ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (δεύτερο τμήμα) της 19ης Οκτωβρίου 2016 Στην υπόθεση C‑582/14 «Προδικαστική παραπομπή – Επεξεργασία δεδομένων προσωπικού χαρακτήρα – Οδηγία 95/46/ΕΚ – Άρθρο 2, στοιχείο α΄ – Άρθρο 7, στοιχείο στ΄ – Έννοια των “δεδομένων προσωπικού χαρακτήρα” – Διευθύνσεις πρωτοκόλλου του διαδικτύου – Αποθήκευση από φορέα παροχής υπηρεσιών τηλεμέσων – Εθνική κανονιστική ρύθμιση η οποία δεν επιτρέπει τη συνεκτίμηση του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας»
Στην υπόθεση C‑582/14,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο, Γερμανία) με απόφαση της 28ης Οκτωβρίου 2014, η οποία περιήλθε στο Δικαστήριο στις 17 Δεκεμβρίου 2014, στο πλαίσιο της δίκης
Patrick Breyer
κατά
Bundesrepublik Deutschland,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (δεύτερο τμήμα),
συγκείμενο από τους M. Ilešič, πρόεδρο, A. Prechal, A. Rosas (εισηγητή), C. Toader, και E. Jarašiūnas, δικαστές,
γενικός εισαγγελέας : M. Campos Sánchez-Bordona
γραμματέας: V. Giacobbo-Peyronnel, υπάλληλος διοικήσεως,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 25ης Φεβρουαρίου 2016,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– ο P. Breyer, εκπροσωπούμενος από τον M. Starostik, Rechtsanwalt,
– η Γερμανική Κυβέρνηση, εκπροσωπούμενη από τους A. Lippstreu και T. Henze,
– η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τον G. Eberhard,
– η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από τον L. Inez Fernandes και την C. Vieira Guerra,
– η Ευρωπαϊκή Επιτροπή εκπροσωπούμενη από τους P. J. O. Van Nuffel και H. Krämer, καθώς και από τις P. Costa de Oliveira και J. Vondung,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 12ης Μαΐου 2016,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 2, στοιχείο α΄, και του άρθρου 7, στοιχείο στ΄, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο διαφοράς μεταξύ του Patrick Breyer και της Bundesrepublik Deutschland (Ομοσπονδιακής Δημοκρατίας της Γερμανίας), σχετικά με την καταχώριση και αποθήκευση από την Ομοσπονδιακή Δημοκρατία της Γερμανίας της διευθύνσεως πρωτοκόλλου του διαδικτύου (στο εξής: διεύθυνση IP) του Ρ. Breyer στο πλαίσιο επισκέψεώς του σε ιστοτόπους των γερμανικών ομοσπονδιακών υπηρεσιών.
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
3 Η αιτιολογική σκέψη 26 της οδηγίας 95/46 έχει ως εξής:
«εκτιμώντας ότι οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία του αφορά πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί· ότι, για να διαπιστωθεί αν η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνεται υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν, είτε από τον υπεύθυνο της επεξεργασίας, είτε από τρίτο, για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου· ότι οι αρχές της προστασίας δεν εφαρμόζονται σε δεδομένα που έχουν καταστεί ανώνυμα, κατά τρόπο ώστε να μην μπορεί να εξακριβωθεί πλέον η ταυτότητα του προσώπου στο οποίο αναφέρονται· ότι οι κώδικες δεοντολογίας κατά την έννοια του άρθρου 27 μπορούν να αποτελέσουν χρήσιμο μέσο για την παροχή στοιχείων ως προς τον τρόπο κατά τον οποίο τα δεδομένα μπορούν να καταστούν ανώνυμα και να φυλάσσονται με μορφή που δεν επιτρέπει πλέον να εξακριβωθεί η ταυτότητα του προσώπου στο οποίο αναφέρονται».
4 Κατά το άρθρο 1 της εν λόγω οδηγίας:
«1. Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
2. Τα κράτη μέλη δεν μπορούν να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1.»
5 Το άρθρο 2 της ιδίας οδηγίας ορίζει:
«Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:
α) “δεδομένα προσωπικού χαρακτήρα”, κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί “το πρόσωπο στο οποίο αναφέρονται τα δεδομένα”· ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη·
β) “επεξεργασία δεδομένων προσωπικού χαρακτήρα” “επεξεργασία”, κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή·
[…]
δ) “υπεύθυνος της επεξεργασίας”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται από νομοθετικές ή κανονιστικές διατάξεις, εθνικές ή κοινοτικές, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να καθορίζονται από το εθνικό ή το κοινοτικό δίκαιο·
[…]
στ) “τρίτοι”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας, εκτός από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο εκτελών την επεξεργασία καθώς και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία ή για λογαριασμό του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα·
[...]».
6 To άρθρο 3 της οδηγίας 95/46, με τίτλο «Πεδίο εφαρμογής», προβλέπει:
«1. Οι διατάξεις της παρούσας οδηγίας εφαρμόζονται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.
2. Οι διατάξεις της παρούσας οδηγίας δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
– η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI της Συνθήκης για την Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, στην επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης και της οικονομικής ευημερίας του, εφόσον η επεξεργασία αυτή συνδέεται με θέματα ασφάλειας του κράτους) και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου,
[...]».
7 Το άρθρο 5 της εν λόγω οδηγίας ορίζει τα εξής:
«Τα κράτη μέλη καθορίζουν, εντός των ορίων του παρόντος κεφαλαίου, τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη.»
8 Το άρθρο 7 της ιδίας οδηγίας έχει ως εξής:
«Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:
α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του
ή
β) είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το ενδιαφερόμενο πρόσωπο είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων αιτήσει του
ή
γ) είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας
ή
δ) είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα
ή
ε) είναι απαραίτητη για την εκπλήρωση έργου δημοσίου συμφέροντος ή εμπίπτοντος στην άσκηση δημοσίας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας ή στον τρίτο στον οποίο ανακοινώνονται τα δεδομένα
ή
στ) είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1 παράγραφος 1 της παρούσας οδηγίας.»
9 Το άρθρο 13, παράγραφος 1, της οδηγίας 95/46 ορίζει:
«Τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια των υποχρεώσεων και δικαιωμάτων που προβλέπονται από τις διατάξεις του άρθρου 6, παράγραφος 1, του άρθρου 10, του άρθρου 11, παράγραφος 1, και των άρθρων 12 και 21, όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη:
[...]
