Søg
EU-Domstolen har netop tilføjet endnu et led i en længere kæde af domme om logning af data til bekæmpelse af kriminalitet. Hvor EU-Domstolen tidligere har stået hårdt på beskyttelsen af personoplysninger og dermed begrænset medlemsstaternes mulighed for udifferentieret logning, følger denne nye dom til dels generaladvokatens forslag om en ”nødvendig udvikling” i ”pragmatismens navn”, hvilket kan få betydning for håndhævelse af immaterielle rettigheder.
Den 30. april 2024 afsagde EU-Domstolen (i plenum med deltagelse af alle 27 dommere) dom i den længe ventede sag C-470/21, La Quadrature du Net m.fl.
Sagen vedrører foreneligheden med EU-retten af en særlig fransk ordning, hvor den franske uafhængige myndighed til bekæmpelse af krænkelser af ophavsretten og beslægtede rettigheder, Hadopi, anmoder udbydere af kommunikationstjenester om udlevering af identifikationsoplysninger tilknyttet IP-adresser på udstyr, der er blevet benyttet til at uploade ophavsretskrænkende indhold til internettet.
Efter indhentning af disse oplysninger retter Hadopi henvendelse til den pågældende person og henstiller til, at vedkommende ophører med de krænkende aktiviteter. I gentagelsestilfælde vurderer Hadopi, om der er tale om en strafbar overtrædelse af ophavsretten og, i så fald, om sagen skal oversendes til anklagemyndigheden med henblik på strafforfølgelse.
Flere rettighedsorganisationer lagde sag an ved Conseil d’État (øverste domstol i Frankrig i forvaltningsretlige sager), idet de mente, at denne lagring og adgang til IP-adresser og identitetsoplysninger er i strid med retten til respekt for privatliv. Conseil d’État forelagde herefter spørgsmålet for EU-Domstolen.
Sagen handler i sin kerne om fortolkningen af artikel 15 i direktiv 2002/58/EF om databeskyttelse inden for elektronisk kommunikation. Ifølge bestemmelsen kan direktivets hovedregel om, at brugen af offentlige kommunikationstjenester skal være underlagt regler om hemmelighed og anonymitet, fraviges af medlemsstaterne, såfremt det er nødvendigt, passende og forholdsmæssigt for blandt andet at bekæmpe kriminalitet.
Bestemmelsen er udtryk for en kompliceret, og politisk meget følsom, balancegang mellem, på den ene side, internetbrugeres ret til privatliv og ytringsfrihed, og på den anden side, kriminalitetsbekæmpelse og sikring af statens sikkerhed. Over en mangeårig praksis, herunder dommene C-203/15 og C-698/15, Tele2 Sverige, C-207/16, Ministerio Fiscal, C-511/18, C-512/18 og C-520/18, La Quadrature du Net m.fl., C-793/19 og C-794/19, SpaceNet og C-140/20, Commissioner of An Garda Síochána,[1] har EU-Domstolen søgt at finde denne rette balance, hvilket kan opsummeres som følger:
Logning af trafik- og lokaliseringsdata er et særligt alvorligt indgreb i retten til privatliv, idet samstillingen af sådanne data gør det muligt at drage meget præcise konklusioner vedrørende personers privatliv og at udfærdige en profil af disse personer. Uddifferentieret logning af trafik- og lokaliseringsdata kan derfor kun tillades med henblik på beskyttelse af den nationale sikkerhed.
Bekæmpelse af grov kriminalitet kan imidlertid ikke begrunde udifferentieret logning. Her kræves det, at medlemsstaten pålægger målrettet logning, der på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium.
Særligt for IP-adresser gælder dog, at selvom disse adresser udgør trafikdata, er de mindre følsomme, idet de alene identificerer det terminaludstyr, der er koblet op på internettet, og ikke som sådan afslører oplysninger om brugeren. Sådanne adresser vil desuden ofte være nødvendige for at bekæmpe kriminalitet, der foretages på internettet. Idet IP-adresser dog muliggør en sporing af brugeres adfærd på tværs af internettet og dermed muliggør udarbejdelse af profiler af disse brugere, kan udifferentieret logning af disse adresser kun ske til bekæmpelse af grov kriminalitet og til beskyttelse af den nationale sikkerhed.
Slutteligt kan øvrige data, herunder visse former for identifikationsdata, der ikke afslører noget om internetbrugeres privatliv, logges og benyttes til bekæmpelse af kriminalitet i almindelighed, idet sådan logning ikke udgør et alvorligt indgreb i brugerens privatliv.
