1. 

Adresa internetového protokolu (dále jen „IP adresa“) je řada binárních čísel, která je přidělena konkrétnímu zařízení (počítač, tablet, chytrý telefon), slouží k identifikaci tohoto zařízení a umožňuje mu přístup k síti elektronických komunikací. Podmínkou pro připojení daného zařízení k internetu je použití číselné řady, která byla přidělena poskytovatelem služby internetového připojení. IP adresa se zasílá na server, na kterém je uložena právě otevíraná internetová stránka.

2. 

Poskytovatelé služby internetového připojení (zpravidla telefonní společnosti) přidělují svým zákazníkům dočasně pro jednotlivá připojení k internetu konkrétně tzv. „dynamické IP adresy“, které se při dalších přihlášeních změní. Tyto společnosti vedou záznamy, v nichž je uvedeno, která IP adresa byla v konkrétních okamžicích přidělena danému zařízení ( 2 ).

3. 

Rovněž majitelé internetových stránek navštěvovaných prostřednictvím dynamických IP adres vedou obvykle záznamy, v nichž uvádějí, jaké stránky byly otevřeny, kdy a z jaké dynamické IP adresy. Z technického hlediska je možné, aby tyto záznamy byly po odhlášení internetového připojení jednotlivých uživatelů uchovány bez časového omezení.

4. 

Dynamická IP adresa nepostačuje sama o sobě k tomu, aby poskytovatel služby určil totožnost uživatele své internetové stránky. Může se mu to však podařit, pokud spojí dynamickou IP adresu s ostatními údaji, jimiž disponuje poskytovatel služby internetového připojení.

5. 

Předmětem projednávaného sporu je otázka, zda dynamické IP adresy představují osobní údaje ve smyslu čl. 2 písm. a) směrnice 95/46/ES ( 3 ). Aby bylo možné tuto otázku zodpovědět, je nejprve nutné zjistit, jaký význam má pro tyto účely okolnost, že další údaje, jež jsou nezbytné k určení totožnosti uživatele, nemá k dispozici majitel internetové stránky, nýbrž třetí osoba (konkrétně poskytovatel služby internetového připojení).

6. 

Takovou otázkou se Soudní dvůr dosud nezabýval, neboť v bodě 51 rozsudku Scarlet Extended ( 4 ) sice prohlásil, že IP adresy „jsou vzhledem k tomu, že umožňují přesně určit totožnost uvedených uživatelů, chráněnými osobními údaji“, avšak učinil tak v situaci, v níž IP adresy shromažďoval a identifikoval poskytovatel služby internetového připojení ( 5 ), a nikoli – jako v projednávané věci – poskytovatel obsahu.

7. 

Za předpokladu, že by dynamické IP adresy představovaly pro poskytovatele internetových služeb osobní údaje, bylo by následně třeba posoudit, zda zpracování těchto údajů spadá do působnosti směrnice 95/46.

8. 

Mohlo by se stát, že budou sice považovány za osobní údaje, avšak nebude se na ně vztahovat ochrana vyplývající ze směrnice 95/46, například pokud by účelem jejich zpracování bylo trestní stíhání zahájené proti případným internetovým útočníkům. V takovéto situaci by nebyla směrnice 95/46 použitelná, a to s ohledem na její čl. 3 odst. 2 první odrážku.

9. 

Kromě toho je nutné určit, zda poskytovatel služeb, který ukládá dynamické IP adresy uživatelů navštěvujících jeho internetových stránek (v projednávané věci Spolková republika Německo), vystupuje jako orgán veřejné moci nebo spíše jako jednotlivec.

10. 

A konečně by v případě použitelnosti směrnice 95/46 bylo zapotřebí určit, nakolik je čl. 7 písm. f) této směrnice slučitelný s vnitrostátní právní úpravou, která s cílem odůvodnit zpracování osobních údajů omezuje rozsah jedné z podmínek stanovených ve zmíněném ustanovení.

11.

Bod 26 odůvodnění směrnice 95/46 zní následovně:

12.

Článek 1 směrnice 95/46 stanoví:

„1.   Členské státy zajišťují v souladu s touto směrnicí ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů.

2.   Členské státy nemohou omezit ani zakázat volný pohyb osobních údajů mezi členskými státy z důvodů ochrany zajištěné podle odstavce 1.“

13.

Podle článku 2 směrnice 95/46 platí:

„Pro účely této směrnice se rozumí:

[…]

[…]

[…]“

14.

Článek 3 směrnice 95/46, který je nadepsán „Oblast působnosti“, stanoví toto:

„1.   Tato směrnice se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v rejstříku nebo do něj mají být zařazeny.

2.   Tato směrnice se nevztahuje na zpracování osobních údajů:

[…]“

15.

Prvním ustanovením kapitoly II směrnice 95/46, jejímž předmětem jsou „Obecné podmínky pro zákonnost zpracování osobních údajů“, je článek 5, v němž se uvádí, že „[č]lenské státy upřesní v mezích ustanovení této kapitoly podmínky, za kterých je zpracovávání osobních údajů zákonné“.

16.

Podle článku 6 směrnice 95/46 platí:

„1.   Členské státy stanoví, že osobní údaje musejí být:

2.   Dodržování odstavce 1 zajistí správce.“

17.

Článek 7 směrnice 95/46 stanoví:

„Členské státy stanoví, že zpracování osobních údajů může být provedeno pouze pokud:

18.

Podle článku 13 směrnice 95/46 platí:

„1.   Členské státy mohou přijmout legislativní opatření s cílem omezit rozsah povinností a práv uvedených v čl. 6 odst. 1, v článku 10, v čl. 11 odst. 1 a v článcích 12 a 21, pokud toto omezení představuje opatření nezbytné pro zajištění:

[…]“

19.

Ustanovení § 12 Telemediengesetz (zákon o službách elektronických informací a komunikací, dále jen „TMG“) ( 6 ) stanoví:

„1.   Poskytovatel služeb může shromažďovat a využívat osobní údaje za účelem poskytování služeb elektronických informací a komunikací pouze tehdy, dovoluje-li to tento zákon nebo jiný právní předpis, který se výslovně týká služeb elektronických informací a komunikací, anebo pokud s tím uživatel souhlasil.

2.   Poskytovatel služeb může využívat osobní údaje shromážděné za účelem poskytování služeb elektronických informací a komunikací pro jiné účely pouze tehdy, dovoluje-li to tento zákon nebo jiný právní předpis, který se výslovně týká služeb elektronických informací a komunikací, anebo pokud s tím uživatel souhlasil.

3.   Není-li stanoveno jinak, použijí se v daném případě platná ustanovení na ochranu osobních údajů, i když se tyto údaje nezpracovávají automatizovanými prostředky.“

20.

Ustanovení § 15 TMG stanoví:

„1.   Poskytovatel služeb může shromažďovat a využívat osobní údaje uživatele pouze tehdy, je-li to nezbytné k tomu, aby bylo umožněno a vyúčtováno použití služeb elektronických informací a komunikací (údaje o použití). Údaji o použití jsou zejména:

2.   Poskytovatel služeb může shromažďovat údaje o použití uživatele týkající se využití různých služeb elektronických informací a komunikací, pokud je to nezbytné k provedení vyúčtování s uživatelem.