δ) της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων·
[...]».
Το γερμανικό δίκαιο
10 Το άρθρο 12 του Telemediengesetz (νόμου περί τηλεμέσων), της 26ης Φεβρουαρίου 2007 (BGBl. 2007 I, σ. 179, στο εξής: TMG), ορίζει:
«1) Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα προκειμένου να καταστεί δυνατή η πρόσβαση σε τηλεμέσα μόνον υπό τους όρους του παρόντος νόμου ή άλλης διατάξεως νόμου που ρυθμίζει ρητώς τα τηλεμέσα ή εφόσον έχει συναινέσει ο χρήστης.
2) Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα προκειμένου να καταστεί δυνατή η πρόσβαση σε τηλεμέσα μόνον υπό τους όρους του παρόντος νόμου ή άλλης διατάξεως νόμου που ρυθμίζει ρητώς τα τηλεμέσα ή εφόσον έχει συναινέσει ο χρήστης.
3) Εφόσον δεν ορίζεται διαφορετικά, εφαρμόζονται οι εκάστοτε ισχύουσες διατάξεις για την προστασία δεδομένων προσωπικού χαρακτήρα, ακόμη και εάν τα δεδομένα δεν υπόκεινται σε αυτοματοποιημένη επεξεργασία.»
11 Το άρθρο 15 του TMG προβλέπει:
«1) Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα των χρηστών μόνον εφόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η χρήση τηλεμέσων (δεδομένα χρήσεως). Δεδομένα χρήσεως είναι ιδίως
1. στοιχεία για την εξακρίβωση της ταυτότητας του χρήστη,
2. δεδομένα για την έναρξη, τη λήξη καθώς και την έκταση της εκάστοτε χρήσεως και,
3. δεδομένα σχετικά με τα τηλεμέσα που χρησιμοποιήθηκαν από τον χρήστη.
2) Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν δεδομένα χρήσεως σχετικά με τη χρήση διάφορων τηλεμέσων από συγκεκριμένο χρήστη μόνον εφόσον τούτο είναι αναγκαίο για σκοπούς τιμολογήσεως των παρεχομένων στον χρήστη υπηρεσιών.
[...]
4) Οι φορείς παροχής υπηρεσιών δύνανται να χρησιμοποιούν δεδομένα χρήσεως μετά τη λήξη της χρήσεως μόνον εφόσον τούτο είναι αναγκαίο για σκοπούς τιμολογήσεως του χρήστη (δεδομένα τιμολογήσεως). Οι φορείς παροχής υπηρεσιών δύνανται να ενεργοποιούν φραγή δεδομένων, εφόσον τούτο απαιτείται για την τήρηση περιόδου διατηρήσεως των δεδομένων προσωπικού χαρακτήρα που προβλέπεται σε νόμο, καταστατικό ή σύμβαση [...]».
12 Κατά το άρθρο 3, παράγραφος 1, του Bundesdatenschutzgesetz (ομοσπονδιακού νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα), της 20ής Δεκεμβρίου 1990 (BGBl. 1990 I, σ. 2954), «[ω]ς δεδομένα προσωπικού χαρακτήρα λογίζονται τα συγκεκριμένα στοιχεία για τις προσωπικές ή αντικειμενικές συνθήκες φυσικού προσώπου του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (πρόσωπο στο οποίο αναφέρονται τα δεδομένα) [...]».
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
13 Ο Ρ. Breyer επισκέφθηκε πολλούς ιστοτόπους των γερμανικών ομοσπονδιακών υπηρεσιών. Στους εν λόγω ιστοτόπους, οι οποίοι είναι προσβάσιμοι στο κοινό, οι ως άνω υπηρεσίες γνωστοποιούν επικαιροποιημένες πληροφορίες.
14 Με σκοπό την αποτροπή επιθέσεων και τη διευκόλυνση της ποινικής διώξεως των «επιτιθεμένων», στους περισσότερους από τους ιστοτόπους αυτούς κάθε επίσκεψη καταγράφεται σε αρχεία πρωτοκόλλου. Σε αυτά αποθηκεύονται, μετά τη λήξη της εκάστοτε επισκέψεως, το όνομα του σχετικού αρχείου ή του ιστοτόπου, οι όροι που αναζητήθηκαν, η ημερομηνία και η ώρα της επισκέψεως, η ποσότητα των δεδομένων που μεταφέρθηκαν, η αναφορά κατά πόσον ήταν επιτυχής η επίσκεψη και η διεύθυνση ΙΡ του υπολογιστή από την οποία πραγματοποιήθηκε η επίσκεψη αυτή.
15 Οι διευθύνσεις ΙΡ είναι αριθμητικές ακολουθίες οι οποίες αποδίδονται σε υπολογιστές που συνδέονται με το διαδίκτυο προκειμένου να καταστήσουν δυνατή την επικοινωνία τους στο δίκτυο. Κατά την επίσκεψη σε συγκεκριμένο ιστότοπο, η διεύθυνση ΙΡ του υπολογιστή από τον οποίο πραγματοποιείται η επίσκεψη αυτή διαβιβάζεται στον διακομιστή στον οποίο είναι αποθηκευμένος ο σχετικός ιστότοπος. Τούτο είναι αναγκαίο προκειμένου τα δεδομένα που χρησιμοποιήθηκαν να μεταφερθούν στον ορθό παραλήπτη.
16 Εξάλλου, από την απόφαση περί παραπομπής και τη δικογραφία που έχει στη διάθεσή του το Δικαστήριο, προκύπτει ότι στους υπολογιστές των χρηστών του διαδικτύου αποδίδονται από τους παρόχους υπηρεσιών προσβάσεως στο διαδίκτυο είτε μια «στατική» διεύθυνση IP είτε μια «δυναμική» διεύθυνση IP, ήτοι διεύθυνση IP η οποία αλλάζει με κάθε νέα σύνδεση στο διαδίκτυο. Αντιθέτως προς τις στατικές διευθύνσεις IP, οι δυναμικές διευθύνσεις IP δεν επιτρέπουν να γίνει συσχετισμός, μέσω προσβάσιμων στο κοινό αρχείων, ενός συγκεκριμένου υπολογιστή και της συνδέσεως με το διαδίκτυο που χρησιμοποίησε ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο.
