—

mr.nexnet GmbH ved Rechtsanwalt P. Wassermann

—

Europa-Kommissionen ved F. Wilman og F. Bulst, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 6, stk. 2 og 5, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201, s. 37).

2

Anmodningen er blevet indgivet under en sag mellem mr.nexnet GmbH (herefter »nexnet«), som har fået overdraget fordringer i forbindelse med levering af ydelser vedrørende adgang til internettet, leveret af Verizon Deutschland GmbH (herefter »Verizon«), og Josef Probst, modtageren af disse ydelser.

3

Artikel 16 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31) bestemmer:

»Enhver, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som får adgang til personoplysninger, må kun behandle disse efter instruks fra den registeransvarlige, bortset fra tilfælde, der er fastsat i lovgivningen.«

4

Artikel 17 i direktiv 95/46 bestemmer:

»1.   Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelser af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

Disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes.

2.   Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, hvis oplysninger behandles for dennes regning, skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes, og skal påse, at disse foranstaltninger overholdes.

3.   Gennemførelse af en behandling ved en registerfører skal ske i henhold til en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes

4.   Med henblik på opbevaring af beviserne skal de dele i kontrakten eller det retlige dokument, der vedrører beskyttelse af oplysninger, og de krav, der vedrører de i stk. 1 omhandlede foranstaltninger, foreligge skriftligt eller i en anden tilsvarende form.«

5

Artikel 1, stk. 1 og 2, i direktiv 2002/58 har følgende ordlyd:

»1.   Dette direktiv tager sigte på en harmonisering af medlemsstaternes bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig privatlivets fred i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor, og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i [Den Europæiske Union].

2.   Med henblik på at nå de i stk. 1 omhandlede mål specificerer og supplerer dette direktivs bestemmelser [direktiv 95/46]. [...]«

6

Dette direktivs artikel 2, stk. 2, litra b), definerer »trafikdata« som »data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf«.

7

Artikel 5, stk. 1, i direktiv 2002/58 præciserer:

»Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. [...]«

8

Artikel 6 i samme direktiv bestemmer:

»1.   Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5 [...].

2.   Med henblik på debitering af abonnenten og afregning for samtrafik er det tilladt at behandle trafikdata. En sådan behandling er tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.

[...]

5.   Behandling af trafikdata i henhold til stk. 1, 2, 3 og 4 må kun foretages af personer, som handler efter bemyndigelse fra udbydere af de offentligt tilgængelige kommunikationsnet og -tjenester, og som er beskæftiget med debitering eller trafikstyring, kundeforespørgsler, afsløring af svig, markedsføring af elektroniske kommunikationstjenester eller levering af en tillægstjeneste, og skal begrænses til det for sådanne aktiviteter nødvendige.

[...]«

9

§ 97, stk. 1, tredje og fjerde punktum, i Telekommunikationsgesetz (lov om telekommunikation) af 22. juni 2004 (BGB1. 2004 I, s. 1190, herefter »TKG«) har følgende ordlyd:

»Fastlæggelse og debitering af tjenesteudbyderens vederlag

[...] Såfremt tjenesteudbyderen har indgået en aftale med en tredjemand om inddrivelse af vederlaget, må han videregive [trafikdata], for så vidt som denne videregivelse er nødvendig for opkrævningen af vederlaget og udstedelsen af en detaljeret faktura. Tredjemanden skal være kontraktmæssigt forpligtet til at iagttage telehemmeligheden i henhold til § 88 og overholde databeskyttelsen i overensstemmelse med § 93, 95, 96, 97, 99 og 100.

[...]«

10

Ifølge den forelæggende ret omfatter den i TKG’s § 97, stk. 1, tredje punktum, hjemlede beføjelse til videregivelse af oplysninger ikke alene aftaler om inddrivelse af fordringer, hvor disse forbliver en del af den oprindelige ejers aktiver, men derimod også andre aftaler om overdragelse, navnlig sådanne, der indebærer et køb af fordringer, og hvorefter det overdragne krav retligt og økonomisk endeligt skal tilkomme erhververen.