[…]

4.   Poskytovatel služeb může využívat údaje o použití poté, co uživatel skončil využívání služby, pokud jsou nezbytné k provedení vyúčtování s uživatelem (údaje o vyúčtování). Za účelem splnění existujících zákonných, statutárních nebo smluvních lhůt týkajících se dob uchovávání údajů může poskytovatel služeb znepřístupnit údaje. […]“

21.

Článek 3 odst. 1 Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů; dále jen „BDSG“) ( 7 ) stanoví, že „[o]sobními údaji jsou jednotlivé údaje týkající se osobních nebo věcných poměrů identifikované nebo identifikovatelné fyzické osoby (subjekt údajů). […]“

22.

Patrick Breyer podal proti Spolkové republice Německo žalobu na zdržení se protiprávního jednání týkajícího se ukládání IP adres.

23.

Mnohé veřejnoprávní orgány Spolkové republiky Německo provozují obecně přístupné internetové portály, na kterých zveřejňují aktuální informace. S cílem zabránit útokům a umožnit trestněprávní stíhání útočníků jsou v případě většiny těchto portálů všechny přístupy ukládány do logovacích datových souborů. V těchto souborech se ukládá vždy název otevíraného souboru nebo internetové stránky, pojmy zadané do vyhledávacího pole, okamžik požadavku, množství přenesených dat, hlášení o úspěšnosti požadavku a IP adresa počítače, ze kterého je k nim uskutečňován přístup, a to i poté, co uživatel ukončil konkrétní využití služby.

24.

Patrick Breyer, který některé z výše uvedených stránek otevřel, se prostřednictvím své žaloby domáhá toho, aby byla Spolkové republice Německo uložena povinnost zdržet se toho, aby sama ukládala nebo nechala třetími osobami ukládat IP adresu hostitelského systému žalobce, z něhož jsou otevírány internetové stránky, pokud není uložení nezbytné k obnovení dostupnosti služby elektronických informací a komunikací v případě poruchy.

25.

Žaloba podaná P. Breyerem byla v prvním stupni zamítnuta. Odvolání, které dotyčný podal, bylo nicméně částečně vyhověno, přičemž bylo Spolkové republice Německo uloženo zdržet se toho, aby ukládala údaje po skončení každého přístupu. Toto zdržení se bylo nařízeno pouze pro případ, že žalobce v průběhu využívání služby uvede svá osobní data, včetně emailové adresy, a že uložení není nezbytné k obnovení dostupnosti služby elektronických informací a komunikací.

26.

Poté, co oba účastníci řízení podali opravný prostředek „Revision“, šestý senát Bundesgerichtshof (Spolkový soudní dvůr, Německo) položil níže uvedené předběžné otázky, které byly doručeny dne 17. prosince 2014:

27.

Z vysvětlení poskytnutého předkládajícím soudem vyplývá, že žalobce měl v souladu s německým právem možnost uplatnit nárok na zdržení se ukládání IP adres v případě, že by jejich uchovávání představovalo podle právních předpisů týkajících se ochrany osobních údajů protiprávní zásah do jeho obecného osobnostního práva, konkrétně do práva na „informační sebeurčení“ [§ 1004 odst. 1 a § 823 odst. 1 Bürgerliches Gesetzbuch (německý občanský zákoník) ve spojení s články 1 a 2 Grundgesetz (základní zákon)].

28.

Taková situace by nastala, pokud: a) by mohla být IP adresa (v každém případě v okamžiku otevření internetové stránky) kvalifikována jako osobní údaj ve smyslu čl. 2 písm. a) ve spojení s druhou větou bodu 26 odůvodnění směrnice 95/46 nebo ve smyslu § 12 odst. 1 a 3 TMG ve spojení s § 3 odst. 1 BDSG, a b) pokud nenastala žádná ze situací, v nichž lze povolit zpracování údajů, ve smyslu čl. 7 písm. f) směrnice 95/46 nebo ve smyslu§ 12 odst. 1 a 3 a § 15 odst. 1 a 4 TMG.

29.

Podle názoru Bundesgerichtshof (Spolkový soudní dvůr) je pro účely výkladu vnitrostátního právního předpisu (§ 12 odst. 1 TMG) nezbytné určit, v jakém smyslu má být chápána osobní povaha údajů, na které se vztahuje čl. 2 písm. a) směrnice 95/46.

30.

Jak dále uvádí předkládající soud, vzhledem k tomu, že podle § 15 odst. 1 TMG může poskytovatel služeb shromažďovat a využívat osobní údaje uživatele pouze tehdy, je-li to nezbytné k tomu, aby bylo umožněno a vyúčtováno použití služeb elektronických informací a komunikací (údaje o použití) ( 8 ), výklad tohoto vnitrostátního ustanovení závisí na způsobu, jakým má být vykládán čl. 7 písm. f) směrnice 95/46.

31.

Písemná vyjádření byla předložena německou, rakouskou a portugalskou vládou a Komisí. Pouze posledně jmenovaný orgán se spolu s P. Breyerem zúčastnil jednání konaného dne 25. února 2016, přičemž německá vláda účast na tomto jednání odmítla.

32.

Patrick Breyer je toho názoru, že za osobní údaje musí být považovány i takové údaje, u nichž existuje pouze teoretická možnost spojení s jinými údaji, tj. možnost vycházející z případného abstraktního nebezpečí, přičemž nezáleží na tom, zda k tomuto spojení skutečně v praxi dojde. Okolnost, že určitý subjekt může být relativně neschopen určit totožnost osoby podle IP adresy, podle jeho mínění neznamená, že tato osoba není vystavena žádnému nebezpečí. Kromě toho dotyčný přikládá značný význam tomu, že Německo ukládá údaje o jeho IP adrese pro případ, že by bylo nutné identifikovat případné útoky nebo zahájit trestní řízení, jak umožňuje § 113 Telekommunikationsgesetz (zákon o telekomunikacích) a jak se také mnohokrát skutečně stalo.

33.

Německá vláda má za to, že odpověď na první otázku by měla být záporná. Dynamické IP adresy podle jejího mínění neodkazují na „identifikovanou“ osobu ve smyslu čl. 2 písm. a) směrnice 95/46. K tomu, aby bylo rozhodnuto, zda mohou vypovídat o „identifikovatelné“ osobě ve smyslu téhož ustanovení, musí být na základě „relativního“ kritéria proveden přezkum identifikovatelnosti. Výše uvedený závěr vyplývá podle názoru německé vlády z bodu 26 odůvodnění směrnice 95/46, v němž se uvádí, že je třeba přihlédnout pouze k těm prostředkům, které mohou být „rozumně“ použity správcem nebo třetí osobou pro identifikaci dané osoby. Výše uvedené upřesnění nasvědčuje tomu, že unijní normotvůrce neměl v úmyslu zahrnout do působnosti směrnice 95/46 situace, v nichž je objektivně možné, že tuto identifikaci provede jakákoli třetí osoba.

34.

