Patrick Breyer przed niemieckimi sądami sprzeciwił się temu, aby witryny internetowe niemieckich służb federalnych, które przegląda, rejestrowały i przechowywały jego adresy protokołów internetowych (adresy IP). Służby te rejestrują i przechowują adresy IP osób odwiedzających, aby zabezpieczyć się przed atakami cybernetycznymi i umożliwić ściganie karne.

Bundesgerichtshof - federalny trybunał sprawiedliwości w Niemczech - zwrócił się do Trybunału Sprawiedliwości z pytaniem, czy w tym kontekście „dynamiczne" adresy IP stanowią, wobec podmiotu prowadzącego witrynę internetową, dane osobowe i są zatem objęte ochroną przewidzianą dla takich danych.

Dynamiczny adres IP to adres IP, który zmienia się przy okazji każdego nowego połączenia z Internetem. W odróżnieniu od statycznych adresów IP, dynamiczne adresy IP nie umożliwiają powiązania – za pomocą publicznie dostępnych plików – danego komputera i fizycznego podłączenia do sieci wykorzystywanego przez dostawcę dostępu do Internetu. A zatem jedynie dostawca dostępu do Internetu P. Breyera dysponuje dodatkowymi informacjami koniecznymi do jego identyfikacji.

W środowym wyroku Trybunał odpowiedział przede wszystkim, że dynamiczny adres IP zarejestrowany przez „dostawcę usług medialnych online" (czyli przez podmiot prowadzący witrynę internetową, w niniejszym wypadku niemieckie służby federalne) przy okazji przeglądania witryny internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego podmiotu prowadzącego dane osobowe, gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby odwiedzającej, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu tej osoby.

Trybunał wskazał, że w Niemczech istnieją środki prawne umożliwiające dostawcy usług medialnych online zwrócenie się, w szczególności w przypadku ataków cybernetycznych, do właściwego organu, aby podjął on konieczne działania w celu uzyskania tych informacji od dostawcy dostępu do Internetu oraz w celu wszczęcia postępowania karnego.

Następnie Trybunał odpowiedział, że prawo Unii stoi na przeszkodzie uregulowaniu państwa członkowskiego, na podstawie którego dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika tych usług – w braku jego zgody – tylko wtedy, jeżeli takie gromadzenie i wykorzystywanie są konieczne do umożliwienia konkretnego skorzystania ze wspomnianych usług przez tego użytkownika i zafakturowania kosztów takiego korzystania, przy czym cel polegający na zapewnieniu ogólnej funkcjonalności tychże usług nie może uzasadniać korzystania z tych danych po zakończeniu przeglądania danych mediów.

Trybunał przypomniał, że zgodnie z prawem Unii przetwarzanie danych osobowych jest zgodne z prawem, między innymi, gdy jest ono konieczne dla realizacji potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osób trzecich, którym dane są ujawniane, z wyjątkiem sytuacji, gdy pierwszeństwo mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Trybunał podkreślił, że niemieckie służby federalne świadczące usługi medialne online mogą mieć uzasadniony interes w zapewnieniu, poza każdym konkretnym przypadkiem używania ich dostępnych publicznie witryn internetowych, ciągłości funkcjonalności tych witryn.

Wyrok w sprawie C-582/14 Patrick Breyer / Bundesrepublik Deutschland