17 Ο Ρ. Breyer άσκησε, ενώπιον των γερμανικών διοικητικών δικαστηρίων, αγωγή παραλείψεως κατά της Ομοσπονδιακής Δημοκρατίας της Γερμανίας για να την υποχρεώσει να παύσει να αποθηκεύει ή να αναθέτει σε τρίτους την αποθήκευση, μετά τη λήξη των επισκέψεων σε προσβάσιμα στο κοινό τηλεμέσα των γερμανικών ομοσπονδιακών υπηρεσιών, της διευθύνσεως IP του συστήματος υποδοχής από το οποίο είχε πρόσβαση ο Ρ. Breyer, καθόσον η εν λόγω αποθήκευση δεν είναι αναγκαία για την αποκατάσταση της διαθεσιμότητας των εν λόγω τηλεμέσων σε περίπτωση βλάβης.
18 Επειδή η αγωγή του απορρίφθηκε σε πρώτο βαθμό, ο Ρ. Breyer άσκησε έφεση κατά της απορριπτικής αυτής αποφάσεως.
19 Το εφετείο μεταρρύθμισε εν μέρει την απόφαση αυτή. Υποχρέωσε την Ομοσπονδιακή Δημοκρατία της Γερμανίας να παύσει να αποθηκεύει ή να αναθέτει σε τρίτους να αποθηκεύουν, μετά τη λήξη της εκάστοτε επισκέψεως σε ιστότοπο, τη διεύθυνση IP του συστήματος υποδοχής από το οποίο είχε πρόσβαση ο Ρ. Breyer, η οποία διαβιβάζεται στο πλαίσιο επισκέψεώς του σε προσβάσιμα στο κοινό τηλεμέσα των γερμανικών ομοσπονδιακών υπηρεσιών, όταν η διεύθυνση αυτή αποθηκεύεται σε συνδυασμό με την ημερομηνία της εκάστοτε επισκέψεως και ο Ρ. Breyer έχει δηλώσει στο πλαίσιο της επισκέψεως αυτής τα προσωπικά του στοιχεία, ακόμα και με τη μορφή διευθύνσεως ηλεκτρονικού ταχυδρομείου όπου αναφέρεται η ταυτότητά του, καθόσον η αποθήκευση δεν είναι αναγκαία για την αποκατάσταση της διαθεσιμότητας του τηλεμέσου σε περίπτωση βλάβης.
20 Κατά το εν λόγω εφετείο, δυναμική διεύθυνση IP, σε συνδυασμό με την ημερομηνία της εκάστοτε επισκέψεως όταν ο χρήστης του συγκεκριμένου ιστοτόπου έχει δηλώσει τα προσωπικά του στοιχεία στο πλαίσιο της επισκέψεως αυτής, αποτελεί δεδομένο προσωπικού χαρακτήρα, διότι ο φορέας εκμεταλλεύσεως του οικείου ιστοτόπου μπορεί να εξακριβώσει την ταυτότητα του ως άνω χρήστη διασταυρώνοντας το ονοματεπώνυμό του με τη διεύθυνση IP του υπολογιστή του.
21 Ωστόσο, το εφετείο έκρινε ότι δεν έπρεπε να δεχθεί την έφεση του Ρ. Breyer σε άλλες περιπτώσεις. Συγκεκριμένα, σε περίπτωση που ο Ρ. Breyer δεν δηλώνει τα προσωπικά του στοιχεία κατά τη διάρκεια επισκέψεως, μόνον ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο μπορεί να συσχετίσει τη διεύθυνση ΙΡ με συγκεκριμένο συνδρομητή. Αντιθέτως, όταν η Ομοσπονδιακή Δημοκρατία της Γερμανίας έχει στη διάθεσή της, ως φορέας παροχής υπηρεσιών τηλεμέσων, τη διεύθυνση IP, η διεύθυνση αυτή δεν αποτελεί δεδομένο προσωπικού χαρακτήρα, ακόμα και σε συνδυασμό με την ημερομηνία της εκάστοτε επισκέψεως, δεδομένου ότι το εν λόγω κράτος μέλος δεν μπορεί να εξακριβώσει την ταυτότητα του χρήστη των συγκεκριμένων ιστοτόπων.
22 Ο Ρ. Breyer και η Ομοσπονδιακή Δημοκρατία της Γερμανίας άσκησαν αμφότεροι αναίρεση (Revision) ενώπιον του Bundesgerichtshof (Ανωτάτου Ομοσπονδιακού Δικαστηρίου, Γερμανία) κατά της αποφάσεως του εφετείου. Ο Ρ. Breyer ζητεί να γίνει πλήρως δεκτό το αίτημά του για απαγόρευση της αποθηκεύσεως. Η Ομοσπονδιακή Δημοκρατία της Γερμανίας ζητεί την απόρριψη του αιτήματος αυτού.
23 Το αιτούν δικαστήριο διευκρινίζει ότι οι δυναμικές διευθύνσεις IP του υπολογιστή του Ρ. Breyer, τις οποίες έχει αποθηκεύσει η Ομοσπονδιακή Δημοκρατία της Γερμανίας ως φορέας παροχής υπηρεσιών τηλεμέσων, αποτελούν, τουλάχιστον στο πλαίσιο των λοιπών δεδομένων που αποθηκεύονται σε αρχεία πρωτοκόλλου, συγκεκριμένα στοιχεία για αντικειμενικές καταστάσεις που αφορούν τον Ρ. Breyer, δεδομένου ότι αποκαλύπτουν ότι σε συγκεκριμένες ημερομηνίες επισκέφθηκε ορισμένους ιστοτόπους ή ορισμένα αρχεία στο διαδίκτυο.
24 Πάντως, βάσει των ούτως αποθηκευμένων δεδομένων δεν μπορεί να εξακριβωθεί άμεσα η ταυτότητα του Ρ. Breyer. Πράγματι, οι επίμαχοι στην υπόθεση της κύριας δίκης φορείς εκμεταλλεύσεως ιστοτόπων μπορούν να εξακριβώσουν την ταυτότητα του Ρ. Breyer μόνον αν ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του Ρ. Breyer τους διαβιβάσει πληροφορίες περί της ταυτότητας του εν λόγω χρήστη. Κατά συνέπεια, ο χαρακτηρισμός των δεδομένων αυτών ως «προσωπικού χαρακτήρα» εξαρτάται από το κατά πόσον μπορεί να εξακριβωθεί η ταυτότητα του Ρ. Breyer.
