Language of document : ECLI:EU:C:2016:779

DOMSTOLENS DOM (Anden Afdeling)

19. oktober 2016 (*)

»Præjudiciel forelæggelse – behandling af personoplysninger – direktiv 95/46/EF – artikel 2, litra a) – artikel 7, litra f) – begrebet »personoplysninger« – internetprotokoladresser – opbevaring hos en udbyder af online-medietjenester – national lovgivning, der ikke tillader en hensyntagen til den legitime interesse, som den registeransvarlige forfølger«

I sag C-582/14,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Bundesgerichtshof (forbundsdomstol, Tyskland) ved afgørelse af 28. oktober 2014, indgået til Domstolen den 17. december 2014, i sagen:

Patrick Breyer

mod

Bundesrepublik Deutschland,

har

DOMSTOLEN (Anden Afdeling)

sammensat af afdelingsformanden, M. Ilešič, og dommerne A. Prechal, A. Rosas (refererende dommer), C. Toader og E. Jarašiūnas,

generaladvokat: M. Campos Sánchez-Bordona

justitssekretær: fuldmægtig V. Giacobbo-Peyronnel,

på grundlag af den skriftlige forhandling og efter retsmødet den 25. februar 2016,

efter at der er afgivet indlæg af:

–        Patrick Breyer ved Rechtsanwalt M. Starostik

–        den tyske regering ved A. Lippstreu og T. Henze, som befuldmægtigede

–        den østrigske regering ved G. Eberhard, som befuldmægtiget

–        den portugisiske regering ved L. Inez Fernandes og C. Vieira Guerra, som befuldmægtigede

–        Europa-Kommissionen ved P.J.O. Van Nuffel, H. Krämer, P. Costa de Oliveira og J. Vondung, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 12. maj 2016,

afsagt følgende

Dom

1        Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 2, litra a), og af artikel 7, litra f), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

2        Anmodningen er blevet indgivet inden for rammerne af en sag mellem Patrick Breyer og Bundesrepublik Deutschland (Forbundsrepublikken Tyskland) vedrørende sidstnævntes registrering og opbevaring af Patrick Breyers internetprotokoladresse (herefter »ip-adresse«) ved dennes søgning på flere tyske forbundsinstitutioners internetsider.

 Retsforskrifter

 EU-retten

3        26. betragtning til direktiv 95/46 har følgende ordlyd:

»[B]eskyttelsesprincipperne skal gælde enhver oplysning om en identificeret eller identificerbar person; for at afgøre, om en person er identificerbar, tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person; beskyttelsesprincipperne gælder ikke oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres; adfærdskodekser i henhold til artikel 27 kan være et nyttigt instrument til at angive måder, hvorpå oplysningerne kan gøres anonyme og opbevares i en sådan form, at den registrerede ikke længere kan identificeres.«

4        Direktivets artikel 1 har følgende ordlyd:

»1.      Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

2.      Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.«

5        Samme direktivs artikel 2 fastsætter:

»I dette direktiv forstås ved:

a)      »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet

b)      »behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse

[...]

d)      »den registeransvarlige« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved nationale love eller forskrifter eller på fællesskabsplan, kan den registeransvarlige, eller de specifikke kriterier for udpegelse af denne, angives i den pågældende nationale ret eller i fællesskabsretten

[...]

f)      »tredjemand« enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den registeransvarlige, registerføreren og de personer under den registeransvarliges eller registerførerens direkte myndighed, der er beføjet til at behandle oplysningerne

[...]«

6        Artikel 3 i direktiv 95/46, der er benævnt »Anvendelsesområde«, bestemmer:

»1.      Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2.      Dette direktiv gælder ikke for sådan behandling af personoplysninger,

–      som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område

[...]«

7        Det nævnte direktivs artikel 5 bestemmer:

»Medlemsstaterne præciserer i henhold til bestemmelserne i dette kapitel, på hvilke betingelser behandling af personoplysninger er lovlig.«

8        Samme direktivs artikel 7 har følgende ordlyd:

»Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted, hvis:

a)      der ikke hersker tvivl om, at den registrerede har givet sit samtykke,

eller

b)      behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt

eller

c)      behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige,

eller

d)      behandlingen er nødvendig for at beskytte den registreredes vitale interesser,

eller

e)      behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt,

eller

f)      behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor.«

9        Artikel 13, stk. 1, i direktiv 95/46 fastsætter:

»Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:

[...]

d)      forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på de etiske regler for lovregulerede erhverv

[...]«

 Tysk ret

10      § 12 i Telemediengesetz (lov om online-medier) af 26. februar 2007 (BGBL. 2007 I, s. 179, herefter »TMG«) bestemmer:

»1)      Tjenesteudbyderen må kun indsamle og anvende personoplysninger med henblik på at give adgang til online-medier, i det omfang dette er tilladt i henhold til denne lov eller en anden retsforskrift, der udtrykkeligt vedrører online-medier, eller brugeren har givet sit samtykke hertil.

2)      Tjenesteudbyderen må kun anvende personoplysninger, der er indsamlet med henblik på at give adgang til online-medier, til andre formål, i det omfang dette er tilladt i henhold til denne lov eller en anden retsforskrift, der udtrykkeligt vedrører online-medier, eller brugeren har givet sit samtykke hertil.

3)      Medmindre andet er bestemt, skal de gældende bestemmelser om beskyttelse af personoplysninger anvendes, også hvis oplysningerne ikke behandles elektronisk.«

11      TMG’s § 15 bestemmer:

»1)      Tjenesteudbyderen må kun indsamle og anvende personoplysninger om en bruger, i det omfang dette er nødvendigt for at give adgang til online-medier og afregne herfor (oplysninger om brugen). Oplysninger om brugen er navnlig

1.      specifikationer til identificering af brugeren

2.       oplysninger om påbegyndelse og afslutning af den pågældende brug og omfanget af brugen og

3.      oplysninger om de online-medier, som brugeren har anvendt.

2)      Tjenesteudbyderen er berettiget til at sammenføre en brugers oplysninger om brugen vedrørende anvendelsen af forskellige online-medier, for så vidt som det er nødvendigt med henblik på afregningen over for vedkommende.

[...]

4)      Tjenesteudbyderen er berettiget til at anvende oplysninger om brugen, også efter at den konkrete brug er afsluttet, for så vidt som disse oplysninger er nødvendige af hensyn til afregningen med brugeren (afregningsoplysninger). Tjenesteudbyderen er berettiget til at spærre oplysningerne med henblik på at opfylde opbevaringsfrister i henhold til gældende lov, vedtægt eller kontrakt. [...]«

12      I henhold til § 3, stk. 1, i Bundesdatenschutzgesetz (forbundsloven om databeskyttelse) af 20. december 1990 (BGBl. 1990 I, s. 2954) er »[p]ersonoplysninger […] detaljer om personlige eller materielle forhold hos en identificeret eller identificerbar fysisk person (den registrerede) [...]«.

 Tvisten i hovedsagen og de præjudicielle spørgsmål

13      Patrick Breyer foretog søgninger på flere tyske forbundsinstitutioners internetsider. På disse sider, der er tilgængelige for offentligheden, stiller de nævnte institutioner aktuel information til rådighed.

14      Med henblik på at afværge angreb og gøre det muligt at forfølge »angriberne« strafferetligt foretages der for de fleste af disse internetsiders vedkommende registrering af alle søgninger i logfiler. Heri opbevares efter søgningen på de nævnte sider navnet på den side eller fil, der er blevet søgt på, udtryk, der er blevet indtastet i søgefelter, tidspunktet for søgningen, den overførte datamængde, meldingen om, hvorvidt søgningen lykkedes, og ip-adressen på den computer, hvorfra søgningen er blevet foretaget.

15      Ip-adresser er en rækkefølge af cifre, som tildeles computere, der er tilsluttet internettet, for at muliggøre deres kommunikation på internettet. Ved en søgning på en internetside kommunikeres ip-adressen på den computer, der søges fra, til den server, hvorpå den side, der søges på, er lagret. Denne kommunikation er nødvendig for, at de oplysninger, som der søges på, kan overføres til rette modtager.

16      Det fremgår i øvrigt af forelæggelsesafgørelsen og af de sagsakter, som Domstolen er i besiddelse af, at internetbrugeres computere af internetudbydere tildeles enten en »statisk« ip-adresse eller en »dynamisk« ip-adresse, dvs. en ip-adresse, der ændres ved hver ny tilslutning til internettet. Til forskel fra statiske ip-adresser gør de dynamiske ip-adresser det ikke muligt ved hjælp af filer, der er tilgængelige for offentligheden, at foretage en kobling mellem en given computer og den fysiske tilslutning til det net, som anvendes af internetudbyderen.

