—

mr.nexnet GmbH, vertegenwoordigd door P. Wassermann, Rechtsanwalt,

—

de Europese Commissie, vertegenwoordigd door F. Wilman en F. Bulst als gemachtigden,

1

Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 6, leden 2 en 5, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201, blz. 37).

2

Dit verzoek is ingediend in het kader van een geding tussen mr.nexnet GmbH (hierna: „nexnet”), cessionaris van vorderingen betreffende door Verizon Deutschland GmbH (hierna: „Verizon”) aangeboden internettoegangsdiensten, en J. Probst, ontvanger van die diensten.

3

Artikel 16 van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31), bepaalt:

„Eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de voor de verwerking verantwoordelijke verwerken, behoudens op grond van wettelijke verplichtingen.”

4

Artikel 17 van richtlijn 95/46 luidt:

„1.   De lidstaten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich brengen.

2.   De lidstaten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking en moet toezien op de naleving van die maatregelen.

3.   De uitvoering van verwerkingen door een verwerker moet worden geregeld in een overeenkomst of een rechtsakte die de verwerker bindt jegens de voor de verwerk[ing] verantwoordelijke en waarin met name wordt bepaald dat

4.   Met het oog op de bewaring van de bewijzen, worden de elementen van de overeenkomst of rechtsakte betreffende de bescherming van de gegevens en de vereisten inzake de in lid 1 bedoelde maatregelen schriftelijk of in een gelijkwaardige vorm vastgelegd.”

5

Artikel 1, leden 1 en 2, van richtlijn 2002/58 bepaalt:

„1.   Deze richtlijn harmoniseert de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronische-communicatieapparatuur en -diensten in de [Europese Unie].

2.   Voor [...] de doelstellingen van lid 1 vormen de bepalingen van deze richtlijn een specificatie van en een aanvulling op [richtlijn 95/46]. [...]”

6

Volgens artikel 2, tweede alinea, sub b, van die richtlijn wordt onder „verkeersgegevens” verstaan „gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan”.

7

Artikel 5, lid 1, van richtlijn 2002/58 verduidelijkt:

„De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten. [...]”

8

Artikel 6 van diezelfde richtlijn bepaalt:

„1.   Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronische-communicatienetwerk of -dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5 [...].

2.   Verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt. Die verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen.

[...]

5.   De verwerking van verkeersgegevens overeenkomstig de leden 1 tot en met 4 mag alleen worden uitgevoerd door personen die werkzaam zijn onder het gezag van de aanbieders van de openbare communicatienetwerken of -diensten voor facturering of verkeersbeheer, behandeling van verzoeken om inlichtingen van klanten, opsporing van fraude en marketing van elektronische-communicatiediensten van de aanbieder of de levering van diensten met toegevoegde waarde, en moet beperkt blijven tot hetgeen noodzakelijk is om die activiteiten te kunnen uitvoeren.

[...]”

9

§ 97, lid 1, derde en vierde zin, van het Telekommunikationsgesetz (telecommunicatiewet; hierna: TKG) van 22 juni 2004 (BGBl. 2004 I, blz. 1190), bepaalt:

„Berekening en afrekening van de vergoeding van de dienstverrichter

[...] Wanneer de dienstverrichter met een derde een overeenkomst over de inning van de vergoeding heeft gesloten, mag hij de [verkeers]gegevens doorzenden voor zover dat voor de inning van de vergoeding en het opmaken van een gedetailleerde factuur nodig is. De derde moet contractueel tot naleving van het in § 88 neergelegde communicatiegeheim en de bescherming van persoonsgegevens overeenkomstig de §§ 93, 95 tot en met 97, 99 en 100, worden verplicht.

[...]”

10

Volgens de verwijzende rechter geldt het in § 97, lid 1, derde zin, TKG neergelegde recht om gegevens door te zenden niet enkel voor overeenkomsten tot inning van vorderingen die in het vermogen van de oorspronkelijke houder ervan blijven, maar ook voor andere cessieovereenkomsten, met name de overeenkomsten die betrekking hebben op de koop van vorderingen en op grond waarvan de gecedeerde vordering rechtens en economisch definitief aan de cessionaris toekomt.

11

Probst heeft een telefoonaansluiting van Deutsche Telekom AG, die hij ook gebruikt om zijn computer met het internet te verbinden. Tussen 28 juni en 6 september 2009 heeft hij gebruikgemaakt van het nummer van Verizon om sporadisch toegang tot het internet te krijgen. Aanvankelijk werd de daarvoor verschuldigde vergoeding aan Probst in rekening gebracht door Deutsche Telekom AG als „bedragen van andere aanbieders”. Omdat Probst niet betaalde, heeft nexnet, cessionaris van die vordering op grond van een factoringovereenkomst tussen de rechtsvoorgangers van Verizon en nexnet, van hem betaling gevorderd van de gefactureerde bedragen, vermeerderd met diverse kosten. Nexnet draagt krachtens de factoringovereenkomst het delcredererisico.