25 Το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο) επισημαίνει τη διχογνωμία στη νομική θεωρία σχετικά με το αν, για να καθορισθεί αν μπορεί να εξακριβωθεί η ταυτότητα ενός προσώπου, πρέπει να χρησιμοποιηθεί «αντικειμενικό» ή «σχετικό» κριτήριο. Η εφαρμογή «αντικειμενικού» κριτηρίου θα είχε ως συνέπεια ότι στοιχεία όπως οι επίμαχες στην υπόθεση της κύριας δίκης διευθύνσεις IP μπορούν να θεωρηθούν, μετά τη λήξη της εκάστοτε επισκέψεως σε ιστοτόπους, δεδομένα προσωπικού χαρακτήρα ακόμα και αν μόνον ένας τρίτος δύναται να εξακριβώσει την ταυτότητα του οικείου προσώπου, δεδομένου ότι ο εν λόγω τρίτος, εν προκειμένω, είναι ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του Ρ. Breyer ο οποίος αποθήκευσε πρόσθετα δεδομένα βάσει των οποίων μπορεί να εξακριβωθεί η ταυτότητά του μέσω των ως άνω διευθύνσεων IP. Σύμφωνα με «σχετικό» κριτήριο, τέτοιου είδους δεδομένα μπορούν να θεωρηθούν προσωπικού χαρακτήρα έναντι οργανισμού, όπως ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του Ρ. Breyer, διότι τα δεδομένα αυτά καθιστούν δυνατή την πλήρη εξακρίβωση της ταυτότητας του χρήστη (βλ., συναφώς, απόφαση της 24ης Νοεμβρίου 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, σκέψη 51), αλλά ως μη προσωπικού χαρακτήρα έναντι άλλου οργανισμού, όπως ο φορέας εκμεταλλεύσεως των ιστοτόπων που επισκέφθηκε ο Ρ. Breyer, δεδομένου ότι ο εν λόγω φορέας δεν έχει στη διάθεσή του, σε περίπτωση όπου ο Ρ. Breyer δεν αποκάλυψε την ταυτότητά του κατά την επίσκεψή του στους ιστοτόπους αυτούς, πληροφορίες που απαιτούνται για την εξακρίβωση της ταυτότητας του Ρ. Breyer χωρίς να καταβάλει δυσανάλογες προσπάθειες.
26 Σε περίπτωση κατά την οποία θεωρηθεί ότι οι δυναμικές διευθύνσεις IP του υπολογιστή του Ρ. Breyer, σε συνδυασμό με την ημερομηνία της εκάστοτε επισκέψεως, αποτελούν δεδομένα προσωπικού χαρακτήρα, το αιτούν δικαστήριο ζητεί να διευκρινισθεί αν η αποθήκευση των εν λόγω διευθύνσεων IP μετά τη λήξη της εκάστοτε επισκέψεως επιτρέπεται δυνάμει του άρθρου 7, στοιχείο στ΄, της ιδίας οδηγίας.
27 Συναφώς, το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο) διευκρινίζει, αφενός, ότι οι φορείς παροχής υπηρεσιών τηλεμέσων μπορούν, κατά το άρθρο 15, παράγραφος 1, του TMG, να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα μόνον καθόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η χρήση των εν λόγω τηλεμέσων. Αφετέρου, το αιτούν δικαστήριο επισημαίνει ότι, κατά την Ομοσπονδιακή Δημοκρατία της Γερμανίας, η αποθήκευση των δεδομένων αυτών είναι αναγκαία για τη διασφάλιση και διατήρηση της ασφάλειας και λειτουργικότητας των ιστοτόπων των τηλεμέσων που αυτή καθιστά προσβάσιμα στο κοινό, διότι διευκολύνει, ειδικότερα, την εξακρίβωση των επιθέσεων στον κυβερνοχώρο οι οποίες αποκαλούνται «επιθέσεις άρνησης υπηρεσίας», και σκοπό έχουν να παραλύσουν τη λειτουργικότητα των ιστοτόπων αυτών μέσω στοχευμένης και συντονισμένης συμφορήσεως συγκεκριμένων διαδικτυακών διακομιστών με πλειάδα αιτημάτων, και διότι συμβάλλει στην αποτροπή των ως άνω επιθέσεων.
28 Κατά το αιτούν δικαστήριο, εφόσον και στον βαθμό που απαιτείται η λήψη μέτρων από τον φορέα παροχής υπηρεσιών τηλεμέσων για την αποτροπή τέτοιων επιθέσεων, τα μέτρα αυτά θα μπορούσαν να θεωρηθούν αναγκαία «για να καταστεί δυνατή η χρήση τηλεμέσων» δυνάμει του άρθρου 15 του TMG. Εντούτοις, κατά την κρατούσα στη νομική θεωρία άποψη, αφενός, η συλλογή και η χρησιμοποίηση δεδομένων προσωπικού χαρακτήρα ενός χρήστη ιστοτόπου είναι νόμιμες μόνον εφόσον έχουν σκοπό να καταστήσουν δυνατή συγκεκριμένη χρήση του εν λόγω ιστοτόπου και, αφετέρου, τα δεδομένα αυτά πρέπει να διαγράφονται μετά τη λήξη της εκάστοτε επισκέψεως εφόσον δεν είναι αναγκαία για σκοπούς τιμολογήσεως. Πάντως, τέτοιου είδους αυστηρή ερμηνεία του άρθρου 15, παράγραφος 1, του TMG θα ήταν αντίθετη στη θεμιτή αποθήκευση των διευθύνσεων ΙΡ προς τον γενικό σκοπό κατοχυρώσεως και διατηρήσεως της ασφάλειας και λειτουργικότητας των τηλεμέσων.
29 Το αιτούν δικαστήριο διερωτάται αν η ως άνω τελευταία ερμηνεία, την οποία προκρίνει το εφετείο, συνάδει με το άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46, λαμβανομένων, μεταξύ άλλων, υπόψη των κριτηρίων που έθεσε το Δικαστήριο στις σκέψεις 29 επ. της αποφάσεως της 24ης Νοεμβρίου 2011, ASNEF και FECEMD (C‑468/10 και C‑469/10, EU:C:2011:777).