Německá vláda zastává kromě toho názor, že pojem „osobní údaje“ ve smyslu čl. 2 písm. a) směrnice 95/46 musí být vykládán s ohledem na cíl sledovaný touto směrnicí, jímž je záruka dodržování základních práv. Na nutnost ochrany fyzických osob by mohlo být nahlíženo různým způsobem podle toho, kdo má tyto údaje v držení, a podle toho, zda má či nemá k dispozici prostředky k tomu, aby mohl tyto údaje použít k identifikaci daných osob.

35.

Německá vláda tvrdí, že P. Breyer není osobou identifikovatelnou podle IP adres spojených s ostatními údaji, jež uchovávají poskytovatelé obsahu. Pro tyto účely by bylo nutné použít údaje, jež mají k dispozici poskytovatelé služby internetového připojení, avšak ti je vzhledem k neexistenci právního základu nemohou zpřístupnit poskytovatelům obsahu.

36.

Rakouská vláda se naopak domnívá, že odpověď by měla být kladná. Z bodu 26 odůvodnění směrnice 95/46 podle ní vyplývá, že k tomu, aby byla osoba považována za identifikovatelnou, není nutné, aby byly veškeré údaje potřebné k její identifikaci shromážděny jediným subjektem. IP adresa může být považována za osobní údaj, pokud má třetí osoba (například poskytovatel služby internetového připojení) prostředky k tomu, aby bez většího úsilí identifikovala držitele této adresy.

37.

Také portugalská vláda se přiklání ke kladné odpovědi, přičemž má za to, že IP adresa ve spojení s datem otevření stránky představuje osobní údaj, neboť na jejich základě může uživatele identifikovat jiný subjekt, než který uložil IP adresu.

38.

Rovněž Komise navrhuje kladnou odpověď, a to na základě řešení, pro něž se rozhodl Soudní dvůr ve věci Scarlet Extended ( 9 ). Komise má za to, že s ohledem na skutečnost, že konkrétním účelem uchovávání IP adres je identifikace uživatelů v případě kybernetických útoků, je užívání dalších údajů uchovávaných poskytovateli služby internetového připojení prostředkem, jenž může být použit „rozumně“ ve smyslu bodu 26 odůvodnění směrnice 95/46. Komise je tedy toho názoru, že cíl sledovaný touto směrnicí i články 7 a 8 Listiny základních práv Evropské unie (dále jen „Listina“) hovoří ve prospěch širokého výkladu čl. 2 písm. a) směrnice 95/46.

39.

Patrick Breyer má za to, že čl. 7 písm. f) směrnice 95/46 je obecným ustanovením, k jehož použití jsou nutná další upřesnění. S ohledem na judikaturu Soudního dvora by proto měly být posouzeny okolnosti konkrétního případu s cílem určit, zda existují skupiny, které mají oprávněný zájem ve smyslu výše uvedeného ustanovení, přičemž pro účely použití tohoto článku je nejen možné, ale dokonce i nezbytné, aby pro takovéto skupiny existovala zvláštní pravidla. Patrick Breyer je toho názoru, že v takové situaci je dotčená vnitrostátní právní úprava slučitelná s čl. 7 písm. f) směrnice 95/46, pokud neexistuje zájem veřejného portálu na uchování osobních údajů nebo pokud převáží zájem na ochraně anonymity. Podle jeho mínění ovšem není systematické uchovávání údajů osobní povahy v souladu se zásadami demokratické společnosti a navíc není nezbytné ani přiměřené k zajištění fungování služeb elektronických informací a komunikací, jehož lze zcela snadno dosáhnout i bez ukládání těchto osobních údajů, jak je patrné na příkladu internetových stránek některých spolkových ministerstev.

40.

Německá vláda tvrdí, že na druhou otázku není zapotřebí odpovídat, neboť byla položena pouze pro případ, že by byla první otázka zodpovězena kladně, čemuž podle jejího názoru brání důvody, které byly uvedeny výše.

41.

Rakouská vláda navrhuje odpovědět v tom smyslu, že směrnice 95/46 z obecného pohledu nebrání tomu, aby byly uchovávány takové údaje, jako jsou údaje dotčené v původním řízení, za předpokladu, že je to nezbytné k zajištění správného fungování služeb elektronických informací a komunikací. Tato vláda má za to, že z hlediska dodržení povinnosti správce osobních údajů přijmout opatření na ochranu těchto údajů, kterou ukládá čl. 17 odst. 1 směrnice 95/46, lze mít za to, že uchovávání IP adresy po omezenou dobu přesahující dobu prohlížení internetové stránky je v souladu s právními předpisy. Boj proti kybernetickým útokům lze považovat za důvod k provádění analýzy údajů souvisejících s předchozími útoky a odepření přístupu k internetové stránce z určitých IP adres. Otázka přiměřenosti uchovávání takových údajů, jako jsou údaje dotčené v původním řízení, musí být posuzována případ od případu, a to s ohledem na cíl spočívající v zajištění správného fungování služeb elektronických informací a komunikací a s ohledem na zásady uvedené v čl. 6 odst. 1 směrnice 95/46.

42.

Portugalská vláda tvrdí, že čl. 7 písm. f) směrnice 95/46 nebrání vnitrostátním právním předpisům dotčeným v původním řízení, neboť německý zákonodárce již poměřil oprávněné zájmy správce na straně jedné se základními právy a svobodami subjektu údajů na straně druhé, jak ukládá výše uvedené ustanovení.

43.

Komise je toho názoru, že vnitrostátní právní úprava provádějící čl. 7 písm. f) směrnice 95/46 musí definovat cíle zpracování osobních údajů takovým způsobem, aby byly pro dotčené jednotlivce předvídatelné. Má za to, že německá právní úprava tento požadavek nesplnila, neboť § 15 odst. 1 TMG stanoví, že uchovávání IP adres je dovoleno „pouze tehdy, je-li to nezbytné k tomu, aby bylo umožněno […] použití služeb elektronických informací a komunikací“.

44.

Z tohoto důvodu Komise navrhuje odpovědět na druhou otázku v tom smyslu, že výše uvedené ustanovení brání takovému výkladu vnitrostátního právního ustanovení, podle něhož může veřejný orgán, který vystupuje jako poskytovatel služeb, shromažďovat a používat osobní údaje uživatele bez jeho svolení i přesto, že sledovaný cíl, který spočívá v zajištění správného obecného fungování služby elektronických informací a komunikací, není ve zmíněném vnitrostátním právním ustanovení dostatečně jasně a přesně stanoven.

45.

Ze způsobu, jakým Bundesgerichtshof (Spolkový soudní dvůr) formuloval první ze svých předběžných otázek, vyplývá, že jejím účelem je zjistit, zda IP adresa, ze které je přistupováno k internetové stránce, představuje pro veřejný orgán, který je majitelem této stránky, osobní údaj [ve smyslu čl. 2 písm. a) směrnice 95/46/ES], pokud má poskytovatel služby internetového připojení k dispozici další údaje, které umožňují identifikaci subjektu údajů.

46.

Formulace této otázky je natolik přesná, že můžeme ihned vyloučit existenci dalších, obecnějších otázek, které by se týkaly právní povahy IP adres v souvislosti s ochranou osobních údajů.