12

De rechtsvoorgangers van nexnet en Verizon hadden voorts een „overeenkomst inzake gegevensbescherming en vertrouwelijkheid” gesloten, waarin is bepaald:

[...]

De contractpartijen hebben het recht om de naleving van de gegevensbescherming en -beveiliging in de zin van deze overeenkomst bij de andere contractpartij te controleren. [...]

[...]

[...]”

13

Volgens Probst is de factoringovereenkomst nietig wegens schending van met name § 97, lid 1, TKG. Het Amtsgericht heeft nexnets vordering tot betaling afgewezen, terwijl de appelrechter deze grotendeels heeft toegewezen. Daarop is een beroep tot „Revision” bij het Bundesgerichtshof ingesteld.

14

De verwijzende rechter is van oordeel dat artikel 6, leden 2 en 5, van richtlijn 2002/58 relevant is voor de uitlegging van § 97, lid 1, TKG. Aan de ene kant benadrukt hij dat „facturering” – een van de doeleinden ten behoeve waarvan krachtens artikel 6, leden 2 en 5, van die richtlijn verkeersgegevens mogen worden verwerkt – niet noodzakelijk de inning van de gefactureerde prijs omvat. Hij is echter van oordeel dat geen objectieve reden bestaat om op het gebied van gegevensbescherming de facturering en de inning van vorderingen verschillend te behandelen. Aan de andere kant mag krachtens artikel 6, lid 5, van die richtlijn de verwerking van verkeersgegevens alleen worden uitgevoerd door personen die handelen „onder het gezag” van de aanbieder van openbare communicatienetwerken en openbaar beschikbare elektronische-communicatiediensten (hierna: „dienstenaanbieder”). Volgens de verwijzende rechter laat dat begrip open of de dienstenaanbieder gedurende het gehele gegevensverwerkingsproces het gebruik van de gegevens concreet, ook in elk individueel geval, moet kunnen blijven bepalen, dan wel of algemene regels inzake naleving van het communicatiegeheim en de gegevensbescherming, zoals die welke in casu in de contractuele bepalingen zijn opgenomen, en de mogelijkheid om de gegevens op eenvoudig verzoek te doen wissen of teruggeven, volstaan.

15

In die omstandigheden heeft het Bundesgerichtshof de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vraag:

„Mag een dienstenaanbieder, gelet op artikel 6, leden 2 en 5, van richtlijn 2002/58, verkeersgegevens doorzenden aan de cessionaris van een vordering ter zake van vergoedingen voor telecommunicatiediensten, wanneer voor de cessie ten behoeve van de inning van openstaande vorderingen ter zake van door de bank geweigerde betalingen, naast de algemene verplichting met betrekking tot het communicatiegeheim en de gegevensbescherming krachtens de toepasselijke wettelijke regeling, de volgende contractvoorwaarden gelden:

16

Met zijn vraag wenst de verwijzende rechter in wezen te vernemen of en onder welke voorwaarden op grond van artikel 6, leden 2 en 5, van richtlijn 2002/58 een dienstenaanbieder verkeersgegevens mag doorzenden naar de cessionaris van zijn vorderingen en die laatste deze gegevens mag verwerken.

17

Enerzijds mogen overeenkomstig artikel 6, lid 2, van richtlijn 2002/58 de verkeersgegevens die nodig zijn voor de facturering van abonnees worden verwerkt. Zoals nexnet en de Europese Commissie benadrukken, staat die bepaling van de betreffende richtlijn toe dat verkeersgegevens niet enkel worden verwerkt voor het opmaken van facturen, maar ook voor de inning daarvan. Aangezien de verwerking van verkeersgegevens mogelijk is „tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen”, heeft die bepaling immers niet enkel betrekking op de gegevensverwerking op het ogenblik dat de facturen worden opgemaakt, maar ook op de verwerking die nodig is om betaling daarvan te verkrijgen.

18

Anderzijds mag krachtens artikel 6, lid 5, van richtlijn 2002/58 de door artikel 6, lid 2, toegestane verwerking van verkeersgegevens „[...] alleen worden uitgevoerd door personen die werkzaam zijn onder het gezag van de [diensten]aanbieders [...] voor facturering” en „moet [deze] beperkt blijven tot hetgeen noodzakelijk is” voor een dergelijke activiteit.

