EU-Domstolen: Dynamiske IP-adresser kan udgøre person­oplysninger

EU-Domstolen har for nyligt fastslået, at dynamiske IP-adresser under visse omstændigheder må antages at udgøre personoplysninger. Dette selvom dynamiske IP-adressers natur er, at de løbende skifter, så det nærmest er umuligt at sammenkoble den fysiske opkobling med en angivet IP-adresse uden yderligere information.
EU-Domstolens dom af 19. oktober 2016 i sagen C-582/14, Breyer mod Bundesrepublik Deutschland

Sagens omstændigheder

I denne sag mente en fysisk person, at forbundsinstitutionerne i Tyskland overtrådte persondatalovgivningen ved at registrere pågældendes og andres IP-adresser, når de besøgte hjemmesiden og i den forbindelse søgte rundt på hjemmesiden. De tyske forbundsinstitutioner argumenterede bl.a. for, at IP-adresser ikke var omfattet af persondatadirektivet, idet forbundsinstitutionerne ikke havde mulighed for at finde frem til den fysiske opkobling ud fra en registrering af IP-adressen alene. Dette krævede nemlig yderligere information, som kun den besøgendes internetudbyder har adgang til. Forbundsinstitutionerne mente derfor, at IP-adresser ikke var personhenførbare.


EU-Domstolen fastslog, at det var tilstrækkeligt at anse de dynamiske IP-adresser for personhenførbare, hvis en tredjepart var i besiddelse af de oplysninger, som sammenlagt med oplysningerne, forbundsinstitutionerne var i besiddelse af, kunne gøre det muligt at identificere de besøgende. En sådan information vil lovligt kunne fremskaffes fra den pågældende tredjepart. EU-Domstolen fulgte hermed Generaladvokatens forslag til denne afgørelse. 

Læs mere om Generaladvokatens forslag til afgørelsen

Ikke første gang EU-Domstolen vurderer, at IP-adresser udgør personhenførbare oplysninger

I sag C-70/10 nåede EU-Domstolen frem til, at en IP-adresse, der bliver registreret af en internetudbyder, udgør en personoplysning og dermed er omfattet af de persondataretlige regler. Baggrunden herfor er, at internetudbyderen er i besiddelse af en række oplysninger, som i kombination med IP-adressen gør det muligt at identificere en konkret fysisk person.

Den centrale forskel mellem C-70/10 og den nyligt afsagte dom er, at forbundsinstitutionerne i den seneste sag alene har været i besiddelse af IP-adresserne og ingen yderligere information. I dette tilfælde skal der ske yderligere indsamling af information hos tredjemand for at kunne identificere den fysiske person bag IP-adressen. Hvis en webudbyder lovligt kan få disse informationer fra tredjemand, udgør den dynamiske IP-adresse en personoplysning, som er beskyttet af de persondataretlige regler. 

Kromann Reumerts bemærkninger

Selv om dommen fastslår, at IP-adresser kun under visse konkrete omstændigheder anses for personhenførbare oplysninger, er det vores anbefaling, at IP-adresser som altovervejende hovedregel betragtes som sådanne. Det skyldes, at internetudbyderen ofte vil være i besiddelse af yderligere oplysninger om den konkrete bruger, og at det ikke kan udelukkes, at det er muligt at få udleveret disse oplysninger fra internetudbyderen på lovlig vis.


Det kan være ressourcekrævende at få vurderet, hvorvidt en IP-adresse konkret betragtes som en personhenførbar oplysning. For at mindske risikoen for at overtræde persondatareglerne er det derfor vores anbefaling, at virksomheder, som indsamler eller på anden måde håndterer oplysninger om IP-adresser, er opmærksomme på persondatalovens regler og sikrer, at de overholder bl.a. saglighedskravet, slettepligt og oplysningspligt.