30 Υπό τις συνθήκες αυτές, το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Πρέπει το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46 να ερμηνευθεί υπό την έννοια ότι η διεύθυνση πρωτοκόλλου του διαδικτύου (ΙΡ) την οποία αποθηκεύει φορέας παροχής υπηρεσιών στο πλαίσιο προσβάσεως στην ιστοσελίδα του αποτελεί ως προς εκείνον δεδομένο προσωπικού χαρακτήρα σε περίπτωση που τρίτος (εν προκειμένω ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο) διαθέτει τα πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του θιγόμενου προσώπου;
2) Αντιτίθεται το άρθρο 7, στοιχείο στ΄, της [οδηγίας αυτής] σε εθνική κανονιστική ρύθμιση κατά την οποία ο φορέας παροχής υπηρεσιών [τηλεμέσων] δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεσή τους μόνο προκειμένου, εφόσον τούτο είναι αναγκαίο, να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση του τηλεμέσου από τους εκάστοτε χρήστες, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας του τηλεμέσου δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων μετά τη λήξη της εκάστοτε χρήσεως του τηλεμέσου;»
Επί των προδικαστικών ερωτημάτων
Επί του πρώτου ερωτήματος
31 Με το πρώτο ερώτημά του, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46 έχει την έννοια ότι δυναμική διεύθυνση IP αποθηκευθείσα από φορέα παροχής υπηρεσιών τηλεμέσων επ’ ευκαιρία της επισκέψεως προσώπου σε ιστότοπο τον οποίο ο εν λόγω φορέας καθιστά προσβάσιμο στο κοινό αποτελεί, για τον φορέα αυτό, δεδομένο προσωπικού χαρακτήρα κατά την έννοια της διατάξεως αυτής, όταν μόνον ένας τρίτος, εν προκειμένω ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του ως άνω προσώπου, έχει στη διάθεσή του πρόσθετες πληροφορίες οι οποίες απαιτούνται για την εξακρίβωση της ταυτότητας του προσώπου αυτού.
32 Κατά το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46, ως «δεδομένα προσωπικού χαρακτήρα» νοείται «κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (πρόσωπο στο οποίο αναφέρονται τα δεδομένα)». Δυνάμει της διατάξεως αυτής, ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική ή κοινωνική.
33 Εισαγωγικώς, επισημαίνεται ότι, στη σκέψη 51 της αποφάσεως της 24ης Νοεμβρίου 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), η οποία αφορούσε, μεταξύ άλλων, την ερμηνεία της ίδιας οδηγίας, το Δικαστήριο έκρινε, κατ’ ουσίαν, ότι οι διευθύνσεις IP των χρηστών του διαδικτύου συνιστούν δεδομένα προσωπικού χαρακτήρα καθόσον καθιστούν δυνατή την πλήρη εξακρίβωση της ταυτότητας των εν λόγω χρηστών.
34 Πάντως, η κρίση αυτή του Δικαστηρίου αφορούσε την περίπτωση κατά την οποία η συλλογή και η αναγνώριση των διευθύνσεων IP των χρηστών του διαδικτύου πραγματοποιούνταν από τους παρόχους υπηρεσιών προσβάσεως στο διαδίκτυο.
35 Ωστόσο, εν προκειμένω, το πρώτο ερώτημα αφορά την περίπτωση κατά την οποία ο φορέας της παροχής υπηρεσιών τηλεμέσων, ήτοι η Ομοσπονδιακή Δημοκρατία της Γερμανίας, αποθηκεύει τις διευθύνσεις IP των χρηστών ιστοτόπου τον οποίο ο φορέας αυτός καθιστά προσβάσιμο στο κοινό, χωρίς να έχει στη διάθεσή του πρόσθετες πληροφορίες οι οποίες απαιτούνται για την εξακρίβωση της ταυτότητας των εν λόγω χρηστών.
36 Εξάλλου, συνομολογείται ότι οι διευθύνσεις IP τις οποίες αναφέρει το αιτούν δικαστήριο είναι οι «δυναμικές» διευθύνσεις IP, ήτοι αυτές που αντιστοιχούν προσωρινά σε κάθε σύνδεση στο διαδίκτυο και μεταβάλλονται στις επόμενες συνδέσεις, και όχι οι «στατικές» διευθύνσεις IP, οι οποίες είναι αμετάβλητες και επιτρέπουν τη μόνιμη εξακρίβωση της ταυτότητας της συνδεδεμένης στο διαδίκτυο συσκευής.
37 Επομένως, το πρώτο υποβληθέν από το αιτούν δικαστήριο ερώτημα βασίζεται στην προκείμενη ότι, αφενός, μόνον τα δεδομένα τα οποία συνίστανται σε δυναμική διεύθυνση IP καθώς και στην ημερομηνία και ώρα επισκέψεως σε ιστότοπο από αυτή τη διεύθυνση IP, τα οποία έχει αποθηκεύσει ο φορέας παροχής υπηρεσιών τηλεμέσων, δεν παρέχουν στον φορέα αυτόν τη δυνατότητα να εξακριβώσει την ταυτότητα του χρήστη ο οποίος πραγματοποίησε τη συγκεκριμένη επίσκεψη στον ως άνω ιστότοπο και, αφετέρου, ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο έχει στη διάθεσή του πρόσθετες πληροφορίες οι οποίες, αν συνδυασθούν με αυτή τη διεύθυνση IP, καθιστούν δυνατή την εξακρίβωση της ταυτότητας του εν λόγω χρήστη.
38 Συναφώς, επισημαίνεται κατ’ αρχάς ότι συνομολογείται ότι δυναμική διεύθυνση IP δεν αποτελεί πληροφορία αφορώσα «φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή», καθόσον η διεύθυνση αυτή δεν αποκαλύπτει άμεσα την ταυτότητα του φυσικού προσώπου στο οποίο ανήκει ο υπολογιστής από τον οποίο πραγματοποιήθηκε η επίσκεψη ιστοτόπου, ούτε άλλου προσώπου που τυχόν χρησιμοποίησε τον υπολογιστή αυτόν.
