EU-domstolen: Dynamiske IP-adresser udgør personoplysninger
I sagen C-582/14, Breyer mod Tyskland, har EU-Domstolen fastlagt, at dynamiske IP-adresser i visse tilfælde udgør personoplysninger. EU-Domsolen kastede samtidig et velkomment lys over "rimelighedsvurderingen", som er relevant, når man skal fastlægge, hvorvidt der er tale om personoplysninger eller ej.
En IP-adresse er en adresse på internettet, som tildeles computeren og muliggør kommunikationen. Når du henter indhold fra et website, sender du en forespørgsel til den server, som websitet ligger på. Afsenderen af denne forespørgsel er din computer/enhed identificeret ved en IP-adresse. IP-adressen gør, at serveren ved, hvor den skal sende websitets indhold hen.
Spørgsmålet i sagen var herefter bl.a., om såkaldte dynamiske IP-adresser – som løbende udskiftes – udgør personoplysninger, idet det ikke umiddelbart er muligt at identificere personen bag IP-adressen. I henhold til databeskyttelsesdirektivet 95/46/EF ("Direktivet") er det et krav, at oplysningerne relaterer sig til en identificeret eller identificerbar person, førend der er tale om personoplysninger omfattet af Direktivet.
Sagens omstændigheder
Sagen blev anlagt af en tysk borger med påstand om, at Tyskland ikke måtte opbevare eller gennem tredjemand opbevare brugeres IP-adresser, når de besøgte den tyske regerings hjemmesider, for så vidt opbevaringen ikke var nødvendig for, i tilfælde af funktionssvigt, at genetablere disse mediers formidling.
Den tyske regering mente imidlertid ikke, at dynamiske IP-adresser udgjorde personoplysninger, hvorfor sagen i det væsentligste handlede om fortolkningen af personoplysninger i henhold til Direktivet.
EU-Domstolens afgørelse
Domstolen lagde i sin afgørelse vægt på Direktivets præambel 26, som angiver, at man ved afgørelsen af, om en person er identificerbar, "bør [tage] alle midler … i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere den pågældende".
Hvis det således med rimelighed er muligt at kombinere en dynamisk IP-adresse med yderligere oplysninger, som gør den dataansvarlige i stand til endeligt at identificere vedkommende bag IP-adressen, er der tale om personoplysninger.
Ifølge EU-domstolen anses det ikke for rimeligt muligt, hvis det er "forbudt i henhold til lov eller praktisk ugennemførlig henset til det forhold, at det vil indebære en større indsats i tid, omkostninger og arbejde, således at risikoen for en identificering i virkeligheden synes ubetydelig." (Vores fremhævninger).
Domstolen har altså uddybet "rimelighedsvurderingen", som er med til at afgøre grænseområdet mellem ikke-personhenførbare oplysninger og personoplysninger.
I den konkrete sag var det via tysk lovgivning muligt for udbyderen af online-medietjenester, fx i tilfælde af angreb på sit netværk, at henvende sig til en kompetent myndighed for at få adgang til yderligere oplysninger om angrebet (og angriberen). Det var herigennem muligt med myndighedens hjælp bl.a. at pålægge internetudbyderen at sammenkøre sin historik over tildeling af dynamiske IP-adresser med tidspunktet for angrebet for herved at identificere brugeren af IP-adressen på det tidspunkt, angrebet fandt sted.
På den baggrund ansås udbyderen af online-medietjenesten således at råde over hjælpemidler, der med rimelighed kunne tænkes bragt i anvendelse ved hjælp af andre (den kompetente myndighed og internetudbyderen) til at få identificeret den registrerede. Dynamiske IP-adresser udgjorde derfor personoplysninger i den konkrete sag.
Bird & Bird bemærker
Indledningsvist skal det bemærkes, at det rent persondataretligt ikke gør den store forskel, hvorvidt der er tale om en dynamisk eller statisk IP-adresse. Man vil i begge tilfælde have brug for internetudbyderens yderligere oplysninger om, hvilken abonnent der sidder bag den pågældende IP-adresse.
Afgørelsen er en kærkommen stillingtagen til den særdeles omdiskuterede præambel 26 i Direktivet, som har efterladt EU-medlemsstaternes praksis vedr. definitionen af personoplysninger indbyrdes afvigende.
De relevante hensyn; tid, omkostninger og arbejde er til dels afspejlet i den kommende persondataforordnings præambel 26, 4. led, hvorefter rimelighedsvurderingen skal tage "alle objektive forhold … i betragtning, såsom omkostninger ved og tid der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling".
Særligt bemærkelsesværdigt er imidlertid to ting. For det første at Domstolen accepterer, at der foreligger en ubetydelig risiko for identificering af vedkommende – dvs. hvis risikoen for identifikation af den registrerede er ubetydelig, er der ikke tale om personoplysninger. Dette synes at stride imod både Direktivet og den kommende persondataforordnings præambel 26, hvorefter anonyme oplysninger (som ikke er personoplysninger) defineres som oplysninger, der er gjort anonyme på en sådan måde, at "den registrerede ikke længere kan identificeres". Dette synes at forudsætte, at identificeringsrisikoen skal være ikke-eksisterende, hvilket også understøttes af Artikel 29-gruppens udtalelse om anonymiseringsteknikker fra 2014.
For det andet lægger Domstolens rimelighedsvurdering op til en mere subjektiv vurdering, end hvad der synes praktisk gennemførlig. "Forbudt i henhold til lov" kommer jo helt an på situationen. I dette tilfælde var det muligt via tysk lov at få myndighedens hjælp til identificering via internetudbyderen i tilfælde af "bl.a. angreb på netværk". Men hvad hvis der ikke var tale om en situation, hvor det ifølge loven ville være muligt; fx logning for at forfølge brud på brugervilkår? Så er der umiddelbart ingen lovlig måde, dette kan foregå på, og derfor vil det ikke være rimeligt muligt ifølge Domstolens rimelighedsvurdering.
Ligeledes ligger der en temmelig subjektiv vurdering i begrebet "arbejde". Den mængde arbejde, som identificering indebærer, vil jo afhænge af den dataansvarliges status, kontakter, tekniske kunnen osv.
Vi står altså (stadigvæk) med et praktisk uhåndterbart persondatabegreb, hvorefter personhenførbarheden af en oplysning afhænger af helt konkrete omstændigheder. Det er muligt, vi er kommet de relevante hensyn nærmere, men det udgør stadig en kæmpe praktisk udfordring for virksomheder, som skal overholde reglerne på daglig basis.
Selvom afgørelsen kaster lys over fortolkningen af, hvornår oplysninger har en sådan tilknytning til en person, at der er tale om personoplysninger, er denne diskussion fortsat ikke endeligt afgjort.