11

Josef Probst har en telefonforbindelse hos Deutsche Telekom AG, via hvilken han også kobler sin computer til internettet. Han benyttede i perioden fra den 28. juni til den 6. september 2009 et nummer leveret af Verizon for at opnå engangsadgang til internettet. I første omgang blev Josef Probst debiteret de herfor opkrævede vederlag af Deutsche Telekom AG som »beløb fra andre udbydere«. Da Josef Probst ikke har betalt disse, har nexnet, til hvem fordringen er overgået på grundlag af en factoringkontrakt indgået mellem Verizon og nexnets forgængere, krævet betaling af de debiterede beløb forhøjet med diverse omkostninger. I henhold til factoringkontrakten overtog nexnet kreditrisikoen.

12

Nexnet og Verizons forgængere havde i øvrigt indgået en »aftale om databeskyttelse og fortrolighed«, hvori det var bestemt:

[...]

[...]

[…]«

13

Josef Probst er af den opfattelse, at factoringkontrakten er ugyldig, fordi den er i strid med TKG’s § 97, stk. 1. Amtsgericht frifandt Josef Probst for nexnets betalingsopkrævning, mens appelretten i det væsentlige gav nexnet medhold. Der er iværksat »revisionsanke« ved Bundesgerichtshof.

14

Den forelæggende ret er af den opfattelse, at artikel 6, stk. 2 og 5, i direktiv 2002/58 er relevant for fortolkningen af TKG’s § 97, stk. 1. Retten har for det første understreget, at begrebet »debitering af abonnenten«, der er et af de formål, med henblik på hvilke direktivets artikel 6, stk. 2 og 5, tillader behandling af trafikdata, ikke nødvendigvis omfatter inddrivelsen af de debiterede vederlag. Retten finder imidlertid, at der ikke foreligger nogen saglig grund til at behandle debiteringen af gebyrfordringen og dens inddrivelse forskelligt i forhold til databeskyttelsen. For det andet har retten bemærket, at ifølge direktivets artikel 6, stk. 5, må behandling af trafikdata kun foretages af personer, der handler »efter bemyndigelse« fra udbydere af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester (herefter »tjenesteudbyderen«). Dette begreb lader det efter den forelæggende rets opfattelse stå åbent, om tjenesteudbyderen under hele databehandlingen også i det enkelte tilfælde skal have konkret mulighed for at bestemme, hvordan oplysningerne anvendes, eller om generelt formulerede bestemmelser vedrørende iagttagelse af telehemmeligheden og databeskyttelsen som dem, der er fastsat i de omhandlede aftaler, og muligheden for efter anmodning at få oplysningerne slettet eller leveret tilbage er tilstrækkelige.

15

Bundesgerichtshof har på denne baggrund besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»Tillader artikel 6, stk. 2 og 5, i direktiv 2002/58 videregivelse af trafikdata fra tjenesteudbyderen til erhververen af et krav på vederlag for teletjenester, når der for overdragelsen, der har fundet sted med henblik på inddrivelse af tilbagedebiterede fordringer, foruden den generelle forpligtelse til at iagttage telehemmeligheden og databeskyttelsen i henhold til de til enhver tid gældende lovregler gælder følgende aftalevilkår:

16

Med det præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om og under hvilke betingelser artikel 6, stk. 2 og 5, i direktiv 2002/58 tillader en tjenesteudbyder at videregive trafikdata til erhververen af dens fordringer og sidstnævnte at behandle disse data.

17

For det første følger det af artikel 6, stk. 2, i direktiv 2002/58, at det med henblik på debitering af abonnenten er tilladt at behandle trafikdata. Som nexnet og Europa-Kommissionen har fremhævet, tillader denne bestemmelse i direktivet, at trafikdata behandles ikke alene med henblik på debitering, men ligeledes med henblik på inddrivelsen. Ved at tillade behandling af trafikdata »indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger« henviser bestemmelsen ikke alene til behandlingen af data på tidspunktet for debiteringen, men ligeledes til den nødvendige behandling med henblik på at opnå betaling.

18

Det følger for det andet af artikel 6, stk. 5, i direktiv 2002/58, at behandling af trafikdata, som er tilladt i henhold til direktivets artikel 6, stk. 2, »kun [må] foretages af personer, som handler efter bemyndigelse fra [tjenesteudbydere], og som er beskæftiget med debitering«, og »skal begrænses til det for [en sådan aktivitet] nødvendige«.

