Άραγε οι δυναμικές διευθύνσεις IP θεωρούνται προσωπικά δεδομένα και επιτρέπεται σε όσους επιδιώκουν να εκδώσουν επιστολές παύσης και διακοπής να προκαλούν σκόπιμα παραβιάσεις της προστασίας δεδομένων σε βιομηχανική κλίμακα, προκειμένου να εισπράττουν τέλη;
Η νομική διαμάχη σχετικά με τη δυναμική ενσωμάτωση των Google Fonts περνά στον επόμενο και καθοριστικό γύρο.
Το Ομοσπονδιακό Ακυρωτικό Δικαστήριο της Γερμανίας (BGH), με απόφαση που έλαβε πρόσφατα, ανέστειλε μια διαδικασία προκειμένου να υποβάλει τρία κεντρικά ερωτήματα στο Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ – EuGH) για την έκδοση προδικαστικής απόφασης.
Η υπόθεση με αριθμό φακέλου VI ZR 258/24 θα μπορούσε να σημάνει το τέλος για ένα επιχειρηματικό μοντέλο που κράτησε σε αγωνία χιλιάδες διαχειριστές ιστοσελίδων τα τελευταία χρόνια: τη συστηματική πρόκληση παραβιάσεων προστασίας δεδομένων με σκοπό τις μαζικές προειδοποιητικές επιστολές και αγωγές.
Το BGH εξηγεί: Ο εναγόμενος χρησιμοποίησε έναν web crawler (διαδικτυακό ανιχνευτή) «για να ελέγξει αυτοματοποιημένα πλήθος ιστοσελίδων σχετικά με τη δυναμική ενσωμάτωση των Google Fonts». Μεταξύ άλλων, πέτυχε «διάνα» και στην ιστοσελίδα του ενάγοντος.
Με τη βοήθεια ενός άλλου λογισμικού που αναπτύχθηκε ειδικά για αυτόν τον σκοπό, πραγματοποιήθηκε μια αυτοματοποιημένη επίσκεψη του εναγομένου στην ιστοσελίδα του ενάγοντος. Η δυναμική διεύθυνση IP που εκχωρήθηκε στον εναγόμενο κατά τη διαδικασία προωθήθηκε στην Google στις ΗΠΑ.
Το πρώτο ερώτημα, το οποίο καλείται να διασαφηνίσει το ΔΕΕ σύμφωνα με την παραπομπή της 28ης Αυγούστου που δημοσιεύθηκε εν τω μεταξύ, αφορά ένα θεμελιώδες ζήτημα της προστασίας δεδομένων: Πότε ακριβώς μια πληροφορία θεωρείται «δεδομένο προσωπικού χαρακτήρα» κατά την έννοια του Άρθρου 4 του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR/ΓΚΠΔ);
Το Εφετείο (Περιφερειακό Δικαστήριο του Αννόβερου) είχε προηγουμένως υποστηρίξει ότι η δυναμικά εκχωρημένη διεύθυνση IP στη συγκεκριμένη περίπτωση δεν αποτελούσε προσωπικό δεδομένο.
Ο λόγος: Ο αμερικανικός όμιλος Google δεν διαθέτει τα νομικά μέσα για να ταυτοποιήσει τον επισκέπτη με τη βοήθεια του παρόχου υπηρεσιών διαδικτύου του.
«Απώλεια ελέγχου» που προκλήθηκε σκόπιμα
Το BGH, ωστόσο, εκφράζει αμφιβολίες επ’ αυτού. Θέλει να μάθει αν ισχύει ένα «σχετικό κριτήριο». Σε αυτή την περίπτωση, θα είχε σημασία αν ο παραλήπτης των δεδομένων μπορεί κατ’ αρχήν να ταυτοποιήσει το πρόσωπο.
Αντίθετα, αν ισχύει ένα «αντικειμενικό κριτήριο», μια δυναμική διεύθυνση IP θα θεωρούνταν προσωπικό δεδομένο ακόμη και αν οποιοσδήποτε, όπως για παράδειγμα ο πάροχος διαδικτύου (ISP), μπορεί να συσχετίσει τη διεύθυνση με το πρόσωπο.
Εάν το ΔΕΕ ακολουθήσει αυτή την «αντικειμενική» προσέγγιση, ο πήχης για τις παραβιάσεις δεδομένων κατά τη διαβίβαση διευθύνσεων IP θα ήταν σημαντικά χαμηλότερος από ό,τι έχουν δεχτεί πολλά δικαστήρια μέχρι σήμερα.
Ακόμη πιο περίπλοκο είναι το δεύτερο ερώτημα της παραπομπής, το οποίο ασχολείται με την έννοια της μη υλικής ζημίας σύμφωνα με το Άρθρο 82 του ΓΚΠΔ. Μέχρι τώρα, τα δικαστήρια έβλεπαν συχνά στη ζημία μια «ακούσια απώλεια».