17      Patrick Breyer anlagde sag ved de tyske forvaltningsdomstole med påstand om, at det blev forbudt Forbundsrepublikken Tyskland – efter søgninger på offentligt tilgængelige sider tilhørende de tyske forbundsinstitutioners online-medier – at opbevare eller gennem tredjemand at opbevare ip-adressen på Patrick Breyers værtssystem, for så vidt som denne opbevaring ikke var nødvendig for i tilfælde af funktionssvigt at genetablere disse mediers formidling.

18      Efter at Forbundsrepublikken Tyskland var blevet frifundet i første instans, appellerede Patrick Breyer frifindelsesafgørelsen.

19      Appeldomstolen ændrede denne afgørelse delvist. Den pålagde Forbundsrepublikken Tyskland efter hver søgning at afholde sig fra at opbevare eller gennem tredjemand at opbevare ip-adressen på Patrick Breyers værtssystem, der overføres ved dennes søgning på offentligt tilgængelige sider tilhørende de tyske forbundsinstitutioners online-medier, når denne adresse er opbevaret i kombination med datoen for den søgning, som den vedrører, og når Patrick Breyer har afsløret sin identitet under denne søgning, herunder i form af en elektronisk adresse, der nævner hans identitet, for så vidt som denne opbevaring ikke er nødvendig for i tilfælde af funktionssvigt at genetablere dette online-medies formidling.

20      Ifølge denne appeldomstol udgør en dynamisk ip-adresse sammen med datoen for den søgning, som den vedrører, når brugeren af den pågældende internetside har afsløret sin identitet under denne søgning, en personoplysning, eftersom operatøren af denne side kan identificere denne bruger ved at sammenstille dennes navn med ip-adressen for dennes computer.

21      Den nævnte appeldomstol fandt, at der dog ikke var anledning til at give Patrick Breyer medhold i søgsmålet af andre årsager. Såfremt Patrick Breyer ikke angiver sin identitet under en søgning, er det nemlig kun internetudbyderen, der kan forbinde ip-adressen med en identificeret abonnent. For Forbundsrepublikken Tyskland i sin egenskab af udbyder af online-medietjenester er ip-adressen derimod ikke nogen personoplysning, selv i kombination med datoen for den søgning, som den vedrører, eftersom brugeren af de pågældende internetsider ikke kan identificeres af denne medlemsstat.

22      Patrick Breyer og Forbundsrepublikken Tyskland har begge iværksat »revisionsanke« for Bundesgerichtshof (forbundsdomstol, Tyskland) til prøvelse af appeldomstolens afgørelse. Patrick Breyer har nedlagt påstand om, at hans påstand om forbud tages til følge i sin helhed. Forbundsrepublikken Tyskland har nedlagt påstand om frifindelse for denne påstand.

23      Den forelæggende ret har præciseret, at de dynamiske ip-adresser på Patrick Breyers computer, som Forbundsrepublikken Tyskland har opbevaret som udbyder af online-medietjenester, i det mindste i forbindelse med andre oplysninger, der opbevares i logfiler, udgør detaljer om Patrick Breyers materielle forhold, eftersom de giver indikationer om hans søgning på visse sider eller visse filer på internettet på bestemte datoer.

24      De således opbevarede oplysninger gør det imidlertid ikke muligt direkte at fastslå Patrick Breyers identitet. De i hovedsagen omhandlede operatører af internetsider kan nemlig kun identificere Patrick Breyer, hvis dennes internetudbyder overfører oplysningerne om denne brugers identitet til dem. Kvalificeringen af disse oplysninger som »personlige« afhænger følgelig af, om Patrick Breyer kunne identificeres.