47.

Zaprvé Bundesgerichtshof (Spolkový soudní dvůr) odkazuje výlučně na „dynamické IP adresy“, tj. na adresy, které jsou přidělovány dočasně pro jednotlivá připojení k síti a při dalších připojeních se mění. Znamená to tedy, že jsou vyloučeny „pevné či statické IP adresy“, které jsou typické svou neměnností a umožňují trvalou identifikaci zařízení připojeného k síti.

48.

Zadruhé předkládající soud vychází z předpokladu, že v původním řízení není poskytovatel internetové stránky schopen identifikovat podle dynamické IP adresy osoby, které navštěvují jeho stránky, a nemá k dispozici další údaje, které by mohly ve spojení s výše uvedenou IP adresou tuto identifikaci umožnit. Podle Bundesgerichtshof (Spolkový soudní dvůr) nelze tedy mít za to, že dynamická IP adresa v této souvislosti představuje pro poskytovatele internetové stránky osobní údaj ve smyslu čl. 2 písm. a) směrnice 95/46.

49.

Pochybnosti předkládajícího soudu vycházejí z toho, že dynamická IP adresa by mohla pro poskytovatele internetové stránky představovat osobní údaj, kdyby měla třetí osoba k dispozici další údaje, které by ve spojení s touto adresou mohly identifikovat osoby navštěvující jeho stránky. Je ovšem třeba poukázat na další důležité upřesnění, a sice to, že Bundesgerichtshof (Spolkový soudní dvůr) neodkazuje na jakoukoli třetí osobu, která by měla tyto další údaje k dispozici, nýbrž výlučně na poskytovatele služby internetového připojení (a tudíž vylučuje další osoby, které by mohly mít údaje tohoto druhu k dispozici).

50.

Znamená to tedy, že nebyla zpochybněna mimo jiné níže uvedená hlediska: a) zda mají být statické IP adresy považovány za osobní údaje ve smyslu směrnice 95/46 ( 10 ); b) zda mají být dynamické IP adresy vždy a za všech okolností považovány za osobní údaje ve smyslu výše uvedené směrnice; a konečně c) zda je nevyhnutelné, aby byly dynamické IP adresy kvalifikovány jako osobní údaje, jakmile se vyskytne jakákoli třetí osoba, která by byla schopna je použít k identifikaci uživatelů sítě.

51.

Otázka je tedy omezena pouze na určení, zda dynamická IP adresa představuje pro poskytovatele internetové služby osobní údaj, pokud má společnost působící v oblasti komunikací, která poskytuje službu internetového připojení (poskytovatel služby internetového připojení) k dispozici další údaje, které ve spojení s výše uvedenou adresou umožňují identifikovat osobu, která navštívila internetovou stránku spravovanou prvně jmenovanou osobou.

52.

Problém, který budeme řešit v projednávaném řízení o předběžné otázce, se v německé právní teorii a judikatuře stal předmětem rozsáhlých diskusí rozdělených do dvou názorových směrů ( 11 ). Podle jednoho z nich (který se řídí „objektivním“ či „absolutním“ kritériem) je uživatel identifikovatelný – a z toho důvodu představuje IP adresa osobní údaj, který musí být předmětem ochrany – když je jeho identifikace možná na základě pouhého spojení této dynamické IP adresy s údaji poskytnutými třetí osobou (například poskytovatelem služby internetového připojení), a to zcela bez ohledu na to, jaké možnosti a prostředky má poskytovatel internetové služby.

53.

Zastánci druhého směru (kteří prosazují „relativní“ kritérium) tvrdí, že možnost využít pro konečnou identifikaci uživatele pomoc třetí osoby nepostačuje k tomu, aby mohla být dynamické IP adrese přiznána povaha osobního údaje. Zásadní význam má totiž to, zda je osoba, která má k tomuto údaji přístup, způsobilá tento údaj pomocí vlastních prostředků použít a identifikovat tímto způsobem určitou osobu.

54.

Bez ohledu na to, jakým způsobem se vyvíjí výše uvedený spor ve vnitrostátním právu, musí se odpověď Soudního dvora omezit pouze na výklad obou ustanovení směrnice 95/46, na něž odkazuje jak předkládající soud, tak účastníci řízení, tj. čl. 2 písm. a) ( 12 ) této směrnice a bodu 26 jejího odůvodnění ( 13 ).

55.

Dynamické IP adresy vypovídají o tom, ve který den a ve kterou hodinu byla z určitého počítače (či jiného zařízení) otevřena určitá internetová stránka, a prozrazují tedy, jakým způsobem se chovají uživatelé internetu, což může již samo o sobě představovat zásah do jejich práva na respektování soukromého života ( 14 ) zaručeného článkem 8 Evropské úmluvy o ochraně lidských práv a základních svobod a článkem 7 Listiny, které představují společně s článkem 8 Listiny ustanovení, v jejichž světle musí být vykládána směrnice 95/46 ( 15 ). Tento předpoklad ve skutečnosti nebyl účastníky projednávaného řízení zpochybněn a jako takový není ani předmětem projednávané předběžné otázky.

56.

Osoba, na niž odkazují výše uvedené informace, nemůže být považována za „identifikovanou fyzickou osobu“. Datum a hodina připojení, jakož i číselný zdroj tohoto připojení, nemohou přímo ani nepřímo odhalit fyzickou osobu, která je vlastníkem zařízení, z něhož byla navštívena určitá internetová stránka, ani totožnost uživatele, který toto zařízení používá (může se jednat o jakoukoli fyzickou osobu).

57.

Dynamická IP adresa nicméně může – buď sama o sobě, nebo ve spojení s dalšími údaji – přispět k určení totožnosti vlastníka zařízení použitého pro otevření určité internetové stránky, a proto by mohla být kvalifikována jako údaj týkající se „identifikovatelné osoby ( 16 )“.

58.

Bundesgerichtshof (Spolkový soudní dvůr) má za to, že dynamická IP adresa nepostačuje sama o sobě k identifikaci uživatele, který jejím prostřednictvím otevřel určitou internetovou stránku. Pokud by naopak poskytovatel internetové služby mohl prostřednictvím dynamické IP adresy identifikovat uživatele, jednalo by se zcela nepochybně o osobní údaj ve smyslu směrnice 95/46. Smysl předběžné otázky je však zřejmě jiný, neboť z ní vyplývá, že poskytovatelé internetových služeb dotčení ve sporu v původním řízení nejsou způsobilí k tomu, aby identifikovali uživatele výlučně na základě dynamické IP adresy.

59.

Všichni účastníci řízení se shodují v tom, že pokud se dynamická IP adresa spojí s dalšími údaji, umožňuje „nepřímou“ identifikaci uživatele. Otázkou však je, zda okolnost, že mohou případně existovat takové další údaje, které lze spojit s dynamickou IP adresou, může být sama o sobě důvodem k tomu, že bude tato adresa považována za osobní údaj ve smyslu směrnice. K tomu bude zapotřebí určit, zda pro tyto účely postačuje, aby existovala pouhá abstraktní možnost, že jsou tyto údaje známy, nebo zda je naopak nutné, aby tyto údaje měla k dispozici buď osoba, které je dynamická IP adresa již známa, nebo třetí osoba.