Στην προκειμένη περίπτωση, όμως, ο εναγόμενος προκάλεσε την παραβίαση συνειδητά και ενεργά, μόνο και μόνο για να την τεκμηριώσει και να διεκδικήσει οικονομική αποζημίωση.
Το BGH θέλει να μάθει αν μπορεί να υπάρξει μη υλική ζημία όταν το υποκείμενο των δεδομένων δεν παραχωρεί τον έλεγχο των δεδομένων του ακούσια, αλλά σκηνοθετεί σκόπιμα την «απώλεια ελέγχου».
Αυτό ισχύει ιδιαίτερα όταν τέτοιες παραβιάσεις προκαλούνται αυτοματοποιημένα σε μεγάλους αριθμούς. Το ΔΕΕ έχει τονίσει επανειλημμένα στο παρελθόν ότι η έννοια της ζημίας πρέπει να ερμηνεύεται διασταλτικά. Ωστόσο, εκκρεμεί ακόμη μια απάντηση στο ζήτημα της συνειδητής πρόκλησης.
Υπόδειξη για προβλήματα προστασίας δεδομένων;
Το τρίτο ερώτημα γεφυρώνει το χάσμα με την κατάχρηση δικαιώματος. Ακόμη και αν οι νομικοί επιβεβαίωναν την ύπαρξη παραβίασης και τυπικής ζημίας, μια αξίωση θα μπορούσε να αποκλειστεί βάσει της καλής πίστης.
Το BGH ζητά διευκρίνιση: Μπορεί να απορριφθεί μια αξίωση αποζημίωσης εάν το θιγόμενο πρόσωπο δημιούργησε τεχνητά τις προϋποθέσεις για αυτή την αξίωση προκειμένου να αποκομίσει οικονομικό όφελος;
Εδώ είναι καθοριστικό το αν η απόκτηση χρηματικού ποσού πρέπει να είναι το μοναδικό κίνητρο ή αν αρκεί το γεγονός ότι αυτό το οικονομικό συμφέρον βρισκόταν σαφώς στο προσκήνιο.
Το Εφετείο, στην ουσία της υπόθεσης, δεν μπόρεσε να αποκλείσει το ενδεχόμενο ο εναγόμενος να επιδίωκε ίσως και τον στόχο να επισημάνει προβλήματα προστασίας δεδομένων.
Σκεπτικισμός απέναντι στις μαζικές προειδοποιήσεις
Η απόφαση του ΔΕΕ αναμένεται να είναι καθοριστική για την ψηφιακή οικονομία. Από τη μία πλευρά, το ζήτημα είναι αν ο ΓΚΠΔ θα συνεχίσει να λειτουργεί ως αιχμηρό ξίφος για την προστασία της ιδιωτικής ζωής, σημειώνει ο δικηγόρος IT, Jens Ferner. Από την άλλη, πρέπει να αποφευχθεί το να εκφυλιστεί σε εργαλείο για βιομηχανίες αυτοματοποιημένων αγωγών.
Ενώ το Εφετείο χαρακτήρισε τη συμπεριφορά των εναγομένων ως ανήθικη εκ προθέσεως βλάβη (σύμφωνα με την παράγραφο 826 του γερμανικού Αστικού Κώδικα), καθώς οι αξιώσεις προκλήθηκαν σκόπιμα, το ΔΕΕ πρέπει τώρα να διαφωτίσει οριστικά την πτυχή του κοινοτικού δικαίου.
Για τους διαχειριστές ιστοσελίδων, η κατάσταση παραμένει αβέβαιη μέχρι την απόφαση από το Λουξεμβούργο, η οποία αναμένεται να εκδοθεί σε μερικούς μήνες ή χρόνια.
Ωστόσο, η παραπομπή του BGH σηματοδοτεί ότι οι δικαστές της Καρλσρούης αντιμετωπίζουν την πρακτική των μαζικών προειδοποιήσεων με σημαντικό σκεπτικισμό.
Η εποχή των εύκολων κερδών μέσω αυτοματοποιημένων επισκέψεων από crawler θα μπορούσε σύντομα να τελειώσει.
Ήδη από το 2016 το ΔΕΕ είχε αποφασίσει: Τα ψευδωνυμοποιημένα δεδομένα – όπως μια δυναμική διεύθυνση IP – δεν είναι αυτόματα ανώνυμα. Εφόσον υπάρχει η δυνατότητα ανάκτησης της ταυτότητας του προσώπου μέσω «πρόσθετων πληροφοριών», ο προσωπικός χαρακτήρας παραμένει.
Η κρίσιμη πτυχή εδώ είναι αν ο υπεύθυνος επεξεργασίας διαθέτει τα μέσα για την επαναταυτοποίηση. Αυτό περιλαμβάνει την επιλογή συνεργασίας με τρίτους, όπως παρόχους διαδικτύου ή αρχές.