39 Στη συνέχεια, για να καθορισθεί αν δυναμική διεύθυνση IP αποτελεί, στην εκτεθείσα στη σκέψη 37 της παρούσας αποφάσεως περίπτωση, δεδομένο προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2, στοιχείο α΄, της οδηγίας 95/46 έναντι φορέα παροχής υπηρεσιών τηλεμέσων πρέπει να εξακριβωθεί αν η εν λόγω διεύθυνση IP, αποθηκευθείσα από τον φορέα αυτόν, μπορεί να χαρακτηρισθεί ως πληροφορία αφορώσα «φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί», όταν οι πρόσθετες πληροφορίες που απαιτούνται για την εξακρίβωση της ταυτότητας χρήστη ιστοτόπου τον οποίο καθιστά προσβάσιμο στο κοινό ο ως άνω φορέας βρίσκονται στη διάθεση του παρόχου υπηρεσιών προσβάσεως στο διαδίκτυο του χρήστη αυτού.
40 Συναφώς, από το γράμμα του άρθρου 2, στοιχείο α΄, της οδηγίας 95/46 προκύπτει ότι ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί όχι μόνον άμεσα αλλά και έμμεσα.
41 Η εκ μέρους του νομοθέτη της Ένωσης χρήση του όρου «έμμεσα» υποδηλώνει ότι, για τον χαρακτηρισμό πληροφορίας ως δεδομένου προσωπικού χαρακτήρα, δεν απαιτείται αυτή και μόνον η πληροφορία να καθιστά δυνατή την εξακρίβωση της ταυτότητας του οικείου προσώπου.
42 Επιπλέον, η αιτιολογική σκέψη 26 της οδηγίας 95/46 αναφέρει ότι, για να διαπιστωθεί αν η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να ληφθεί υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν είτε από τον υπεύθυνο της επεξεργασίας είτε από τρίτο για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου.
43 Καθόσον η ως άνω αιτιολογική σκέψη κάνει λόγο για μέσα που μπορούν ευλόγως να χρησιμοποιηθούν είτε από τον υπεύθυνο της επεξεργασίας είτε από «τρίτο», το γράμμα της υπαγορεύει ότι, για να χαρακτηρισθεί ένα στοιχείο ως «δεδομένο προσωπικού χαρακτήρα», κατά την έννοια του άρθρου 2, στοιχείο α΄, της εν λόγω οδηγίας, δεν απαιτείται όλες οι πληροφορίες που καθιστούν δυνατή την εξακρίβωση του εμπλεκόμενου προσώπου να βρίσκονται στη διάθεση ενός μόνον προσώπου.
44 Εκ του γεγονότος ότι οι πρόσθετες πληροφορίες που απαιτούνται για την εξακρίβωση της ταυτότητας του χρήστη ιστοτόπου δεν βρίσκονται στη διάθεση του φορέα της παροχής υπηρεσιών τηλεμέσων αλλά του παρόχου υπηρεσιών προσβάσεως στο διαδίκτυο του χρήστη αυτού, δεν μπορεί να συναχθεί ότι οι δυναμικές διευθύνσεις IP που έχει αποθηκεύσει ο φορέας παροχής υπηρεσιών τηλεμέσων αποκλείεται να αποτελούν, έναντι αυτού, δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2, στοιχείο α΄, της οδηγίας 95/46.
45 Πάντως, πρέπει να καθορισθεί αν η δυνατότητα συνδυασμού δυναμικής διευθύνσεως IP με τις εν λόγω πρόσθετες πληροφορίες που έχει στη διάθεσή του ο ως άνω πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο αποτελεί μέσο που μπορεί ευλόγως να χρησιμοποιηθεί για να εξακριβωθεί η ταυτότητα του οικείου προσώπου.
46 Όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στο σημείο 68 των προτάσεών του, αυτό δεν συμβαίνει αν η εξακρίβωση της ταυτότητας του οικείου προσώπου απαγορεύεται από τον νόμο ή είναι ανέφικτη στην πράξη, παραδείγματος χάρη λόγω του ότι συνεπάγεται δυσανάλογη προσπάθεια από άποψη χρόνου, οικονομικών και ανθρώπινων πόρων, οπότε ο κίνδυνος εξακριβώσεως της ταυτότητας είναι στην πραγματικότητα αμελητέος.
47 Καίτοι το αιτούν δικαστήριο διευκρινίζει στην απόφαση περί παραπομπής ότι το γερμανικό δίκαιο δεν επιτρέπει στον φορέα παροχής υπηρεσιών προσβάσεως στο διαδίκτυο να διαβιβάζει άμεσα στον φορέα παροχής υπηρεσιών τηλεμέσων τις πρόσθετες πληροφορίες που απαιτούνται για την εξακρίβωση της ταυτότητας του οικείου προσώπου, φαίνεται πάντως, υπό την επιφύλαξη των σχετικών εξακριβώσεων που πρέπει να γίνουν από το αιτούν δικαστήριο, ότι υφίστανται νόμιμες διαδικασίες παρέχουσες στον φορέα παροχής υπηρεσιών τηλεμέσων τη δυνατότητα να απευθυνθεί, ιδίως σε περίπτωση επιθέσεων στον κυβερνοχώρο, στην αρμόδια αρχή ώστε αυτή να προβεί στις απαραίτητες ενέργειες για να λάβει τις εν λόγω πληροφορίες από τον φορέα παροχής υπηρεσιών προσβάσεως στο διαδίκτυο και να κινήσει ποινική δίωξη.
48 Επομένως, φαίνεται ότι ο φορέας παροχής υπηρεσιών τηλεμέσων έχει στη διάθεσή του μέσα που μπορούν ευλόγως να χρησιμοποιηθούν για να εξακριβωθεί, με τη βοήθεια άλλων προσώπων, ήτοι της αρμόδιας αρχής και του φορέα παροχής υπηρεσιών προσβάσεως στο διαδίκτυο, η ταυτότητα του οικείου προσώπου βάσει των αποθηκευμένων διευθύνσεων IP.
49 Λαμβανομένου υπόψη του συνόλου των προεκτεθέντων, στο πρώτο ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46 έχει την έννοια ότι δυναμική διεύθυνση IP αποθηκευθείσα από τον φορέα παροχής υπηρεσιών τηλεμέσων κατά την επίσκεψη προσώπου σε ιστότοπο τον οποίο ο εν λόγω φορέας καθιστά προσβάσιμο στο κοινό αποτελεί, έναντι του φορέα αυτού, δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ως άνω διατάξεως, όταν έχει στη διάθεσή του νόμιμα μέσα βάσει των οποίων μπορεί να εξακριβωθεί η ταυτότητα του οικείου προσώπου χάρη στις πρόσθετες πληροφορίες που έχει στη διάθεσή του ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του εν λόγω προσώπου.