60.

Účastníci řízení se ve svých vyjádřeních soustředili na výklad bodu 26 odůvodnění směrnice 95/46, z jehož obsahu upozorňují zejména na výraz „prostředk[y], které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou pro identifikaci dané osoby“. Otázka předkládajícího soudu se nevztahuje na další údaje, které mají k dispozici poskytovatelé služby dotčení v původním řízení. Neodkazuje ani na jakoukoli třetí osobu, která by mohla mít k dispozici tyto další údaje (které by mohly ve spojení s dynamickou IP adresou umožnit identifikaci uživatele), nýbrž konkrétně na poskytovatele služby internetového připojení.

61.

Není tedy nezbytné, aby se Soudní dvůr pro účely případné kvalifikace dynamických IP adres, jež má žalovaná v původním řízení k dispozici, jako osobních údajů, zabýval v projednávané věci všemi prostředky, které může tato žalovaná „rozumně“ použít. Z okolnosti, že Bundesgerichtshof (Spolkový soudní dvůr) odkazuje výlučně na další údaje, které má k dispozici třetí osoba, lze vyvodit, že a) žalovaná nemá k dispozici další vlastní údaje, které by jí umožnily identifikaci uživatele, a nebo b) tyto údaje má sice k dispozici, avšak není způsobilá je k tomuto účelu ve svém postavení správce ve smyslu bodu 26 odůvodnění směrnice 95/46 rozumně použít.

62.

Oba výše uvedené předpoklady závisí na skutkovém posouzení, jehož provedení přísluší výlučně předkládajícímu soudu. Pokud by si Bundesgerichtshof (Spolkový soudní dvůr) nebyl jist tím, zda je žalovaná způsobilá rozumně použít další údaje, které má sama k dispozici, Soudní dvůr by mu mohl poskytnout obecná kritéria k výkladu výrazů „prostředk[y], které mohou být rozumně použity […] správcem“. Žádné takovéto pochybnosti však nebyly vzneseny, a proto podle mého mínění není namístě, aby Soudní dvůr při této příležitosti vymezil kritéria pro výklad, která nejsou pro předkládající soud nezbytná a nebyla zmíněným soudem vyžádána.

63.

Podstatou položené otázky je tedy výlučně určení, zda k tomu, aby mohly být dynamické IP adresy kvalifikovány jako osobní údaje, je relevantní okolnost, že zcela konkrétně určená třetí osoba – poskytovatel služby internetového připojení – má k dispozici další údaje, které mohou ve spojení s výše uvedenými adresami identifikovat uživatele, jenž otevřel určitou internetovou stránku.

64.

Vraťme se znovu ke znění bodu 26 odůvodnění směrnice 95/46. Z výrazu „prostředk[y], které mohou být rozumně použity […] jakoukoli jinou osobou ( 17 )“, by totiž mohl vycházet výklad, podle něhož by k tomu, aby dynamická IP adresa mohla být sama o sobě považována za osobní údaj, postačovalo, aby některá třetí osoba mohla získat další údaje (které by mohly být spojeny s výše uvedenou adresou s cílem identifikovat určitou osobu).

65.

Tento maximalistický výklad by v praxi vedl k tomu, že by byly za osobní údaje považovány informace nejrůznějšího druhu, byť by samy o sobě naprosto nepostačovaly k tomu, aby umožnily identifikaci uživatele. Nebylo by nikdy možné s naprostou jistotou vyloučit, že neexistuje žádná třetí osoba, která má k dispozici další údaje, jež by mohly být s výše uvedenými informacemi spojeny a mohly tak odhalit totožnost určité osoby.

66.

Domnívám se, že v důsledku rozvoje technologií by přístup ke stále sofistikovanějším nástrojům umožňujícím získávat a zpracovávat údaje mohl být ve více či méně blízké budoucnosti značně usnadněn, což lze považovat za důvod k tomu, aby byla již v předstihu zaváděna opatření na ochranu soukromí. Je usilováno o to, aby příklady různých druhů jednání uvedených v rámci definice právních kategorií, jež jsou relevantní pro účely ochrany údajů, byly vymezeny natolik široce a pružně, aby mohly pokrýt všechny situace, které si lze jen představit ( 18 ).

67.

Tato snaha – kterou považuji ostatně za zcela legitimní – nemůže však podle mého mínění vést k tomu, aby nebyl brán v potaz způsob, jakým byla vyjádřena normativní vůle normotvůrce, a aby byl systematický výklad bodu 26 odůvodnění směrnice 95/46 zúžen pouze na „prostředk[y], které mohou být rozumně použity“některými třetími osobami.

68.

Obdobně jako se v bodě 26 odůvodnění neodkazuje na žádné prostředky, které mohou být použity správcem (v projednávané věci poskytovatelem internetových služeb), nýbrž pouze na prostředky, které může správce „rozumně“ použít, je třeba mít za to, že normotvůrce odkazuje na „třetí osoby“, u nichž lze – rovněž rozumně – předpokládat, že by se na ně mohl správce obrátit s cílem získat další údaje pro účely identifikace. Nejedná se tedy o situace, kdy by praktické navázání styku s těmito třetími osobami bylo příliš nákladné z hlediska lidských a ekonomických zdrojů nebo v podstatě neproveditelné či zakázané právními předpisy. V opačném případě by totiž, jak jsem již uvedl výše, bylo v praxi nemožné od sebe jednotlivé prostředky vzájemně odlišit, neboť by neustále existovala možnost, že někde existuje třetí osoba, která by – nyní či v budoucnu – mohla mít k dispozici další údaje, které by mohly napomoci identifikaci uživatele, a to zcela bez ohledu na to, zda by byla tato osoba pro poskytovatele internetových služeb dostupná.

69.

Již jsem poukázal na okolnost, že třetí osobou, o níž se zmiňuje Bundesgerichtshof (Spolkový soudní dvůr), je poskytovatel služby internetového připojení. Je nanejvýš pravděpodobné, že právě na tuto třetí osobu by se poskytovatel služeb obrátil ve snaze získat další konkrétní údaje, kdyby měl v úmyslu nalézt co nejúčinnější, nepraktičtější a nejsnazší způsob, jakým identifikovat uživatele, který otevřel jeho stránku prostřednictvím dynamické IP adresy. V žádném případě se nejedná o hypotetickou třetí osobu, která by byla neznámá a nedostupná, nýbrž o hlavního aktéra internetové sítě, u něhož je zcela jisté, že má k dispozici údaje, které potřebuje poskytovatel služeb k identifikování určitého uživatele. Jak tedy uvádí předkládající soud, právě na tuto konkrétní třetí osobu má žalovaná v původním řízení ve skutečnosti v úmyslu se obrátit s cílem získat další údaje, které považuje za nezbytné.

70.

Poskytovatel služby internetového připojení je typickou třetí osobou, na kterou odkazuje bod 26 odůvodnění směrnice 95/46, v tom smyslu, že lze „rozumně“ předpokládat, že se na ni poskytovatel služeb v projednávaném řízení obrátí. Zbývá tedy zjistit, zda lze získání dalších údajů, jež má tato třetí osoba k dispozici, kvalifikovat jako „rozumně“ schůdné či proveditelné.

