In het tweede nummer van Tijdschrift voor Internetrecht, waarover ik vorige maand berichtte staat een korte annotatie van mijn hand over het Promusicae/Telefónica-arrest van het Europees Hof van Justitie. Ik heb van de gelegenheid gebruik gemaakt om ook iets te zeggen over de Data Retentie Richtlijn.
ANNOTATIE EHvJ 29 januari 2008, C-275/06 (Promusicae/Telefónica)
Gerrit-Jan Zwenne*
Om auteursrechtinbreuken aan te pakken moet bekend zijn wie de inbreuk heeft gepleegd. Althans, dat vinden auteursrechthebbenden soms. Als het gaat om inbreuken die zijn gepleegd via peer-to-peer programma’s, zoals KaZaA of Bittorent, is niet altijd direct duidelijk wie de inbreukmaker is. Om deze reden doen rechthebbenden met enige regelmaat aan internetaanbieders het verzoek om verstrekking van de persoonsgegevens van de abonnee die via hun netwerk inbreuk zou hebben gemaakt op hun rechten.
In het Promusicae/Telefónica arrest ging het erom om wat lidstaten in nationale wetgeving daarover mogen of moeten regelen. Aan het Hof werd de vraag voorgelegd of het gemeenschapsrecht zo moet worden uitgelegd dat de lidstaten gehouden zijn om te bepalen dat internetgebruiksgegevens en andere abonneegegevens door internetaanbieders moeten worden verstrekt aan de auteursrechthebbenden, zodat deze in staat zijn om civiele procedures te voeren tegen de vermeende inbreukmakers.
Aanleiding voor het stellen van de vraag was een procedure bij een Spaanse rechter die auteursrechthebbenden organisatie Promusicae was begonnen tegen Telefónica. Abonnees van deze internetaanbieder zouden met behulp KaZaA inbreuk hebben gemaakt op de rechten van de bij haar aangesloten rechthebbenden. Promusicae wilde deze abonnees via civiele procedures aanpakken en vorderde dat Telefonica haar voor dat doel de gegevens van de abonnees zou verstrekken. Telefónica weigerde dat. Uiteraard: internetaanbieders zijn doorgaans terughoudend als hun wordt gevraagd om mee te werken aan de aantasting van privacyrechten van hun abonnees.
In de formulering van zijn vraag geeft de Spaanse rechter aan binnen welke kaders deze vraag volgens hem moet worden beantwoord. Hij noemt een aantal bepalingen in de Richtlijn Elektronische handel 2000/31, de Auteursrechtrichtlijn 2001/29 en de Handhavingsrichtlijn 2004/48 – een en ander mede bezien in het licht van de artikelen 17 en 47 van het Handvest van de Grondrechten van de EU. Allemaal bepalingen die verlangen dat intellectuele eigendomsrechten op adequate wijze worden beschermd.
Het is intrigerend dat de Spaanse rechter in zijn vraagstelling opzichtig niet verwijst naar de Privacyrichtlijn 95/46 en de Richtlijn Privacy en elektronische communicatie 2002/58, of ook maar naar artikel 7 van het Handvest, waarin privacyrechten zijn geregeld. Ik krijg in elk geval de indruk dat deze rechter erop aanstuurt dat voorbij wordt gegaan aan privacybelangen van de abonnees. Het Hof laat dat echter niet gebeuren en begint, zoals het hoort, met de voorvraag of deze privacyrichtlijnen überhaupt toestaan dat de gegevens worden verstrekt ten behoeve van civiele procedures.
Mogen de gegevens, gelet op de privacyrichtlijnen, überhaupt worden verstrekt?
