General­advokaten: Dynamiske IP-adresser skal anses for persondata, hvis internet­udbydere har oplysninger, som kan identificere brugeren

I sagen Patrick Breyer mod Bundesrepublik Deutschland (C-582/14) har Bundesgerichthof i Tyskland anmodet EU-Domstolen om at tage stilling til, hvorvidt dynamiske IP-adresser anses for persondata i tilfælde, hvor en websiteudbyder ikke er i stand til at identificere brugeren via dennes dynamiske IP-adresse, men en tredjemand – her internetudbyderen – har yderligere oplysninger, som vil gøre det muligt.
Dynamiske IP-adresser tildeles automatisk til en enhed og bruges kun midlertidigt, dvs. disse bliver ændret næste gang, brugeren benytter sig af forbindelsen til internettet. I modsætning hertil tildeles statiske IP-adresser manuelt, og disse IP-adresser ændrer sig ikke.

Lignende spørgsmål er behandlet hos EU-Domstolen tidligere, hvor IP-adresserne blev anset for personoplysninger, som alene kan behandles, herunder opbevares, hvis en række krav i den gældende persondatalovgivning er opfyldt. 

Tidligere afgørelser har ikke forholdt sig til websiteudbydere

Det fremgår af Generaladvokatens udtalelse, at tidligere afgørelser alene har forholdt sig til IP-adresser som personhenførbare oplysninger i forhold til internetudbydere og ikke i forhold til websiteudbydere, som ikke selv har adgang til den nødvendige information til at identificere den konkrete bruger. 

Emnet er ret aktuelt i Tyskland, hvor der findes tilhængere af hver af de to teorier om muligheden for at identificere en konkret bruger via dennes IP-adresse. Ifølge den "absolutte" eller "objektive" opfattelse skal IP-adresser altid anses for personhenførbare, idet der altid vil være en eller flere tredjemænd, der vil have adgang til yderligere oplysninger, som kan gøre det muligt at identificere brugeren. Den "relative" opfattelse støtter til gengæld det synspunkt, at IP-adresser alene er personhenførbare, hvis den virksomhed eller person, der er i besiddelse af oplysningen om IP-adressen, rent faktisk har mulighed for at tilegne sig de supplerende oplysninger, som er nødvendige for at identificere brugeren, f.eks. hvis oplysningerne lovligt kan tilgås hos eller videregives fra en konkret tredjemand, såsom en internetudbyder.

Hvornår er IP-adresser persondata?

Generaladvokaten har i forbindelse med sagen udtalt, at dynamiske IP-adresser i den konkrete sag må anses for at være persondata allerede fra det tidspunkt, hvor internetudbyderen er i besiddelse af yderligere oplysninger om brugeren, som sammen med oplysningerne om IP-adressen kan identificere brugeren. Generaladvokaten har i den forbindelse lagt vægt på, at det fremgår af databeskyttelsesdirektivet (direktiv 95/46 EF), at der for at afgøre, om en person er identificerbar, skal tages "alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende" enten af websiteudbyderen eller af "enhver anden person" – i det konkrete tilfælde, internetudbyderen.

EU-Domstolen forventes at afgøre sagen i løbet af de næste måneder. Det er ganske sædvanligt, at EU-Domstolen følger Generaladvokatens forslag til afgørelser, hvorfor det også må forventes i denne sag.