71.

Německá vláda tvrdí, že údaje, jež má k dispozici poskytovatel služby internetového připojení, mají osobní povahu, a proto je tento poskytovatel nemůže bez dalšího poskytnout, ledaže by přitom dodržel právní předpisy, jimiž je upraveno zpracování těchto údajů ( 19 ).

72.

Výše uvedený závěr je zcela nepochybný, neboť podmínkou pro získání údajů tohoto druhu je dodržení právních předpisů použitelných na osobní údaje. Takové údaje mohou být získány „rozumně“ jedině za předpokladu, že byly splněny podmínky stanovené pro přístup k tomuto druhu údajů, přičemž první z těchto podmínek se týká zákonné možnosti uchovávání těchto údajů a jejich předávání třetím osobám. Poskytovatel služby internetového připojení je samozřejmě oprávněn odmítnout předání požadovaných údajů, ale může nastat i opačný případ. Již pouhá možnost předání těchto údajů, kterou lze zcela nepochybně „rozumně“ předpokládat, je důvodem k tomu, aby se s ohledem na bod 26 odůvodnění směrnice 95/46 mělo za to, že dynamická IP adresa představuje pro poskytovatele internetových služeb osobní údaj.

73.

Výše uvedená možnost je v mezích zákona proveditelná, a tudíž „rozumná“. Rozumné prostředky zajištění přístupu, na něž odkazuje směrnice 95/46, musí být již z podstaty věci v souladu s právními předpisy ( 20 ). Jak uvádí německá vláda, je logické, že z takového předpokladu vychází i předkládající soud ( 21 ). Značně se tím zužuje okruh možností, jimiž lze z právního hlediska získat přístup k údajům, neboť se musí jednat výlučně o možnosti, které jsou dovoleny. Pokud však takové možnosti existují, byť jsou třeba v praxi jen obtížně proveditelné, představují „rozumný prostředek“ ve smyslu směrnice 95/46.

74.

Mám tedy za to, že první z předběžných otázek v té podobě, v jaké ji Bundesgerichtshof (Spolkový soudní dvůr) předložil, musí být zodpovězena kladně. Dynamická IP adresa musí pro poskytovatele internetových služeb představovat osobní údaj, a to vzhledem k existenci třetí osoby (poskytovatele služby internetového připojení), na niž se prvně jmenovaná osoba může rozumně obrátit s cílem získat další údaje, které ve spojení s výše uvedenou adresou mohou umožnit identifikaci určitého uživatele.

75.

Mám za to, že ve prospěch mého návrhu hovoří i situace, k níž by vedlo opačné řešení. Kdyby dynamické IP adresy nepředstavovaly pro poskytovatele internetových služeb osobní údaj, tento poskytovatel by byl oprávněn uchovávat tyto adresy neomezeně a kdykoli požádat poskytovatele služby internetového připojení o další údaje, aby je spojil s výše uvedenou adresou a identifikoval tak určitého uživatele. Jak připouští německá vláda ( 22 ), s ohledem na použití právních předpisů týkajících se ochrany údajů by se dynamická IP adresa za takových okolností musela stát osobním údajem, jakmile by tato vláda již měla k dispozici další údaje relevantní pro identifikaci určitého uživatele.

76.

Jednalo by se tedy o údaj, jehož uchovávání by bylo přípustné pouze za předpokladu, že by se až dosud mělo za to, že pro poskytovatele služeb nepředstavuje osobní údaj. To, zda bude dynamická IP adresa z právního hlediska kvalifikována jako osobní údaj, by tedy záviselo výlučně na tom, zda se posledně jmenovaná osoba někdy v budoucnu rozhodne spojit tuto adresu s dalšími údaji, jež bude muset získat od třetí osoby, a použít ji tak k identifikaci určitého uživatele. Zastávám nicméně názor, že ve smyslu směrnice 95/46 má zásadní význam možnost, a sice možnost rozumná, že existuje „dostupná“ třetí osoba, která má k dispozici prostředky nezbytné k identifikování určité osoby, a nikoli skutečné naplnění této možnosti navázání styku se zmíněnou třetí osobou.

77.

Mohli bychom se dokonce přiklonit i k názoru německé vlády, podle něhož se dynamická IP adresa stává osobním údajem, jakmile ji získá poskytovatel služby internetového připojení. V takovém případě by bylo nutné připustit i to, že s ohledem na dobu stanovenou pro uchovávání adresy IP může nastat situace, kdy by byla tato kvalifikace provedena se zpětnou účinností, a potažmo i situace, kdy by tato kvalifikace mohla být považována za neplatnou, pokud by byla překročena doba, po kterou tato adresa mohla být uchovávána, kdyby byla již od počátku kvalifikována jako osobní údaj. Taková situace by vedla k výsledku, který je v rozporu s duchem právních předpisů týkajících se ochrany osobních údajů. Důvod, z něhož mají být tyto údaje uchovávány pouze dočasně, by ztratil smysl v důsledku případných průtahů spojených s uznáním vlastnosti, která je těmto údajům vlastní již od samotného počátku, a sice jejich schopnosti působit – buď samy o sobě, nebo ve spojení s dalšími údaji – jako nástroj identifikace určité fyzické osoby. I z tohoto čistě praktického důvodu je rozumnější, aby byla zmíněná povaha těmto údajům přiznána již od počátku.

78.

Tímto jsem dospěl k prvnímu závěru, a sice že čl. 2 písm. a) směrnice 95/46 musí být vykládán v tom smyslu, že IP adresa, kterou poskytovatel služeb uchovává v souvislosti s přístupem na svou internetovou stránku, pro něj představuje osobní údaj již tehdy, když má poskytovatel služby (internetového) připojení k dispozici další informace potřebné k identifikaci subjektu údajů.

79.

Podstatou druhé předběžné otázky položené Bundesgerichtshof (Spolkový soudní dvůr) je, zda čl. 7 písm. f) směrnice 95/46 brání vnitrostátní právní úpravě, podle níž mohou být osobní údaje uživatele shromažďovány a používány bez jeho svolení pouze tehdy, je-li to nezbytné k tomu, aby bylo umožněno a vyúčtováno konkrétní využití služby elektronických informací a komunikací příslušným uživatelem, a podle něhož cíl spočívající v zajištění obecné funkčnosti služby elektronických informací a komunikací nemůže odůvodnit jejich využití poté, co uživatel skončil konkrétní využívání služby.

80.

Dříve než tuto otázku zodpovím, musím upřesnit informaci, kterou poskytl Bundesgerichtshof (Spolkový soudní dvůr), podle níž jsou sporné údaje uchovávány s cílem zajistit správné fungování internetových stránek dotčených v původním řízení a v případě potřeby umožnit trestní stíhání kybernetických útoků podniknutých proti těmto stránkám.

81.

Je třeba si tedy nejprve položit otázku, zda zpracování IP adres, které jsou předmětem projednávaného řízení o předběžné otázce, spadá do působnosti výjimky, která je stanovena v čl. 3 odst. 2 první odrážce směrnice 95/46 ( 23 ).