Επί του δευτέρου ερωτήματος
50 Με το δεύτερο ερώτημά του, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46 έχει την έννοια ότι αντιτίθεται σε ρύθμιση κράτους μέλους δυνάμει της οποίας φορέας παροχής υπηρεσιών τηλεμέσων δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα αφορώντα χρήστη των ως άνω υπηρεσιών χωρίς τη συγκατάθεσή του, μόνον όταν η εν λόγω συλλογή και χρησιμοποίηση απαιτούνται για να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση των ως άνω υπηρεσιών από τον εν λόγω χρήστη, και κατά την οποία ο σκοπός διασφαλίσεως της γενικής λειτουργικότητας των ιδίων υπηρεσιών δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων αυτών μετά τη λήξη της εκάστοτε επισκέψεως σε ιστότοπο.
51 Προτού δοθεί απάντηση στο ερώτημα αυτό, πρέπει να καθορισθεί αν η επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα, ήτοι των δυναμικών διευθύνσεων IP των χρηστών ορισμένων ιστοτόπων των γερμανικών ομοσπονδιακών υπηρεσιών, εκφεύγει του πεδίου εφαρμογής της οδηγίας 95/46 κατ’ εφαρμογήν του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, αυτής, δυνάμει του οποίου η εν λόγω οδηγία δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αντικείμενο, μεταξύ άλλων, τις απτόμενες των τομέων του ποινικού δικαίου δραστηριότητες του κράτους.
52 Συναφώς, υπενθυμίζεται ότι οι δραστηριότητες αυτές, που μνημονεύονται ως παραδείγματα στην εν λόγω διάταξη, είναι, σε όλες τις περιπτώσεις, δραστηριότητες που ασκούνται από τα κράτη ή από κρατικές αρχές και δεν αφορούν τομείς δραστηριότητας των ιδιωτών (βλ. αποφάσεις 6ης Νοεμβρίου 2003, Lindqvist, C‑101/01, EU:C:2003:596, σκέψη 43, και της 16ης Δεκεμβρίου 2008, Satakunnan Markkinapörssi και Satamedia, C‑73/07, EU:C:2008:727, σκέψη 41).
53 Στην υπόθεση όμως της κύριας δίκης, υπό την επιφύλαξη των σχετικών εξακριβώσεων που πρέπει να γίνουν από το αιτούν δικαστήριο, φαίνεται ότι οι γερμανικές ομοσπονδιακές υπηρεσίες, οι οποίες παρέχουν υπηρεσίες τηλεμέσων και είναι υπεύθυνες για την επεξεργασία των δυναμικών διευθύνσεων IP, ενεργούν, παρά το ότι είναι δημόσιες αρχές, ως ιδιώτες και πέραν του πλαισίου των απτομένων των τομέων του ποινικού δικαίου δραστηριοτήτων του κράτους.
54 Επομένως, πρέπει να καθορισθεί αν ρύθμιση κράτους μέλους όπως αυτή της κύριας δίκης συνάδει με το άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46.
55 Προς τούτο, υπενθυμίζεται ότι η επίμαχη στην υπόθεση της κύριας δίκης εθνική ρύθμιση, όπως αυστηρώς ερμηνεύεται από το αιτούν δικαστήριο, επιτρέπει τη συλλογή και τη χρησιμοποίηση δεδομένων προσωπικού χαρακτήρα που αφορούν χρήστη των εν λόγω υπηρεσιών, χωρίς τη συγκατάθεσή του, μόνον αν η εν λόγω συλλογή και χρησιμοποίηση απαιτούνται για να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση του τηλεμέσου από τον εν λόγω χρήστη, και, κατά τη ρύθμιση αυτή, ο σκοπός διασφαλίσεως της γενικής λειτουργικότητας του τηλεμέσου δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων αυτών μετά τη λήξη της επισκέψεως στο ως άνω τηλεμέσο.
56 Κατά το άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46 η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη «όταν είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1, παράγραφος 1» της οδηγίας αυτής.
57 Υπενθυμίζεται ότι το Δικαστήριο έκρινε ότι το άρθρο 7 της εν λόγω οδηγίας προβλέπει πλήρη και περιοριστικό κατάλογο των περιπτώσεων κατά τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί σύννομη και τα κράτη μέλη δεν μπορούν ούτε να προσθέτουν νέες αρχές σχετικά με τη νομιμοποίηση επεξεργασιών δεδομένων προσωπικού χαρακτήρα στο εν λόγω άρθρο ούτε να προβλέπουν πρόσθετες απαιτήσεις που τροποποιούν το περιεχόμενο μιας εκ των έξι αρχών που προβλέπει το άρθρο αυτό (βλ., συναφώς, απόφαση της 24ης Νοεμβρίου 2011, ASNEF και FECEMD, C‑468/10 και C‑469/10, EU:C:2011:777, σκέψεις 30 και 32).
58 Καίτοι το άρθρο 5 της οδηγίας 95/46 παρέχει στα κράτη μέλη το δικαίωμα να καθορίζουν, εντός των ορίων του κεφαλαίου II της οδηγίας αυτής και, ως εκ τούτου, του άρθρου 7, τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη, το περιθώριο εκτιμήσεως που τα κράτη μέλη διαθέτουν, δυνάμει του εν λόγω άρθρου 5, μπορεί να χρησιμοποιείται μόνο σύμφωνα με τον επιδιωκόμενο από την ως άνω οδηγία σκοπό, ο οποίος συνίσταται στη διατήρηση ισορροπίας μεταξύ της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα και της προστασίας της ιδιωτικής ζωής. Δυνάμει του άρθρου 5 της ίδιας οδηγίας, τα κράτη μέλη δεν μπορούν ούτε να θέτουν άλλες αρχές σχετικά με τη νομιμοποίηση των επεξεργασιών δεδομένων προσωπικού χαρακτήρα, εκτός αυτών που διατυπώνονται στο άρθρο 7 της οδηγίας αυτής, ούτε να τροποποιούν, με πρόσθετες απαιτήσεις, το περιεχόμενο των έξι αρχών που θέτει το εν λόγω άρθρο 7 (βλ., συναφώς, απόφαση της 24ης Νοεμβρίου 2011, ASNEF και FECEMD, C‑468/10 και C‑469/10, EU:C:2011:777, σκέψεις 33, 34 και 36).