19

Det fremgår af en samlet læsning af disse bestemmelser i direktiv 2002/58, at det er tilladt for en tjenesteudbyder at videregive trafikdata til erhververen af dens fordringer med henblik på inddrivelse heraf, og at det er tilladt for sidstnævnte at behandle disse data på betingelse af for det første, at erhververen handler »efter bemyndigelse« fra tjenesteudbyderen for så vidt angår behandlingen af disse data, og for det andet, at han begrænser sig til alene at behandle de trafikdata, som er nødvendig med henblik på fordringernes inddrivelse.

20

I denne henseende skal det fastslås, at hverken direktiv 2002/58 eller de dokumenter, der er relevante for fortolkningen af det, såsom forarbejderne, yder nogen afklaring på den nøjagtige rækkevidde af udtrykket »efter bemyndigelse«. Der skal derfor i henhold til Domstolens praksis ved fastlæggelsen af betydningen af dette udtryk søges hjælp i dets normale betydning i sædvanlig sprogbrug, idet der tages hensyn til den sammenhæng, hvori det anvendes, og de mål, der forfølges med den lovgivning, som det udgør en del af (jf. i denne retning dom af 10.3.2005, sag C-336/03, easyCar, Sml. I, s. 1947, præmis 20 og 21, og af 5.7.2012, sag C-49/11, Content Services, præmis 32).

21

Hvad angår dette udtryks normale betydning i sædvanlig sprogbrug bemærkes, at en person handler efter bemyndigelse fra en anden person, når den første person handler ifølge den andens instruktioner og under dennes kontrol.

22

Hvad angår den sammenhæng, som artikel 6 i direktiv 2002/58 indgår i, skal det bemærkes, at direktivets artikel 5, stk. 1, bestemmer, at medlemsstaterne skal sikre kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester og de dermed forbundne trafikdata.

23

Artikel 6, stk. 2 og 5, i direktiv 2002/58 indeholder en undtagelse til den kommunikationshemmelighed, som følger af direktivets artikel 5, stk. 1, ved at tillade behandling af trafikdata vedrørende formål, der er knyttet til debiteringstjenester (jf. i denne retning dom af 29.1.2008, sag C-275/06, Promusicae, Sml. I, s. 271, præmis 48). Denne bestemmelse i direktivet og følgelig ligeledes udtrykket »efter bemyndigelse« skal som undtagelse fortolkes snævert (jf. dom af 17.2.2011, sag C-16/10, The Number (UK) og Conduit Enterprise, Sml. I, s. 691, præmis 31). En sådan fortolkning indebærer, at tjenesteudbyderen har en effektiv kontrolbeføjelse, som gør det muligt for ham at sikre, at erhververen af fordringerne iagttager de pålagte betingelser ved behandlingen af trafikdata.

24

Denne fortolkning understøttes af formålet med direktiv 2002/58 i almindelighed og med direktivets artikel 6, stk. 5, i særdeleshed. Som det fremgår af direktivets artikel 1, stk. 1 og 2, specificerer og supplerer direktiv 2002/58 direktiv 95/46 inden for den elektroniske kommunikationssektor med henblik på bl.a. at sikre et ensartet niveau i medlemsstaterne i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig privatlivets fred i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor.

25

Under disse omstændigheder skal artikel 6, stk. 5, i direktiv 2002/58 fortolkes i lyset af de lignende bestemmelser i direktiv 95/46. Det fremgår imidlertid af sidstnævnte direktivs artikel 16 og 17, som præciserer niveauet af den kontrol, som den registeransvarlige skal iværksætte over for den registerfører, han udpeger, at registerføreren alene handler efter instruks fra den registeransvarlige, og at den registeransvarlige skal påse, at de foranstaltninger, der er fastsat til at beskytte personoplysninger mod enhver form for ulovlig behandling, overholdes.

26

Hvad særligt angår det formål, der forfølges med artikel 6, stk. 5, i direktiv 2002/58, skal det bemærkes, at selv om denne bestemmelse tillader behandling af trafikdata for visse andre personer end tjenesteudbyderen med henblik særligt på inddrivelse af sidstnævntes fordringer, hvilket således giver tjenesteudbyderen mulighed for at koncentrere sig om at udbyde elektroniske kommunikationstjenester, tilsigter den pågældende bestemmelse ved at fastsætte, at behandlingen af trafikdata skal være begrænset til personer, der handler »efter bemyndigelse« fra tjenesteudbyderen, at en sådan outsourcing ikke berører beskyttelsesniveauet for personoplysninger, som brugeren drager fordel af.