25      Bundesgerichtshof (forbundsdomstol, Tyskland) har gjort opmærksom på uenigheden i retslitteraturen vedrørende spørgsmålet, om der ved afgørelsen af, om en person er identificerbar, skal tages udgangspunkt i et »objektivt« kriterium eller et »relativt« kriterium. Anvendelsen af et »objektivt« kriterium vil medføre, at oplysninger såsom de i hovedsagen omhandlede ip-adresser efter søgningerne på de pågældende internetsider kan anses for at udgøre personoplysninger, selv hvis det kun er en tredjemand, der er i stand til at fastlægge den registreredes identitet, idet denne tredjemand i det foreliggende tilfælde er Patrick Breyers internetudbyder, som har opbevaret yderligere oplysninger, som muliggør identificeringen af denne ved hjælp af de nævnte ip-adresser. Ifølge et »relativt« kriterium kan sådanne oplysninger anses for at udgøre personoplysninger i forhold til et organ, såsom Patrick Breyers internetudbyder, fordi de gør det muligt præcist at identificere brugeren (jf. i denne henseende dom af 24.11.2011, Scarlet Extended, C-70/10, EU:C:2011:771, præmis 51), men de kan ikke anses for at udgøre personoplysninger i forhold til et andet organ, såsom operatøren af de internetsider, som Patrick Breyer har foretaget en søgning på, eftersom denne operatør i det tilfælde, hvor Patrick Breyer ikke har afsløret sin identitet i forbindelse med søgningerne på disse sider, ikke har de oplysninger, der var nødvendige for kunne identificere ham uden en større indsats.

26      Såfremt de dynamiske ip-adresser på Patrick Breyers computer i kombination med datoen for den søgning, som de vedrører, skal anses for at udgøre personoplysninger, ønsker den forelæggende ret oplyst, om opbevaringen af disse ip-adresser efter denne søgning er tilladt i medfør af artikel 7, litra f), i direktiv 95/46.

27      I denne henseende har Bundesgerichtshof (forbundsdomstol, Tyskland) præciseret for det første, at udbyderne af online-medietjenester i henhold til TMG’s § 15, stk. 1, kun må indsamle og anvende personoplysninger om en bruger, i det omfang dette er nødvendigt for at give adgang til og afregne brugen af disse medier. For det andet har den forelæggende ret anført, at opbevaringen af de nævnte oplysninger ifølge Forbundsrepublikken Tyskland er nødvendig for at garantere sikkerheden af de sider for online-medietjenester som den gør tilgængelige for offentligheden, og for at sikre, at disse fortsat fungerer tilfredsstillende, idet det navnlig gøres muligt at opdage »Denial of Service«-cyperangreb, der tilsigter at lamme disse siders funktion ved målrettet og koordineret indtrængen på bestemte internetservere ved et stort antal anmodninger og at bekæmpe disse angreb.

28      Den forelæggende ret har anført, at hvis, og for så vidt som det er nødvendigt, udbyderen af online-medietjenester træffer foranstaltninger for at bekæmpe sådanne angreb, kan disse foranstaltninger anses for at være nødvendige for at »give adgang til [...] online-medier« i medfør af TMG’s § 15. Den overvejende opfattelse i retslitteraturen er dog dels, at indsamling og anvendelse af personoplysninger vedrørende en bruger af en internetside kun er tilladt for at gøre det muligt konkret at bruge denne side, dels, at disse oplysninger, for så vidt som de ikke er nødvendige med henblik på afregning, skal slettes igen, når den pågældende søgning er afsluttet. En sådan restriktiv fortolkning af TMG’s § 15, stk. 1, ville imidlertid være til hinder for, at opbevaringen af ip-adresser tillades for på generel vis at garantere sikkerheden af online-medier og for at sikre, at disse fortsat fungerer tilfredsstillende.

29      Den forelæggende ret er i tvivl om, hvorvidt denne sidstnævnte fortolkning, der er appeldomstolens fortolkning, er i overensstemmelse med artikel 7, litra f), i direktiv 95/46, bl.a. henset til de kriterier, som Domstolen opstillede i præmis 29 ff. i dom af 24. november 2011, ASNEF og FECEMD (C-468/10 og C-469/10, EU:C:2011:777).

30      Under disse omstændigheder har Bundesgerichtshof (forbundsdomstol, Tyskland) besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Skal artikel 2, litra a), i [...] direktiv 95/46[...] fortolkes således, at en [ip-adresse], som en [udbyder af online-medietjenester] lagrer i forbindelse med en søgning på dennes websted, allerede udgør en personoplysning for [denne udbyders vedkommende], hvis en tredjemand (her: internetudbyder) råder over den yderligere viden, der kræves for at kunne identificere den [registrerede]?