In de procedure was zonder meer duidelijk dat het ging om persoonsgegevens, en dus dat het verstrekken daarvan onder de beide privacyrichtlijnen valt. De eerste relevante bepaling is dan artikel 5, eerste lid, van Richtlijn 2002/58. In deze bepaling, waaraan de Nederlandse wetgever uitvoering heeft gegeven in artikel 11.2 van de Telecommunicatiewet ("Tw"), staat dat de vertrouwelijkheid van internetgebruiksgegevens (zgn. verkeersgegevens) moeten worden gewaarborgd en dat deze gegevens niet zonder toestemming aan derden mogen worden verstrekt. Dit uitgangspunt wordt uitgewerkt in artikel 6 van dezelfde richtlijn, in Nederland geïmplementeerd in artikel 11.5 Tw. Op grond daarvan moeten de gegevens worden verwijderd als de internetaanbieder ze niet langer nodig heeft voor de levering of facturering van de elektronische communicatiedienst, waaronder mede begrepen het verstrekken van inlichtingen aan abonnees, het oplossen van geschillen tussen de aanbieder en de abonnee, de opsporing van fraude, het verkeersbeheer, en dergelijke. Een en ander omvat niet het verstrekken van de gegevens aan derden, zoals Promusicae, om deze te helpen bij het voeren van civiele procedures tegen abonnees.
Er zijn echter, zoals altijd, wel uitzonderingen op een en ander. In afwijking van voornoemde bepalingen stelt artikel 15, eerste lid, van de richtlijn dat de gegevens wél mogen worden bewaard en aan derden worden verstrekt als de gegevens nodig zijn ten behoeve van de nationale veiligheid, de landsverdediging en dergelijke. Daar heeft Promusicae echter niets aan. In het Lindqvist-arrest (Zaak C 101/01, Jurispr. p. I 12971) had het Hof al uitgemaakt dat deze uitzondering alléén ziet op specifieke activiteiten van staten, en uitdrukkelijk niet op die van particulieren.
Toch ziet het Hof, via een getrapte redenering, een mogelijkheid. In hetzelfde artikel 15 van Richtlijn 2002/58/EG wordt het dat nationale wetgevers ook toegestaan te bepalen dat de gegevens aan derden mogen worden verstrekt als dat nodig is voor onderzoek, opsporing en vervolging van strafbare feiten én het onbevoegd gebruik van elektronische communicatie. In dat verband verwijst dit artikel naar een bepaling uit de Privacyrichtlijn 96/46, te weten artikel 13, eerste lid, van Privacyrichtlijn 95/46/EG. Op grond van dit artikel, dat in Nederland is geïmplementeerd in artikel 43 van de Wet bescherming persoonsgegevens (WBP), kan gegevensverstrekking ook zijn toegestaan als dat nodig is voor de bescherming van rechten van anderen dan de betrokken abonnees. Het Hof redeneert vervolgens dat de gemeenschapswetgever via deze verwijzing naar artikel 13 het mogelijk heeft gemaakt dat de gegevens toch worden verstrekt aan particulieren, ten behoeve van het voeren van civiele procedures.
De door het Hof geformuleerde voorvraag of de privacyrichtlijnen überhaupt toestaan dat de gegevens aan derden worden verstrekt, wordt daarmee door hem bevestigend beantwoord.
Helemaal overtuigend vind ik deze redenering van het Hof niet. Het Hof veronderstelt kennelijk dat het voeren van civielrechtelijke procedures tegen mogelijke inbreukmakers valt onder ‘voorkomen, onderzoek, opsporing en vervolging van [..] onbevoegd gebruik van elektronische communicatie’. Het komt aannemelijk voor dat er in de situatie van Promusicae inderdaad sprake kan zijn van ‘onbevoegd gebruik van elektronische communicatie’. Veel minder vanzelfsprekend vind ik dat het voeren van civielrechtelijke procedures kan worden gebracht onder de noemer ‘voorkomen, onderzoek, opsporing en vervolging’. Deze bewoordingen duiden naar mijn gevoel op een strafrechtelijke context, en niet op de civielrechtelijke context waarbinnen Promusicae de gegevens wil gaan gebruiken. En daaraan gaat het Hof naar mijn smaak iets te gemakkelijk voorbij.
Moeten de gegevens worden verstrekt?