27

Det fremgår af det ovenstående, at uafhængigt af kvalificeringen af aftalen om overdragelse af fordringer med henblik på disses inddrivelse handler erhververen af et krav på vederlag for teletjenester »efter bemyndigelse« fra den pågældende tjenesteudbyder i den forstand, hvori udtrykket er anvendt i artikel 6, stk. 5, i direktiv 2002/58, når erhververen ved den behandling af trafikdata, som en sådan aktivitet indebærer, alene handler ifølge udbyderens instruktioner og under dennes kontrol. Særligt skal aftalen mellem den tjenesteudbyder, der overdrager sine fordringer, og erhververen heraf indeholde bestemmelser til at sikre erhververens lovlige behandling af trafikdata og give tjenesteudbyderen mulighed for til enhver tid at sikre sig, at erhververen iagttager disse bestemmelser.

28

Det tilkommer den nationale ret under hensyntagen til samtlige faktiske omstændigheder at vurdere, om disse betingelser er opfyldt i hovedsagen. Den omstændighed, at en factoringkontrakt har de egenskaber, som er beskrevet i det forelagte spørgsmål, taler for den omstændighed, at kontrakten opfylder de pågældende betingelser. En sådan kontrakt tillader således alene fordringernes erhververs behandling af trafikdata, for så vidt som denne behandling er nødvendig med henblik på disse fordringers inddrivelse, og pålægger erhververen en forpligtelse til straks og uigenkaldeligt at slette eller tilbagelevere disse oplysninger, så snart kendskabet hertil ikke længere er nødvendigt af hensyn til inddrivelsen af de pågældende fordringer. Kontrakten giver i øvrigt tjenesteudbyderen mulighed for at kontrollere, at datasikkerheden og databeskyttelsen iagttages hos erhververen, som efter anmodning kan forpligtes til at slette eller tilbagelevere trafikdata.

29

Henset til ovenstående bemærkninger skal det forelagte spørgsmål besvares med, at artikel 6, stk. 2 og 5, i direktiv 2002/58 skal fortolkes således, at det er tilladt for en tjenesteudbyder at videregive trafikdata til erhververen af dens fordringer i forbindelse med levering af telekommunikationstjenester med henblik på inddrivelse heraf, og at det er tilladt for erhververen at behandle disse data på betingelse af for det første, at han handler efter bemyndigelse fra tjenesteudbyderen for så vidt angår behandlingen af disse data, og for det andet, at han begrænser sig til alene at behandle de trafikdata, som er nødvendig med henblik på de overdragede fordringers inddrivelse.

30

Uafhængigt af kvalificeringen af aftalen om overdragelse af fordringer handler erhververen efter bemyndigelse fra den pågældende tjenesteudbyder i den forstand, hvori udtrykket er anvendt i artikel 6, stk. 5, i direktiv 2002/58, når erhververen ved behandlingen af trafikdata alene handler ifølge udbyderens instruktioner og under dennes kontrol. Særligt skal aftalen mellem dem indeholde bestemmelser til at sikre erhververens lovlige behandling af trafikdata og give tjenesteudbyderen mulighed for til enhver tid at sikre sig, at erhververen iagttager disse bestemmelser.

31

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagens omkostninger. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

Artikel 6, stk. 2 og 5, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) skal fortolkes således, at det er tilladt for en udbyder af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester at videregive trafikdata til erhververen af dens fordringer i forbindelse med levering af telekommunikationstjenester med henblik på inddrivelse heraf, og at det er tilladt for erhververen at behandle disse data på betingelse af for det første, at han handler efter bemyndigelse fra tjenesteudbyderen for så vidt angår behandlingen af disse data, og for det andet, at han begrænser sig til alene at behandle de trafikdata, som er nødvendig med henblik på de overdragede fordringers inddrivelse.

Uafhængigt af kvalificeringen af aftalen om overdragelse af fordringer handler erhververen efter bemyndigelse fra den pågældende tjenesteudbyder i den forstand, hvori udtrykket er anvendt i artikel 6, stk. 5, i direktiv 2002/58, når erhververen ved behandlingen af trafikdata alene handler ifølge udbyderens instruktioner og under dennes kontrol. Særligt skal aftalen mellem dem indeholde bestemmelser til at sikre erhververens lovlige behandling af trafikdata og give tjenesteudbyderen mulighed for til enhver tid at sikre sig, at erhververen iagttager disse bestemmelser.