19

Uit deze bepalingen van richtlijn 2002/58 in hun onderlinge samenhang beschouwd, volgt dat een dienstenaanbieder verkeersgegevens mag doorzenden aan de cessionaris van zijn vorderingen met het oog op de inning daarvan, en dat die laatste die gegevens mag verwerken, op voorwaarde dat deze, in de eerste plaats, handelt „onder het gezag” van de dienstenaanbieder wat betreft de verwerking van die gegevens en, in de tweede plaats, enkel de verkeersgegevens verwerkt die noodzakelijk zijn om die vorderingen te innen.

20

Vastgesteld zij dat noch richtlijn 2002/58 noch de voor de uitlegging daarvan relevante stukken, zoals de voorbereidende werkzaamheden, duidelijkheid scheppen over de precieze strekking van het begrip „onder het gezag”. Derhalve moet overeenkomstig de rechtspraak van het Hof de betekenis van dit begrip worden bepaald in overeenstemming met de in de omgangstaal gebruikelijke betekenis ervan, met inachtneming van de context waarin het wordt gebruikt en de door de regeling waarvan het deel uitmaakt beoogde doelstellingen (zie in die zin arresten van 10 maart 2005, easyCar, C-336/03, Jurispr. blz. I-1947, punten 20 en 21, en 5 juli 2012, Content Services, C-49/11, punt 32).

21

In de gebruikelijke betekenis van dit begrip in de omgangstaal, handelt een persoon onder het gezag van een andere persoon wanneer de eerste in opdracht en onder toezicht van de tweede handelt.

22

Met betrekking tot de context van artikel 6 van richtlijn 2002/58, zij eraan herinnerd dat artikel 5, lid 1, daarvan bepaalt dat de lidstaten het vertrouwelijke karakter van de communicatie via openbare communicatienetwerken en via openbare elektronische-communicatiediensten en van de daarmee verband houdende verkeersgegevens moeten waarborgen.

23

Artikel 6, leden 2 en 5, van richtlijn 2002/58 bevat een uitzondering op de in artikel 5, lid 1, neergelegde vertrouwelijkheid van communicatie, door de verwerking van verkeersgegevens die nodig zijn voor de facturering van de diensten toe te staan (zie in die zin arrest van 29 januari 2008, Promusicae, C-275/06, Jurispr. blz. I-271, punt 48). Aangezien het een uitzondering betreft, moeten die bepaling van de betrokken richtlijn en bijgevolg ook het begrip „onder het gezag” strikt worden uitgelegd [zie arrest van 17 februari 2011, The Number (UK) en Conduit Enterprises, C-16/10, Jurispr. blz. I-691, punt 31]. Een dergelijke uitlegging impliceert dat de dienstenaanbieder daadwerkelijk kan controleren of de cessionaris van de vorderingen de hem opgelegde voorwaarden voor de verwerking van verkeersgegevens naleeft.

24

Die uitlegging vindt steun in de doelstelling van richtlijn 2002/58 in het algemeen, en die van artikel 6, lid 5, daarvan in het bijzonder. Zoals uit artikel 1, leden 1 en 2, van richtlijn 2002/58 blijkt, vormt deze richtlijn in de sector elektronische communicatie een specificatie van en een aanvulling op richtlijn 95/46, meer bepaald om in de lidstaten een gelijk niveau van bescherming van fundamentele rechten en vrijheden – in het bijzonder het recht op een persoonlijke levenssfeer – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen.

25

Artikel 6, lid 5, van richtlijn 2002/58 moet dus worden uitgelegd tegen de achtergrond van vergelijkbare bepalingen van richtlijn 95/46. Blijkens de artikelen 16 en 17 van die laatste richtlijn, die het niveau preciseren van de controle die een voor de verwerking verantwoordelijke persoon moet uitoefenen over de door hem aangestelde verwerker, handelt die laatste uitsluitend in opdracht van de voor de verwerking verantwoordelijke persoon, die ervoor zorgt dat de overeengekomen maatregelen ter bescherming van de persoonsgegevens tegen elke vorm van onwettige verwerking worden nageleefd.

26

Wat betreft de doelstelling van artikel 6, lid 5, van richtlijn 2002/58 in het bijzonder, zij vastgesteld dat die bepaling, hoewel zij de verwerking van verkeersgegevens door bepaalde andere personen dan de dienstenaanbieder toestaat met het oog op met name de inning van vorderingen van die laatste, die zich aldus kan concentreren op de verrichting van de elektronische-communicatiediensten, ertoe strekt te waarborgen dat, door te bepalen dat enkel personen die handelen „onder het gezag” van de dienstenaanbieder de verkeersgegevens mogen verwerken, een dergelijke uitbesteding geen invloed heeft op het door de gebruiker genoten niveau van bescherming van de persoonsgegevens.