2)      Er [dette direktivs] [...] artikel 7, litra f), til hinder for en bestemmelse i national ret, hvorefter [udbyderen af online-medietjenester] kun må indsamle og anvende personoplysninger om en bruger uden samtykke fra denne, i det omfang dette er nødvendigt for at kunne afregne og give den pågældende bruger adgang til konkret at benytte [online-mediet], og hvorefter formålet om at sikre [online-mediets] generelle funktionsdygtighed ikke kan begrunde, at personoplysningerne anvendes, også efter at brugeren har afsluttet sin konkrete søgning på webstedet?«

 Om de præjudicielle spørgsmål

 Det første spørgsmål

31      Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 2, litra a), i direktiv 95/46 skal fortolkes således, at en dynamisk ip-adresse, som en udbyder af online-medietjenester registrerer i forbindelse med en søgning foretaget af en person på en internetside, som denne udbyder gør tilgængelig for offentligheden, i forhold til den nævnte udbyder udgør en personoplysning som omhandlet i denne bestemmelse, når kun en tredjemand, i det foreliggende tilfælde denne persons internetudbyder, råder over den yderligere viden, der kræves for at kunne identificere denne person.

32      Ifølge den nævnte bestemmelse forstås ved »personoplysninger« »enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede)«. I henhold til denne bestemmelse forstås ved identificerbar person en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet.

33      Indledningsvis skal det bemærkes, at Domstolen i præmis 51 i dom af 24. november 2011, Scarlet Extended (C-70/10, EU:C:2011:771), som bl.a. vedrørte fortolkningen af samme direktiv, i det væsentlige udtalte, at internetbrugeres ip-adresser var beskyttede personoplysninger, fordi de gør det muligt præcist at identificere disse brugere.

34      Denne udtalelse fra Domstolen vedrørte imidlertid det tilfælde, hvor indsamlingen og identificeringen af internetbrugeres ip-adresser foretages af internetudbyderne.

35      I det foreliggende tilfælde vedrører det første spørgsmål imidlertid det tilfælde, hvor det er en udbyder af online-medietjenester, nemlig Forbundsrepublikken Tyskland, der registrerer ip-adresserne på brugere af en internetside, som denne tjenesteudbyder gør tilgængelig for offentligheden uden at råde over den yderligere viden, der kræves for at kunne identificere disse brugere.

36      Det er desuden ubestridt, at de ip-adresser, som den forelæggende ret har henvist til, er »dynamiske«, dvs. midlertidige, ip-adresser, der tildeles ved hver tilslutning til internettet og erstattes ved senere tilslutninger, og ikke »statiske« ip-adresser, der er uforanderlige, og som gør det muligt permanent at identificere det apparat, der er tilsluttet nettet.

37      Det første spørgsmål, som den forelæggende ret har stillet, er således støttet på den forudsætning, dels, at oplysninger, der består i en dynamisk ip-adresse og datoen og tidspunktet for søgningen på en internetside fra denne ip-adresse, som er registreret af en udbyder af online-medietjenester, ikke i sig selv giver denne udbyder mulighed for at identificere den bruger, der har foretaget en søgning på denne internetside under denne søgning, dels, at internetudbyderen for sit vedkommende råder over yderligere viden, der, hvis den var kombineret med denne ip-adresse, gør det muligt at identificere den nævnte bruger.

38      I denne henseende skal det først bemærkes, at det er ubestridt, at en dynamisk ip-adresse ikke udgør en oplysning, der vedrører en »identificeret fysisk person«, for så vidt som en sådan adresse ikke direkte afslører identiteten på den fysiske person, der ejer den computer, fra hvilken søgningen på en internetside finder sted, og heller ikke identiteten på en anden person, der kunne anvende denne computer.

39      Det bemærkes herefter, at det for at afgøre, om en dynamisk ip-adresse i det tilfælde, der er redegjort for i nærværende doms præmis 37, udgør en personoplysning som omhandlet i artikel 2, litra a), i direktiv 95/45 i forhold til en udbyder af online-medietjenester, skal undersøges, om en sådan ip-adresse, der er registreret af en sådan udbyder, kan kvalificeres som oplysninger, der vedrører en »identificerbar fysisk person«, når den yderligere viden, der kræves for at identificere brugeren af en internetside, som denne tjenesteudbyder gør tilgængelig for offentligheden, indehaves af denne brugers internetudbyder.