82.

Spolková republika Německo podle všeho vystupuje v původním řízení výlučně v postavení poskytovatele internetových služeb, tzn. jako jednotlivec (a tudíž sine imperio). Znamená to tedy, že zpracování údajů, které jsou předmětem projednávaného sporu, není v zásadě vyloučeno z působnosti směrnice 95/46.

83.

Jak rozhodl Soudní dvůr v rozsudku Lindqvist ( 24 ), činnosti uvedené v čl. 3 odst. 2 směrnice 95/46 „jsou v každém případě činnostmi států a státních orgánů a nemají s činností jednotlivců nic společného“ ( 25 ). Vzhledem k tomu, že správcem sporných údajů je osoba, která i přes postavení veřejného orgánu vystupuje ve skutečnosti jako soukromoprávní subjekt, musí být směrnice 95/46 použitelná.

84.

Předkládající soud zdůrazňuje, že hlavním cílem, který německý správní orgán sleduje při ukládání dynamických IP adres, je „zabezpečení a udržení bezpečnosti a funkčnosti [jeho] služeb elektronických informací a komunikací“; to platí zejména „pro odhalení a obranu před útoky ‚Denial-of-Service‘, k nimž často dochází a při nichž je infrastruktura služeb elektronických informací a komunikací ochromena cíleným a koordinovaným zahlcením jednotlivých internetových serverů velkým množstvím žádostí o informace ( 26 )“. Uchovávání dynamických IP adres za tímto účelem je typické pro všechny majitele významnějších internetových stránek a nesouvisí přímo ani nepřímo s výkonem veřejné moci, takže by neměly existovat žádné překážky, které by bránily jeho zahrnutí do působnosti směrnice 95/46.

85.

Bundesgerichtshof (Spolkový soudní dvůr) upozorňuje nicméně na okolnost, že dalším z důvodů, proč poskytovatelé služeb dotčení v původním řízení uchovávají dynamické IP adresy, je možnost zahájit v případě potřeby trestní řízení proti případným pachatelům kybernetických útoků. Postačuje tento cíl k tomu, aby bylo zpracování předmětných údajů vyloučeno z působnosti směrnice 95/46?

86.

Domnívám se, že pokud bude toto „trestní stíhání“ chápáno v tom smyslu, že poskytovatelé služeb žalovaní v původním řízení vykonávají ius puniendi, jež přísluší státu, bude představovat „činnosti státu v oblasti trestního práva“, které patří mezi výjimky stanovené v čl. 3 odst. 2 první odrážce směrnice 95/46.

87.

V souladu s judikaturou, kterou Soudní dvůr zavedl ve věci Huber ( 27 ), je za takových okolností třeba mít za to, že zpracování osobních údajů, které uskutečňují poskytovatelé služeb s cílem zajistit bezpečnost a technickou funkčnost svých služeb elektronických informací a komunikací, spadá do působnosti směrnice 95/46, kdežto zpracování údajů zaměřené na činnosti státu v oblasti trestního práva je z působnosti této směrnice vyloučeno.

88.

Stejně tak i v případě, že by Spolková republika Německo nevedla trestní stíhání jako takové, neboť by v postavení pouhého poskytovatele služeb takovou pravomoc neměla, nýbrž by pouze předávala, tak jako každý jiný jednotlivec, sporné IP adresy státnímu orgánu k výkonu represe, by zpracování dynamických IP adres představovalo činnost, která je vyloučena z působnosti směrnice 95/46.

89.

Tentýž závěr vyplývá i z judikatury zavedené ve věci Parlament v. Rada a Komise ( 28 ), v níž Soudní dvůr uvedl, že okolnost, že určité osobní údaje „byly shromážděny soukromými subjekty k obchodním účelům a že jsou to tyto soukromé subjekty, kdo organizuje jejich předávání třetím státům“, neznamená, že dotčené předávání, pokud je uskutečňováno s cílem souvisejícím s činnostmi státu v oblasti trestního práva, „nespadá do oblasti působnosti“ čl. 3 odst. 2 první odrážky směrnice 95/46, neboť v takovém případě je toto předávání „začleněno do rámce zavedeného orgány veřejné moci týkajícího se veřejné bezpečnosti ( 29 )“.

90.

Naopak v případě, kdy – jak se domnívám – musí být podle předkládacího rozhodnutí „trestní stíhání“ chápáno v tom smyslu, že představuje jednání jednotlivce coby subjektu oprávněného k tomu, aby prostřednictvím příslušného řízení zahájil výkon ius puniendi, jež přísluší státu, nelze tvrdit, že předmětem zpracování dynamických IP adres jsou činnosti státu v oblasti trestního práva, které jsou vyloučeny z působnosti směrnice 95/46.

91.

Uchovávání a ukládání takovýchto údajů představuje totiž další důkazní prostředek, který může majitel internetové stránky použít k tomu, aby požádal stát o stíhání určitého protiprávního jednání na návrh účastníka řízení. V konečném důsledku se tedy jedná o nástroj, jímž lze v trestním řízení hájit práva, jež konkrétnímu jednotlivci (v projednávané věci veřejnému subjektu, který vystupuje v soukromoprávním režimu) přiznává právní řád. Z tohoto pohledu se nijak neodlišuje od jednání jakéhokoli jiného poskytovatele internetových služeb, který se u státu domáhá ochrany v souladu s postupy, jimiž lze podle vnitrostátního právního řádu vést trestní stíhání.

92.

Znamená to tedy, že pokud německý správní orgán vystupuje jako poskytovatel internetových stránek, který není pověřen výkonem veřejné moci, což musí posoudit předkládající soud, jím uskutečněné zpracování dynamických IP adres jakožto osobních údajů spadá do působnosti směrnice 95/46.

93.

Podle § 15 odst. 1 TMG mohou být osobní údaje uživatele shromažďovány a využívány pouze tehdy, je-li to nezbytné k tomu, aby bylo umožněno a vyúčtováno použití služeb elektronických informací a komunikací. Přesněji řečeno, poskytovatel služeb může shromažďovat a využívat pouze tzv. „údaje o použití“, tj. osobní údaje uživatele, které jsou nezbytné k tomu, aby bylo „umožněno a vyúčtováno použití služeb elektronických informací a komunikací“. Tyto údaje musí být po ukončení využívání služby (tj. v okamžiku, kdy je ukončeno konkrétní použití služby elektronických informací a komunikací) odstraněny, ledaže je jejich uchování nezbytné „k provedení vyúčtování“, jak stanoví § 15 odst. 4 TMG.

94.

Podle § 15 TMG zřejmě není možné, aby byly údaje o použití ukládány po ukončení daného připojení z jiných důvodů, a to ani proto, aby bylo z obecného hlediska zajištěno „použití služeb elektronických informací a komunikací“. Vzhledem k tomu, že zmíněné ustanovení TMG uvádí, že jediným důvodem k uchovávání údajů může být vyúčtování, mohlo by být vykládáno v tom smyslu (přestože o jeho výkladu musí s konečnou platností rozhodnout předkládající soud), že vyžaduje, aby byly údaje o použití využity výlučně s cílem umožnit konkrétní spojení a po jeho ukončení odstraněny.