27

Uit het voorgaande volgt dat, ongeacht de kwalificatie van de overeenkomst inzake cessie van vorderingen met het oog op de inning daarvan, de cessionaris van een vordering betreffende vergoedingen voor telecommunicatiediensten handelt „onder het gezag” van de aanbieder van de betrokken diensten in de zin van artikel 6 , lid 5, van richtlijn 2002/58, wanneer de cessionaris voor de met een dergelijke activiteit verbonden verwerking van verkeersgegevens handelt in uitsluitende opdracht en onder toezicht van die aanbieder. In het bijzonder moet de overeenkomst tussen de dienstenaanbieder die zijn vorderingen cedeert en de cessionaris daarvan bepalingen bevatten die de wettige verwerking van de verkeersgegevens door die laatste waarborgen en moet op grond van die overeenkomst de dienstenaanbieder zich op elk ogenblik ervan kunnen vergewissen dat de cessionaris die bepalingen naleeft.

28

Het staat aan de nationale rechter om, gelet op alle gegevens van het dossier, na te gaan of die voorwaarden in het hoofdgeding zijn vervuld. De omstandigheid dat een factoringovereenkomst de in de prejudiciële vraag beschreven kenmerken bezit, kan erop wijzen dat die overeenkomst die voorwaarden vervult. Op grond van een dergelijke overeenkomst mag de cessionaris van de vorderingen de verkeersgegevens immers slechts verwerken voor zover die verwerking noodzakelijk is voor de inning van die vorderingen en de overeenkomst verplicht de betrokken cessionaris om die gegevens onverwijld en onherroepelijk te wissen of terug te geven zodra kennisneming daarvan niet langer nodig is voor de inning van de betrokken vorderingen. Bovendien kan de dienstenaanbieder controleren of de cessionaris, die op eenvoudig verzoek kan worden verplicht de verkeersgegevens te wissen of terug te geven, de regels inzake gegevensbeveiliging en -bescherming naleeft.

29

Gelet op een en ander moet op de prejudiciële vraag worden geantwoord dat artikel 6, leden 2 en 5, van richtlijn 2002/58 aldus moet worden uitgelegd dat een dienstenaanbieder verkeersgegevens mag doorzenden aan de cessionaris van zijn vorderingen betreffende verstrekking van telecommunicatiediensten met het oog op de inning daarvan, en dat die cessionaris die gegevens mag verwerken op voorwaarde dat hij, in de eerste plaats, handelt onder het gezag van de dienstenaanbieder voor de verwerking van die gegevens en, in de tweede plaats, enkel de verkeersgegevens verwerkt die noodzakelijk zijn voor de inning van de gecedeerde vorderingen.

30

Ongeacht de kwalificatie van de cessieovereenkomst wordt de cessionaris geacht te handelen onder het gezag van de dienstenaanbieder in de zin van artikel 6, lid 5, van richtlijn 2002/58, wanneer hij voor de verwerking van verkeersgegevens handelt in uitsluitende opdracht en onder toezicht van die aanbieder. In het bijzonder moet hun overeenkomst bepalingen bevatten die de wettige verwerking van de verkeersgegevens door de cessionaris waarborgen en de dienstenaanbieder de mogelijkheid bieden zich op elk ogenblik ervan te vergewissen dat de betrokken cessionaris die bepalingen naleeft.

31

Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de nationale rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Derde kamer) verklaart voor recht:

Artikel 6, leden 2 en 5, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), moet aldus worden uitgelegd dat een aanbieder van openbare communicatienetwerken en openbaar beschikbare elektronische-communicatiediensten verkeersgegevens mag doorzenden aan de cessionaris van zijn vorderingen betreffende verstrekking van telecommunicatiediensten met het oog op de inning daarvan, en dat die cessionaris die gegevens mag verwerken op voorwaarde dat hij, in de eerste plaats, handelt onder het gezag van de dienstenaanbieder voor de verwerking van die gegevens en, in de tweede plaats, enkel de verkeersgegevens verwerkt die noodzakelijk zijn voor de inning van de gecedeerde vorderingen.

Ongeacht de kwalificatie van de cessieovereenkomst wordt de cessionaris geacht te handelen onder het gezag van de dienstenaanbieder in de zin van artikel 6, lid 5, van richtlijn 2002/58, wanneer hij voor de verwerking van verkeersgegevens handelt in uitsluitende opdracht en onder toezicht van die aanbieder. In het bijzonder moet hun overeenkomst bepalingen bevatten die de wettige verwerking van de verkeersgegevens door de cessionaris waarborgen en de dienstenaanbieder de mogelijkheid bieden zich op elk ogenblik ervan te vergewissen dat de betrokken cessionaris die bepalingen naleeft.