40      I denne henseende følger det af ordlyden af artikel 2, litra a), i direktiv 95/46, at der ved identificerbar person forstås en person, der ikke bare direkte, men også indirekte kan identificeres.

41      EU-lovgivers brug af ordet »indirekte« synes at indikere, at det for at kvalificere en oplysning som personoplysning ikke er nødvendigt, at denne oplysning i sig selv gør det muligt at identificere den registrerede.

42      Det er desuden anført i 26. betragtning til direktiv 95/46, at der for at afgøre, om en person er identificerbar, tages alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person, i betragtning.

43      For så vidt som der i denne betragtning henvises til hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse, både af den registeransvarlige og af »enhver anden person«, synes det at følge af dens ordlyd, at det, for at en oplysning kan kvalificeres som »personoplysning« som omhandlet i nævnte direktivs artikel 2, litra a), ikke er påkrævet, at alle de oplysninger, der gør det muligt at identificere den registrerede, skal befinde sig hos en enkelt person.

44      Det forhold, at den yderligere viden, som kræves for at identificere brugeren af en internetside, indehaves, ikke af udbyderen af online-medietjenester, men af denne brugers internetudbyder, synes således ikke at kunne udelukke, at de dynamiske ip-adresser, der er registreret af udbyderen af online-medietjenester, for denne udgør personoplysninger som omhandlet i artikel 2, litra a), i direktiv 95/46.

45      Det skal imidlertid afgøres, om muligheden for at kombinere en dynamisk ip-adresse med den nævnte yderligere viden, som denne internetudbyder har, udgør et hjælpemiddel, der med rimelighed kan tænkes bragt i anvendelse for at identificere den registrerede.

46      Som generaladvokaten i det væsentlige har anført i punkt 68 i forslaget til afgørelse, er dette ikke tilfældet, hvis identificeringen af den registrerede er forbudt ved lov eller praktisk ugennemførlig, f.eks. på grund af det forhold, at den vil indebære en større indsats i tid, omkostninger og arbejde, således at risikoen for en identificering i virkeligheden synes ubetydelig.

47      Selv om den forelæggende ret har præciseret i sin forelæggelsesafgørelse, at den tyske lovgivning ikke tillader internetudbyderen direkte at overføre den yderligere viden, der er nødvendig for identificeringen af den registrerede, til udbyderen af online-medietjenester, synes der imidlertid under forbehold af de efterprøvelser, der i denne henseende skal foretages af den forelæggende ret, at findes lovlige veje, der gør det muligt for udbyderen af online-medietjenester, bl.a. i tilfælde af angreb på netværk, at henvende sig til den kompetente myndighed, for at denne kan tage de nødvendige skridt for at opnå disse oplysninger hos internetudbyderen og for at foranledige strafferetlig forfølgning.

48      Udbyderen af online-medietjenester synes således at råde over hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for ved hjælp af andre personer, dvs. den kompetente myndighed og internetudbyderen, at få identificeret den registrerede på grundlag af de opbevarede ip-adresser.

49      Henset til alle de ovenstående betragtninger skal det første spørgsmål besvares med, at artikel 2, litra a), i direktiv 95/46 skal fortolkes således, at en dynamisk ip-adresse, som en udbyder af online-medietjenester registrerer i forbindelse med en søgning foretaget af en person på en internetside, som denne udbyder gør tilgængelig for offentligheden, i forhold til den nævnte udbyder udgør en personoplysning som omhandlet i denne bestemmelse, når udbyderen råder over lovlige hjælpemidler, der gør det muligt for denne at få identificeret den registrerede gennem den yderligere viden, som denne persons internetudbyder råder over.

 Det andet spørgsmål

50      Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 7, litra f), i direktiv 95/46 skal fortolkes således, at den er til hinder for en lovgivning i en medlemsstat, hvorefter en udbyder af online-medietjenester kun må indsamle og anvende personoplysninger om en bruger af disse tjenester uden samtykke fra denne, i det omfang denne indsamling og denne anvendelse er nødvendig for at give adgang til og afregne for den konkrete anvendelse af de nævnte tjenester foretaget af denne bruger, uden at formålet om at sikre de samme tjenesters generelle funktionsdygtighed kan begrunde anvendelsen af de nævnte oplysninger efter en søgning på disse tjenester.

