EU-Domstolen åbner for, at medlemsstater kan indføre udifferentieret logning af IP-adresser til bekæmpelse af kriminalitet i almindelighed, hvis strenge garantier er på plads. Afgørelsen nuancerer praksis om logning og kan styrke både myndigheders efterforskning og rettighedshaveres håndhævelse af ophavsret på nettet.
Rammevilkår i artikel 15 og EU-Domstolens hidtidige praksis
Sagen C-470/21 tager udgangspunkt i artikel 15 i direktiv 2002/58/EF, som tillader nationale undtagelser fra kommunikationshemmelighed, når det er nødvendigt, egnet og forholdsmæssigt for bl.a. kriminalitetsbekæmpelse. Domstolen har tidligere slået fast, at udifferentieret logning af trafik- og lokaliseringsdata som udgangspunkt kun kan begrundes af hensynet til national sikkerhed.
For kriminalitet uden for denne undtagelse har kravet været målrettet logning, fx afgrænset ved personkategorier eller geografisk. IP-adresser er dog mindre følsomme end andre trafikdata, men kan muliggøre profilering, hvorfor udgangspunktet hidtil har været, at udifferentieret IP-logning kun accepteres ved grov kriminalitet eller national sikkerhed. Dette udgangspunkt er nu delvist justeret.
Ny nuance: Udifferentieret IP-logning til almindelig kriminalitet under klare garantier
Domstolen accepterer, at udifferentieret logning af IP-adresser ikke nødvendigvis udgør et alvorligt indgreb i privatlivet, hvis adressen alene bruges til at identificere indehaveren af terminaludstyret og ikke kombineres med øvrige trafik- eller lokaliseringsdata. Praksis, der tidligere behandlede IP-adresser sammen med andre data, kan derfor ikke uden videre overføres.
National lovgivning skal fastsætte præcise krav til leverandørernes tekniske adskillelse af IP-adresser fra andre data og sikre regelmæssig og effektiv kontrol af en uafhængig myndighed. Myndigheders efterfølgende adgang til identitetsoplysninger knyttet til IP-adresser kan lovligt ske til bekæmpelse af kriminalitet i almindelighed, når brugen alene tjener identifikation og IP-adresser er det eneste praktisk mulige middel til at finde bagmanden.
Domstolen understreger, at adgang og anvendelse skal ledsages af garantier, der forebygger profilering og kun i atypiske tilfælde muliggør udledninger om den registreredes privatliv. Dermed forenes efterforskningsbehov med en forstærket dataminimeringstilgang.
De centrale betingelser kan sammenfattes således:
- Hermetisk teknisk adskillelse af IP-adresser fra andre trafik- og lokaliseringsdata og effektiv uafhængig kontrol.
- Formålsbegrænsning: Anvendelse alene til at identificere indehaveren af terminaludstyr og ikke til at afdække adfærd.
- Nødvendighed: IP-adresser er det eneste praktisk egnede middel til identifikation i den konkrete kriminalitetstype.
Betydning for ophavsret og nationale logningsregler
Dommen vedrører en fransk ordning, hvor Hadopi indhenter identitetsoplysninger knyttet til IP-adresser for at standse og eventuelt strafforfølge ophavsretskrænkelser. Præmisserne kan overføres til andre netbaserede lovovertrædelser, hvor IP-adresser ofte er eneste spor, fx ærekrænkelser eller identitetstyveri.
For rettighedshavere kan afgørelsen få betydning, fordi direktiv 2002/58/EF og direktiv 2004/48/EF ikke i sig selv hindrer, at udbydere pålægges at udlevere IP-oplysninger til civil håndhævelse, hvis national ret hjemler det, og logningen lovligt kan ske. Hidtil har praktiske begrænsninger fulgt af, at generel IP-logning kun har været anerkendt ved grov kriminalitet.
Afgørelsen kan også få betydning for nationale ordninger, herunder danske logningsregler, der tidligere er vurderet i spænd med EU-retten efter bl.a. C 140 20, hvilket Justitsministeriet har anerkendt. Se pressemeddelelse på justitsministeriet.dk og dommen hos EU-Domstolen.