Ovennævnte retstilstand har navnlig givet den udfordring, at mange typer af kriminalitet, der ikke kan betegnes som grov, foretages udelukkende på internettet, og hvor IP-adresser er det i praksis eneste middel til at identificere ophavsmanden til forbrydelsen. Disse typer af kriminalitet kan således i praksis blive straffrie, hvis logning af IP-adresser ikke er muligt til brug for bekæmpelse af kriminalitet i almindelighed.
EU-Domstolen har med den nye dom benyttet lejligheden til at nuancere sin praksis.
I forhold til selve logningen, finder EU-Domstolen, at udifferentieret logning af IP-adresser ikke nødvendigvis udgør et alvorligt indgreb i retten til privatliv. Domstolens tidligere praksis tog således udgangspunkt i nationale bestemmelser, hvor IP-adresser skulle logges sammen med øvrige typer af trafik- og lokaliseringsdata, og hvor IP-adresserne kunne benyttes til sporing af personers adfærd på internettet.
Hvis IP-adresserne, som i hovedsagen, derimod alene skal benyttes til at identificere en fysisk person og ikke kan benyttes til at udlede forhold om vedkommendes privatliv, udgør logningen ikke et alvorligt indgreb i retten til privatliv.
Dette forudsætter dog, at national lov indfører klare og præcise retningslinjer for, at udbydere af kommunikationstjenester logger IP-adresserne på en sådan måde, at de er hermetisk adskilte fra alle andre data. Dette stiller visse krav til indretning af udbydernes IT-udstyr, ligesom det er en forudsætning, at pålideligheden af denne adskillelse regelmæssigt kontrolleres af en uafhængig myndighed.
I forhold til myndighedernes adgang til identitetsoplysninger knyttet til IP-adresserne, fastslog Domstolen, at artikel 15 i direktiv 2002/58/EF ikke er til hinder for en national lov, der giver myndigheder adgang til sådanne data til bekæmpelse af kriminalitet i almindelighed.
Domstolen lægger i denne forbindelse vægt på (i) at der indføres passende garantier for at sikre, at brugen af disse data alene tjener til at identificere indehaveren af terminaludstyret og at brugen således ikke – undtagen i ”atypiske tilfælde” – kan ske til at drage præcise slutninger om vedkommendes privatliv, og (ii) at logningen sker til bekæmpelse af kriminalitet, hvor IP-adresser er det eneste praktisk mulige værktøj til at identificere brugeren.
EU-Domstolen har med sin afgørelse (endnu en gang) nuanceret sin praksis i forhold til logning af og adgang til data til bekæmpelse af kriminalitet.[2]
Dommen må ses som et vigtigt skridt i bekæmpelsen af kriminalitet på internettet og giver medlemsstaterne mulighed for i højere grad at logge og benytte IP-adresser generelt og udifferentieret. Selvom hovedsagen omhandler ophavsretskrænkelser, kunne man forestille sig en række andre forbryder, herunder ærekrænkelser, racistiske udtalelser, identitetstyveri, mv.
Dette giver potentielt også rettighedshaverne et nyt værktøj til at håndhæve deres rettigheder. Selvom Domstolen har fortolket direktiv 2002/58/EF om databeskyttelse inden for elektronisk kommunikation og direktiv 2004/48/EF om håndhævelsen af intellektuelle ejendomsrettigheder sådan, at disse ikke er til hinder for, at medlemsstaterne fastsætter en forpligtelse for udbydere af kommunikationstjenester til at udlevere IP-adresser til rettighedshavere, har denne mulighed været praktisk begrænset af, at logningen, og dermed også udlevering heraf, hidtil kun har kunnet ske til bekæmpelse af grov kriminalitet.
EU-Domstolens afgørelse kan derfor få betydning ikke kun for myndighedernes strafferetlige forfølgelse af ophavsretskrænkelser, men også – og i særlig grad – rettighedshavernes private håndhævelse af deres rettigheder.
EU-Domstolens afgørelse kan læses her. Hvis du har spørgsmål til afgørelsen eller logningsreglerne i øvrigt, er du velkommen til at kontakte os.
[1] Sidstnævnte dom affødte en anerkendelse fra Justitsministeren om, at de på daværende tidspunkt netop vedtagne danske regler om logning af trafik- og lokaliseringsdata ikke var i overensstemmelse med EU-retten. Se Justitsministerens pressemeddelelse her og en nærmere beskrivelse af sagen i vores nyhedsbrev her.
[2] Første gang var i C-511/18, C-512/18 og C-520/18, La Quadrature du Net m.fl.