95.

Způsob, jakým je zpracování osobních údajů umožněno v čl. 7 písm. f) směrnice 95/46 ( 30 ), bych označil za velkorysejší (ve vztahu ke správci) než způsob, který vyplývá z doslovného znění § 15 TMG. V tomto ohledu lze německé ustanovení považovat za striktnější než ustanovení unijní, neboť v podstatě nepředpokládá, že by mohl být sledován jiný oprávněný zájem, než je zájem související s vyúčtováním dané služby, takže Spolková republika Německo by v postavení poskytovatele internetových služeb mohla mít oprávněný zájem rovněž na tom, aby zajistila správné fungování svých internetových stránek, a to i po ukončení jednotlivých přístupů k nim ( 31 ).

96.

Pravidla, jimiž bychom se měli řídit při zodpovězení druhé předběžné otázky, vyplývají z judikatury, kterou Soudní dvůr zavedl v rozsudku ASNEF a FECEMD ( 32 ). Při zmíněné příležitosti Soudní dvůr prohlásil, že z cíle sledovaného směrnicí 95/46 „vyplývá, že článek 7 směrnice 95/46 stanoví taxativní a omezující výčet případů, v nichž lze zpracování osobních údajů považovat za zákonné ( 33 )“. Znamená to, že „členské státy nemohou doplnit nové zásady pro oprávněné zpracování osobních údajů, obsažené v článku 7 směrnice 95/46, ani upravovat další požadavky, které by pozměnily dosah některé ze šesti zásad zakotvených v tomto článku ( 34 )“.

97.

Ustanovení § 15 TMG sice nedoplňuje požadavky, jimiž je podle článku 7 směrnice 95/46 podmíněno oprávněné zpracování údajů, o žádný nový požadavek – jak tomu bylo ve věcech ASNEF a FECEMD – ( 35 ), avšak kdyby byl vykládán ve striktním smyslu, na který poukazuje předkládající soud, omezil by rozsah podmínky uvedené v písmeni f) zmíněného ustanovení, neboť zatímco unijní normotvůrce odkazuje obecně na uskutečnění „oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány“, § 15 TMG stanoví pouze to, že je nezbytné, „aby bylo umožněno a vyúčtováno [konkrétní] použití služeb elektronických informací a komunikací“.

98.

Stejně jako ve věcech ASNEF a FECEMD ( 36 ), i v projednávané věci mění vnitrostátní opatření – znovu upozorňuji, že pouze v případě, bude-li vykládáno ve výše uvedeném striktním smyslu – rozsah zásady uvedené v článku 7 směrnice 95/46, namísto toho, aby jej pouze upřesnilo, což je podle článku 5 směrnice 95/46 jediná možnost, pro kterou byl orgánům jednotlivým členským státům přiznán určitý prostor k uvážení.

99.

Posledně zmíněné ustanovení totiž stanoví, že „[č]lenské státy upřesní v mezích ustanovení této kapitoly[ ( 37 ) ] podmínky, za kterých je zpracovávání osobních údajů zákonné“. Ve věcech ASNEF a FECEMD ( 38 ) ovšem Soudní dvůr uvedl, že „členské státy nemohou na základě [výše uvedeného ustanovení] zavést jiné zásady pro oprávněné zpracování osobních údajů, než jsou zásady uvedené v článku 7 této směrnice, ani pozměnit prostřednictvím dalších požadavků rozsah šesti zásad upravených v uvedeném článku 7“.

100.

V porovnání s čl. 7 písm. f) směrnice 95/46 § 15 TMG výrazně omezil rozsah oprávněného zájmu, jímž lze odůvodnit zpracování údajů, namísto toho, aby jej pouze upřesnil či vysvětlil v mezích stanovených článkem 5 téže směrnice. Jeho znění je navíc kategorické a jednoznačné a nepřipouští, aby se ochrana a zajištění obecného používání služeb elektronických informací a komunikací staly předmětem vážení, jehož cílem by bylo zjistit, zda nepřevyšují „zájem nebo základní práva a svobody subjektu údajů, které vyžadují ochranu podle čl. 1 odst. 1“ směrnice 95/46, jak stanoví čl. 7 písm. f) této směrnice.

101.

Znamená to tedy, že německý státní zákonodárce – stejně jako ve věcech ASNEF a FECEMD ( 39 ) – stanovil „s konečnou platností výsledek vyvážení [určitých] proti sobě stojících [kategorií osobních údajů] a nepřipouští odlišný výsledek z důvodu zvláštních okolností konkrétního případu“, takže „[o] upřesnění ve smyslu […] článku 5 [směrnice 95/46] se […] nejedná“.

102.

Za těchto okolností se domnívám, že způsob, jakým bude Bundesgerichtshof (Spolkový soudní dvůr) vykládat vnitrostátní právní předpisy, musí být v souladu se směrnicí 95/46 v tom smyslu, že a) mezi důvody, jimiž lze odůvodnit zpracování tzv. „údajů o použití“, musí být možné zařadit také oprávněný zájem poskytovatele služeb elektronických informací a komunikací týkající se ochrany jejich obecného používání a b) musí být umožněno zvážit v každém konkrétním případě tento zájem poskytovatele služeb vůči zájmu a základním právům uživatele s cílem zjistit, který z těchto zájmů vyžaduje ochranu podle čl. 1 odst. 1 směrnice 95/46 ( 40 ).

103.

Mám za to, že k výše uvedenému postupu, jímž by mělo být takové posouzení provedeno ve věci, v níž byla podána žádost o rozhodnutí o předběžné otázce, již není namístě cokoli dodat. Bundesgerichtshof (Spolkový soudní dvůr) nevznáší v tomto ohledu žádný dotaz, neboť jeho pochybnosti se týkají pouze otázky vztahující se ke stadiu, které takovému posouzení předchází, tj. otázky, zda je toto posouzení vůbec možné.

104.

A konečně považuji za zbytečné uvádět, že předkládající soud bude moci zohlednit zákonná ustanovení, jež členský stát případně přijal na základě zmocnění podle čl. 13 odst. 1 písm. d) směrnice 95/46 s cílem omezit rozsah povinností a práv stanovených v článku 6 téže směrnice, pokud je to nezbytné k tomu, aby kromě ochrany jiných statků bylo zajištěno také „[…] předcházení trestným činům a jejich vyšetřování, odhalování a stíhání […]“. Ani o tomto hledisku se předkládající soud nezmiňuje, neboť si je zajisté vědom existence obou těchto článků.

105.

Navrhuji tedy, aby byla druhá předběžná otázka zodpovězena v tom smyslu, že čl. 7 písm. f) směrnice 95/46 brání vnitrostátní právní úpravě, jejíž výklad brání poskytovateli služeb v tom, aby s cílem zajistit fungování služeb elektronických informací a komunikací shromažďoval a používal po ukončení konkrétního využití služby osobní údaje uživatele bez jeho svolení.

106.

Vzhledem k výše uvedenému navrhuji, aby Soudní dvůr odpověděl na položené předběžné otázky takto: