58 (22).
V – Forslag til afgørelse
63. På baggrund af ovennævnte betragtninger foreslår jeg, at Domstolen besvarer de præjudicielle spørgsmål fra Högsta domstolen således:
»1) Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF finder kun anvendelse på behandlingen af de personoplysninger, der er nævnt i direktivets artikel 1, stk. 1. Følgelig er direktivet ikke til hinder for en national bestemmelse, der indebærer, at retten kan pålægge en internetudbyder i et civilt søgsmål med det formål at kunne identificere en bestemt abonnent at give indehaverne af ophavsretten eller den, til hvem retten er overgået, oplysninger om den abonnent, der har fået tildelt en bestemt IP-adresse af internetudbyderen, hvorfra den påståede krænkelse er foretaget. Disse oplysninger skal imidlertid have været lagret med henblik på at kunne videregives og benyttes til dette formål i overensstemmelse med udførlige nationale bestemmelser, der er vedtaget under hensyntagen til de EU-retlige bestemmelser om beskyttelse af personoplysninger.
2) I lyset af besvarelsen af det første spørgsmål er det ufornødent at besvare det andet spørgsmål.«