51      Før dette spørgsmål besvares, skal det fastlægges, om den i hovedsagen omhandlede behandling af personoplysninger, dvs. de dynamiske ip-adresser for brugere af bestemte internetsider tilhørende tyske forbundsinstitutioner, ikke er udelukket fra anvendelsesområdet for direktiv 95/46 i medfør af dette direktivs artikel 3, stk. 2, første led, hvorefter det nævnte direktiv ikke gælder for sådan behandling af personoplysninger, der vedrører bl.a. statens aktiviteter på det strafferetlige område.

52      I denne henseende skal det bemærkes, at de aktiviteter, der er nævnt som eksempler i den nævnte bestemmelse, i alle tilfælde er statens eller statslige myndigheders aktiviteter og har ikke noget at gøre med området for den enkelte borgers aktiviteter (jf. dom af 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, præmis 43, og af 16.12.2008, Satakunnan Markkinapörssi og Satamedia, C-73/07, EU:C:2008:727, præmis 41).

53      I hovedsagen synes de tyske forbundsinstitutioner, der udbyder online-medietjenester, og som er ansvarlige for behandlingen af dynamiske ip-adresser, med forbehold af de efterprøvelser, som den forelæggende ret skal foretage i denne henseende, på trods af deres status som offentlige myndigheder at handle som borgere og uden for statens aktiviteter på det strafferetlige område.

54      Det skal derfor fastslås, om en lovgivning i en medlemsstat som den i hovedsagen omhandlede er forenelig med artikel 7, litra f), i direktiv 95/46.

55      Med henblik herpå skal det bemærkes, at den i hovedsagen omhandlede nationale lovgivning fortolket på den restriktive måde, som den forelæggende ret har anført, kun tillader indsamling og anvendelse af personoplysninger om en bruger af de nævnte tjenester uden samtykke fra denne, i det omfang dette er nødvendigt for at give adgang til og afregne for den konkrete brug af online-mediet foretaget af den omhandlede bruger, uden at formålet om at sikre online-mediets generelle funktionsdygtighed kan begrunde anvendelsen af de nævnte oplysninger efter en søgning på dette medie.

56      I overensstemmelse med artikel 7, litra f), i direktiv 95/46 er behandling af personoplysninger tilladt, hvis »behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor«.

57      Det skal bemærkes, at Domstolen har udtalt, at det nævnte direktivs artikel 7 fastsætter en udtømmende og fuldstændig liste over de tilfælde, hvor en behandling af personoplysninger kan anses for at være lovlig, og at medlemsstaterne hverken kan tilføje nye principper vedrørende grundlaget for behandling af personoplysninger i den nævnte artikel eller fastsætte supplerende krav, som ændrer rækkevidden af et af de seks principper, der er fastsat i denne artikel (jf. i denne retning dom af 24.11.2011, ASNEF og FECEMD, C-468/10 og C-469/10, EU:C:2011:777, præmis 30 og 32).

58      Selv om artikel 5 i direktiv 95/46 ganske vist tillader medlemsstaterne inden for rammerne af dette direktivs kapitel II og følgelig af dettes artikel 7 at præcisere de betingelser, hvorunder behandling af personoplysninger er lovlig, kan det skøn, som medlemsstaterne i henhold til nævnte artikel 5 råder over, kun anvendes i overensstemmelse med det ved nævnte direktiv forfulgte formål, som består i at opretholde en ligevægt mellem den frie udveksling af personoplysninger og beskyttelsen af privatlivet. Medlemsstaterne kan ikke i medfør af samme direktivs artikel 5 indføre andre principper vedrørende grundlaget for behandling af personoplysninger end dem, der er opregnet i dets artikel 7, eller ved supplerende krav ændre rækkevidden af de seks principper, der er fastsat i nævnte artikel 7 (jf. i denne retning dom af 24.11.2011, ASNEF og FECEMD, C-468/10 og C-469/10, EU:C:2011:777, præmis 33, 34 og 36).

59      I det foreliggende tilfælde fremgår det, at TMG’s § 15, hvis den fortolkes på den snævre måde, der er nævnt i nærværende doms præmis 55, vil få en rækkevidde, der er mere restriktiv end rækkevidden af det princip, der er fastsat i artikel 7, litra f), i direktiv 95/46.