Νομική και τεχνολογική Ανάλυση: Το φαινόμενο του “GDPR Trolling”
Η συγκεκριμένη υπόθεση αποτελεί την κορύφωση ενός φαινομένου που ξεκίνησε στη Γερμανία και την Αυστρία, αλλά έχει ευρύτερες προεκτάσεις για την εφαρμογή του GDPR σε όλη την Ευρώπη.
Για να κατανοήσουμε τη σημασία της, πρέπει να εξετάσουμε το ιστορικό, την τεχνική ουσία και το νομικό παράδοξο που καλείται να λύσει το Δικαστήριο της Ευρωπαϊκής Ένωσης.
Σπίθα: Η απόφαση του Μονάχου
Όλα ξεκίνησαν ουσιαστικά τον Ιανουάριο του 2022, όταν το Πρωτοδικείο του Μονάχου (υπόθεση 3 O 17493/20) επιδίκασε αποζημίωση 100 ευρώ σε έναν χρήστη επειδή μια ιστοσελίδα μετέφερε τη διεύθυνση IP του στην Google μέσω της χρήσης των Google Fonts.
Το δικαστήριο έκρινε ότι αυτή η διαβίβαση δεδομένων στις ΗΠΑ (χώρα που θεωρείται ότι δεν παρέχει επαρκές επίπεδο προστασίας δεδομένων) χωρίς τη συγκατάθεση του χρήστη ήταν παράνομη.
Αυτή η απόφαση άνοιξε τον ασκό του Αιόλου: δικηγορικά γραφεία και ιδιώτες είδαν μια ευκαιρία εύκολου πλουτισμού, δημιουργώντας αυτοματοποιημένα bots που σάρωναν το διαδίκτυο αναζητώντας ιστοσελίδες με αυτό το τεχνικό χαρακτηριστικό.
Η τεχνική λύση και το παράδοξο
Τεχνικά, το πρόλημα είναι απλό. Όταν ένας σχεδιαστής ιστοσελίδας επιλέγει να “φορτώσει” γραμματοσειρές απευθείας από τους servers της Google (αντί να τις φιλοξενήσει τοπικά στον δικό του server), ο browser του επισκέπτη στέλνει ένα αίτημα στην Google. Αυτό το αίτημα περιέχει αναγκαστικά τη διεύθυνση IP του επισκέπτη.
Το παράδοξο που εξετάζει το BGH έγκειται στον όρο της “προσδοκίας ιδιωτικότητας”. Ένας πραγματικός χρήστης επισκέπτεται μια σελίδα για να διαβάσει περιεχόμενο και αιφνιδιάζεται από την απώλεια δεδομένων. Ένα bot, όμως, προγραμματίζεται ακριβώς για να εντοπίσει και να προκαλέσει αυτή τη διαβίβαση.
Εδώ τίθεται το ζήτημα της κατάχρησης δικαιώματος (Abuse of Right): Μπορείς να επικαλεστείς παραβίαση της ιδιωτικότητάς σου όταν την προκάλεσες εσκεμμένα για να κερδίσεις χρήματα;
Η θεωρία της “Σχετικής” vs “Απόλυτης” προσέγγισης
Το ερώτημα προς το ΔΕΕ για το αν η IP είναι προσωπικό δεδομένο αναβιώνει τη συζήτηση της υπόθεσης Patrick Breyer (2016). Τότε, το ΔΕΕ είχε κρίνει ότι η IP είναι προσωπικό δεδομένο αν ο κάτοχός της μπορεί να ταυτοποιηθεί με νόμιμα μέσα (π.χ. μέσω εισαγγελικής παραγγελίας στον πάροχο).
Το BGH τώρα ρωτά ουσιαστικά: «Ισχύει αυτό ακόμη και όταν ο αποδέκτης (Google) δεν έχει κανένα έννομο συμφέρον ή νομικό τρόπο να ζητήσει τα στοιχεία από τον πάροχο για έναν απλό επισκέπτη;»
Αν το ΔΕΕ απαντήσει αρνητικά (υιοθετώντας τη «σχετική» θεωρία), τότε εκατομμύρια μικρο-παραβιάσεις στο διαδίκτυο θα πάψουν να θεωρούνται παραβιάσεις του GDPR, αλλάζοντας ριζικά το τοπίο της ψηφιακής ιδιωτικότητας.
Συμπέρασμα
Η υπόθεση αυτή είναι κρίσιμη γιατί θα καθορίσει αν ο GDPR θα παραμείνει ένα εργαλείο προστασίας των πολιτών ή αν θα επιτραπεί η εργαλειοποίησή του από “κυνηγούς αποζημιώσεων”, κάτι που θα μπορούσε να υπονομεύσει την αξιοπιστία του ίδιου του κανονισμού στα μάτια της κοινής γνώμης και των επιχειρήσεων.
