EU-domstolen har kommet med en kjennelse i en interessant sak om nettsteders logging av IP-adresser.
Bakgrunnen for saken er et søksmål det tyske piratpartimedlemmet Patrick Breyer har anlagt i det tyske rettssystemet for å hindre at de tyske, føderale myndighetenes nettsteder registrerer og lagrer brukernes IP-adresser.
Ifølge Reuters mener Breyer at innbyggerne, i alle fall i Tyskland, bør har retten til å surfe på nettet anonymt.
Med mindre operatøren av et nettsted har valgt noe annet, lagres brukernes IP-adresser sammen med besøkstidspunktet og en del teknisk informasjon i webserverens logger. Hvor lenge dette tas vare på, avhenger av oppsettet til det enkelte systemet.
Les også: Millioner av servere tilbyr interne IT-tjenester helt åpent på internett
Persondata?
Det er tyske Bundesgerichtshof som har bedt EU-domstolen om hjelp til å besvare to spørsmål. Det ene er om hvorvidt også dynamiske IP-adresser, altså IP-adresser som ikke er (helt) fast tildelt en abonnent, skal anses som persondata.
Det andre er om operatøren av et nettsted må, i det minste i prinsippet, ha mulighet til å samle og senere bruke persondataene til de besøkende for å sikre den generelle driften av nettstedet.
På det første spørsmålet svarer EU-domstolen at de dynamiske IP-adresser som registreres av et offentlig tilgjengelig nettsted utgjør persondata for operatøren, dersom operatøren har de juridiske midlene som skal til for å få hjelp til identifisering av den besøkendes internettleverandør.
EU-domstolen mener at det i Tyskland spesifikt finnes juridiske kanaler som nettsteder tar i bruk, for indirekte – via den vedkommende myndigheten – å innhente den aktuelle informasjonen fra internettleverandøren, for bruk i en eventuell straffesak.
Leste du denne? Hemmelige tiltak gjør at teleoperatørene innfører mer datalagring
Legitim logging
På det andre spørsmålet konkluderer EU-domstolen med at lagring av slike data uten brukerens samtykke, ikke bare er tillatt for å muliggjøre og avregne den den aktuelle brukerens konkrete bruk av tjenestene, men også dersom hensikten er å beskytte nettstedet mot IT-angrep.
I lys av dette konkluderer EU-domstolen med at føderale, tyske institusjoner kan ha en legitim interesse av logge IP-adressene for å sikre fortsatt fungerende drift av institusjonenes nettsteder, ikke bare for å tilrettelegge for og eventuelt fakturere hver spesifikke bruk av nettstedene.
Saken sendes nå tilbake til Bundesgerichtshof, som skal ta den endelige beslutningen, basert på EU-domstolens svar. Det virker derfor lite sannsynlig at Breyer får medhold i saken.
Hele kjennelsen til EU-domstolen er tilgjengelig her.
Slik vil de omgå kryptering og samtidig overvåke fiberkablene ut og inn av Norge