De eigenlijke vraag van de Spaanse rechter was of de lidstaten zouden moeten bepalen dat de gegevens aan auteursrechtbelangenorganisaties als Promusicae moeten worden verstrekt. Als kader voor de beantwoording van deze vraag noemt deze rechter de Richtlijn Elektronische handel 2000/31, de Auteursrechtrichtlijn 2001/29 en de Handhavingsrichtlijn 2004/48 alsmede artikel 17 en 47 van het Handvest.
Verschillende bepalingen in de genoemde richtlijnen verlangen dat de nationale wetgever voorziet in de rechtsmiddelen waarmee de bescherming van auteursrechten kan worden afgedwongen. Zo staat in artikel 8 van de Auteursrechtrichtlijn dat de lidstaten moeten voorzien in passende sancties en rechtsmiddelen met betrekking tot auteursrechtinbreuken. Ook moeten zij ervoor zorgen dat deze sancties en rechtsmiddelen daadwerkelijk kunnen worden toegepast.
Andere bepalingen uit de genoemde richtlijnen bieden nationale wetgevers verder de mogelijkheid om internetaanbieders te verplichten om daartoe gegevens te verstrekken aan rechthebbenden. Artikel 8 van de Handhavingsrichtlijn, in Nederland geïmplementeerd in artikel 28, negende lid, van de Auteurswet (Aw), stelt bijvoorbeeld dat de rechter kan gelasten dat informatie, waaronder abonneegegevens, over inbreukmakende goederen of diensten wordt verstrekt.
Het Hof loopt al deze bepalingen af en concludeert vervolgens dat geen daarvan zonder meer verlangt dat de door Promusicae gewenste gegevensverstrekkingsplicht in de wet wordt opgenomen. Het is, zo stelt het Hof, een kwestie van het vinden van het juiste evenwicht tussen enerzijds het recht op eerbiediging van de persoonlijke levenssfeer en anderzijds het recht op bescherming van intellectuele eigendom. Dit evenwicht moet worden gevonden binnen de kaders van de door de Spaanse rechter genoemde richlijnen én de privacyrichtlijn 2002/58/EG. Al deze richtlijnen laten een ruime beoordelingsmarge aan de nationale wetgever. En alle, ook de auteursrechtrichtlijnen, verlangen dat bij de afweging van de belangen oók rekening wordt gehouden met privacyrechten.
Anders dan Promusicae had gehoopt, en ook anders dan waarop de Spaanse rechter in zijn vraagstelling lijkt te hebben aangestuurd, is er dus geen sprake van dat nationale wetgevers gehouden zijn om te voorzien in de door Promusicae gewenste verplichting. De lidstaten zijn niet verplicht om te bepalen dat abonneegegevens aan auteursrechthebbenden worden verstrekt als er sprake is van een vermeende auteursrechtinbreuk. Het móet niet, maar het mág wel, zolang daarbij rekening wordt gehouden met mensenrechten en andere beginselen van het gemeenschapsrecht, zoals het evenredigheidsbeginsel. Aldus het Hof.
So, what else is new?
Verrassend is het oordeel van het Hof niet. Het gemeenschapsrecht beschermt zowel de privacybelangen van abonnees als de rechten van auteursrechthebbenden. En in de situatie waarin het éne met het andere in conflict komt moet een afweging worden gemaakt. Weinig nieuws onder de zon. In elk geval niet voor Nederland.