60      Mens det nævnte direktivs artikel 7, litra f), generelt henviser til, at »den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse«, tillader TMG’s § 15 kun udbyderen af tjenester at indsamle og at anvende personoplysninger om en bruger, i det omfang dette er nødvendigt for konkret at give adgang til og afregne for brugen af elektroniske medier. TMG’s § 15 er således generelt til hinder for, at der efter en søgning på online-medier opbevares personoplysninger for at sikre anvendelsen af disse medier. De tyske forbundsinstitutioner, der udbyder online-medietjenester, kan dog også have en legitim interesse i, udover hver konkret anvendelse af deres offentligt tilgængelige internetsider, at sikre de nævnte siders fortsatte funktionsdygtighed.

61      Som generaladvokaten har anført i punkt 100 og 101 i forslaget til afgørelse, begrænser en sådan national lovgivning sig ikke til i overensstemmelse med artikel 5 i direktiv 95/46 at præcisere begrebet »legitim interesse«, der fremgår af dette direktivs artikel 7, litra f).

62      I denne henseende skal det ligeledes bemærkes, at det nævnte direktivs artikel 7, litra f), er til hinder for, at en medlemsstat kategorisk og generelt udelukker muligheden for behandling af visse kategorier af personoplysninger uden at tillade en afvejning af de i en konkret sag foreliggende modstående rettigheder og interesser. En medlemsstat kan således ikke for disse kategorier definitivt foreskrive resultatet af afvejningen af de modstående rettigheder og interesser uden at tillade et anderledes resultat som følge af særlige omstændigheder i det konkrete tilfælde (jf. i denne retning dom af 24.11.2011, ASNEF og FECEMD, C-468/10 og C-469/10, EU:C:2011:777, præmis 47 og 48).

63      En lovgivning som den i hovedsagen omhandlede begrænser imidlertid for så vidt angår behandlingen af personoplysninger for brugerne af internetsider for online-medier rækkevidden af det princip, der er fastsat i artikel 7, litra f), i direktiv 95/46, idet den udelukker, at formålet om at garantere det nævnte online-medies generelle funktionsdygtighed kan være genstand for en afvejning i forhold til disse brugeres interesser eller de grundlæggende rettigheder og frihedsrettigheder, der i overensstemmelse med denne bestemmelse skal beskyttes i henhold til dette direktivs artikel 1, stk. 1.

64      Det følger af alle de ovenstående betragtninger, at det andet spørgsmål skal besvares med, at artikel 7, litra f), i direktiv 95/46 skal fortolkes således, at den er til hinder for en lovgivning i en medlemsstat, hvorefter en udbyder af online-medietjenester kun må indsamle og anvende personoplysninger om en bruger af disse tjenester uden samtykke fra denne, i det omfang denne indsamling og denne anvendelse er nødvendig for at give adgang til og afregne for den konkrete anvendelse af de nævnte tjenester foretaget af denne bruger, uden at formålet om at sikre de samme tjenesters generelle funktionsdygtighed kan begrunde anvendelsen af de nævnte oplysninger efter en søgning på disse tjenester.

 Sagens omkostninger

65      Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagens omkostninger. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Anden Afdeling) for ret:

1)      Artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at en dynamisk internetprotokoladresse, som en udbyder af online-medietjenester registrerer i forbindelse med en søgning foretaget af en person på en internetside, som denne udbyder gør tilgængelig for offentligheden, i forhold til den nævnte udbyder udgør en personoplysning som omhandlet i denne bestemmelse, når udbyderen råder over lovlige hjælpemidler, der gør det muligt for denne at få identificeret den registrerede gennem den yderligere viden, som denne persons internetudbyder råder over.

2)      Artikel 7, litra f), i direktiv 95/46 skal fortolkes således, at den er til hinder for en lovgivning i en medlemsstat, hvorefter en udbyder af online-medietjenester kun må indsamle og anvende personoplysninger om en bruger af disse tjenester uden samtykke fra denne, i det omfang denne indsamling og denne anvendelse er nødvendig for at give adgang til og afregne for den konkrete anvendelse af de nævnte tjenester foretaget af denne bruger, uden at formålet om at sikre de samme tjenesters generelle funktionsdygtighed kan begrunde anvendelsen af de nævnte oplysninger efter en søgning på disse tjenester.

Underskrifter


* Processprog: tysk.