59 Εν προκειμένω, προκύπτει ότι το άρθρο 15 του TMG, κατά τη μνημονευθείσα στη σκέψη 55 της παρούσας αποφάσεως αυστηρή ερμηνεία, θα είχε πιο περιοριστικό περιεχόμενο από αυτό της αρχής που προβλέπεται στο άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46.
60 Πράγματι, καίτοι το άρθρο 7, στοιχείο στ΄, της εν λόγω οδηγίας, αναφέρει, γενικώς, την «επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα», το άρθρο 15 του TMG επιτρέπει στον φορέα παροχής υπηρεσιών να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα χρήστη μόνον καθόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση τηλεμέσων. Επομένως, το άρθρο 15 του TMG αντιτίθεται, γενικώς, στην αποθήκευση, μετά το τέλος της εκάστοτε επισκέψεως σε τηλεμέσα, δεδομένων προσωπικού χαρακτήρα για τη διασφάλιση της χρησιμοποιήσεως των εν λόγω τηλεμέσων. Ωστόσο, οι γερμανικές ομοσπονδιακές υπηρεσίες οι οποίες παρέχουν υπηρεσίες τηλεμέσων μπορεί να έχουν και έννομο συμφέρον για τη διασφάλιση της λειτουργικότητας των εν λόγω ιστοτόπων, πέραν της εκάστοτε συγκεκριμένης χρήσεως των προσβάσιμων στο κοινό ιστότοπών τους.
61 Όπως επισήμανε ο γενικός εισαγγελέας στα σημεία 100 και 101 των προτάσεών του, τέτοιου είδους εθνική ρύθμιση δεν περιορίζεται στη διευκρίνιση, σύμφωνα με το άρθρο 5 της οδηγίας 95/46, της έννοιας του «εννόμου συμφέροντος» του άρθρου 7, στοιχείο στ΄, της οδηγίας αυτής.
62 Συναφώς, υπενθυμίζεται επίσης ότι το άρθρο 7, στοιχείο στ΄, της εν λόγω οδηγίας απαγορεύει σε κράτος μέλος να αποκλείει κατηγορηματικώς και γενικώς τη δυνατότητα επεξεργασίας ορισμένων κατηγοριών δεδομένων προσωπικού χαρακτήρα, χωρίς να επιτρέπει στάθμιση των οικείων αντιτιθεμένων δικαιωμάτων και συμφερόντων στο πλαίσιο συγκεκριμένης περιπτώσεως. Επομένως, κράτος μέλος δεν μπορεί να υπαγορεύει σαφώς για τις εν λόγω κατηγορίες το αποτέλεσμα της σταθμίσεως των αντιτιθεμένων δικαιωμάτων και συμφερόντων, χωρίς να επιτρέπει διαφορετικό αποτέλεσμα λόγω των ειδικών περιστάσεων συγκεκριμένης περιπτώσεως (βλ., συναφώς, απόφαση της 24ης Νοεμβρίου 2011, ASNEF και FECEMD, C‑468/10 και C‑469/10, EU:C:2011:777, σκέψεις 47 και 48).
63 Επομένως, ρύθμιση, όπως η επίμαχη στην υπόθεση της κύριας δίκης, όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα των χρηστών τηλεμέσων, περιορίζει το πεδίο εφαρμογής της αρχής του άρθρου 7, στοιχείο στ΄, της οδηγίας 95/46, αποκλείοντας τη στάθμιση του σκοπού διασφαλίσεως της γενικής λειτουργικότητας του εν λόγω τηλεμέσου με το συμφέρον ή τα θεμελιώδη δικαιώματα και ελευθερίες των ως άνω χρηστών, που χρήζουν προστασίας δυνάμει του άρθρου 1, παράγραφος 1, της οδηγίας αυτής.
64 Από το σύνολο των προεκτεθέντων, στο δεύτερο ερώτημα πρέπει να δοθεί απάντηση ότι το άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46 έχει την έννοια ότι αντιτίθεται σε ρύθμιση κράτους μέλους δυνάμει της οποίας φορέας παροχής υπηρεσιών τηλεμέσων δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα αφορώντα χρήστη των ως άνω υπηρεσιών χωρίς τη συγκατάθεσή του, μόνον αν η εν λόγω συλλογή και χρησιμοποίηση απαιτούνται για να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση των ως άνω υπηρεσιών από τον εν λόγω χρήστη, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας των ιδίων υπηρεσιών δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων αυτών μετά τη λήξη της εκάστοτε επισκέψεως σε ιστότοπο.
Επί των δικαστικών εξόδων
65 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του εθνικού δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (δεύτερο τμήμα) αποφαίνεται:
1) To άρθρο 2, στοιχείο α΄, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, έχει την έννοια ότι δυναμική διεύθυνση IP αποθηκευθείσα από τον φορέα παροχής υπηρεσιών τηλεμέσων επ’ ευκαιρία της επισκέψεως ενός χρήστη σε ιστότοπο τον οποίο ο εν λόγω φορέας καθιστά προσβάσιμο στο κοινό αποτελεί, για τον φορέα αυτόν, δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ως άνω διατάξεως, όταν έχει στη διάθεσή του νόμιμα μέσα βάσει των οποίων μπορεί να εξακριβωθεί η ταυτότητα του οικείου προσώπου χάρη στις πρόσθετες πληροφορίες που έχει στη διάθεσή του ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του εν λόγω προσώπου.
2) To άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46 έχει την έννοια ότι αντιτίθεται σε ρύθμιση κράτους μέλους δυνάμει της οποίας φορέας παροχής υπηρεσιών τηλεμέσων δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα αφορώντα χρήστη των ως άνω υπηρεσιών χωρίς τη συγκατάθεσή του, μόνον αν η εν λόγω συλλογή και χρησιμοποίηση απαιτούνται για να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση των ως άνω υπηρεσιών από τον εν λόγω χρήστη, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας των ιδίων υπηρεσιών δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων αυτών μετά τη λήξη της εκάστοτε επισκέψεως σε ιστότοπο.
(υπογραφές)
Πηγή: Taxheaven