Er zijn in Nederland verschillende procedures geweest waarin auteursrechthebbenden, vaak met behulp van de Stichting Brein, via de rechter hebben geprobeerd van internetaanbieders gegevens te verkrijgen van de abonnees die auteursrechtinbreuk zouden hebben gemaakt. En hoewel niet in al deze procedures het privacybelang van de abonnees uitdrukkelijk werd meegewogen, [VOETNOOT1] kan uit het Lycos/Pessers-arrest (HR 25 november 2005 LJN AU4019) worden opgemaakt dat dit wél zou moeten, omdat de WBP dat verlangt. VOETNOOT2
In een recente brief aan de Kamer reageert de minister van Justitie op het arrest van het Hof.[VOETNOOT3] Het arrest geeft volgens hem geen aanleiding tot wijziging van beleid of wetgeving met betrekking tot bescherming van auteursrechten en andere rechten van intellectuele eigendom. Hij wijst daarbij op het hiervoor genoemde artikel 28, negende lid, Aw dat bepaalt dat de rechter in procedures over auteursrechtinbreuken op verzoek van de eiser kan opdragen dat abonneegegevens worden verstrekt. In zo een geval wordt ook het privacybelang van de vermeende inbreukmaker meegewogen.
Intussen, enkele jaren nadat de prejudiciële vraag werd gesteld, is het gemeenschapsrecht enigszins veranderd. De zgn. Data Retentie Richtlijn 2006/24 verlangt dat lidstaten aan internetaanbieders de verplichting opleggen om internetgebruiksgegevens- en andere verkeersgegevens gedurende tenminste 6 maanden en maximaal 24 maanden te bewaren, en dat om te verzekeren dat die gegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van ernstige criminaliteit. Deze gegevens mogen vervolgens, zo stelt deze richtlijn, alleen aan bevoegde nationale autoriteiten worden verstrekt. En dat alleen volgens procedures die door de lidstaten in wetgeving zijn vastgelegd, rekening houdend met relevante bepalingen van de Europese Unie of van internationaal recht, zoals het EVRM.
Deze richtlijn had, ook voor wat betreft de internetgebruiksgegevens, al enige tijd geleden in Nederland moeten zijn geïmplementeerd.[VOETNOOT4] Het wetsvoorstel (Kamerstukken 31 145) dat dit beoogt, zal zo goed als zeker niet voor de zomer inwerkingtreden. Een interessante vraag is of de gegevens die op grond van de nieuwe wet moeten worden bewaard, al dan niet aan rechthebbenden zouden mogen worden verstrekt in het kader van civiele procedures tegen vermeende inbreukmakers. Het komt mij voor dat de tekst van de Data Retentie Richtlijn daarvoor géén mogelijkheden biedt. Omdat auteursrechthebbenden dit waarschijnlijk anders zien, zou dit wel eens aanleiding kunnen zijn voor nieuwe procedures en wellicht nieuwe prejudiciële vragen.
Op deze tekst is een Creative Commons Licentie (by-nc-nd 2.5 Netherlands) van toepassing. Zie: http://creativecommons.org/licenses/by-nc-nd/2.5/nl.
* G-J Zwenne is redacteur van dit tijdschrift.
[VOETNOOT1] Een voorbeeld van een procedure waarin aan het privacy-belang niet of nauwelijks gewicht lijkt te zijn toegekend is Rechtbank ‘s-Gravenhage 5 januari 2007, LJN AZ5678.
[VOETNOOT2] Vgl. Rechtbank Amsterdam 21 juni 2006, LJNBA7810.
[VOETNOOT3] Brief aan de Vzr van de Tweede Kamer d.d. 20 maart jl., Kamerstukken II 2007/2008, 29383, nr. 7.
[VOETNOOT4] Veel lidstaten hebben hier gebruik gemaakt van de in artikel 15, derde lid, van de richtlijn geboden mogelijkheid om de implementatie van de verplichting voor internetgebruiksgegevens met 18 maanden uit te stellen, te rekenen vanaf 15 maart 2009. Om onduidelijke redenen heeft Nederland er evenwel voor gekozen voor een uitstel van ten hoogste 18 maanden, te rekenen de datum van de inwerkingtreding van de richtlijn, wat neerkomt op een uitstel van enige maanden. Volgens mijn berekening had Nederland deze verplichting uiterlijk begin november 2007 in nationale wetgeving moeten omzetten. Voorzover bekend is de Commissie nog geen infractieprocedure begonnen.
Sorry, the comment form is closed at this time.