Cloudprovider DigitalOcean EU hoeft geen gegevens te verstrekken van een klant die wordt verdacht van ddos-aanvallen tegen cloudprovider DeamVPS. Daarnaast kan het bedrijf niet worden gedwongen om maatregelen tegen de klant te nemen, zo heeft de voorzieningenrechter bepaald. Eind vorig jaar werd DigitalOcean EU via een verstekvonnis nog opgedragen deze beide zaken wel te doen.

De zaak speelt tussen cloudprovider DreamVPS en cloudprovider DigitalOcean EU. DreamVPS was eind vorig jaar het doelwit van ddos-aanvallen die via de infrastructuur van DigitalOcean afkomstig waren. Het bedrijf vroeg DigitalOcean EU om gegevens van de betreffende klant en vroeg om mitigatiemaatregelen te nemen. DigitalOcean Security besloot de gebruiker te blokkeren, maar DigitalOcean EU stelde dat het geen klantgegevens kan verstrekken.

De voorzieningenrechter stelde afgelopen november in een verstekvonnis dat DigitalOcean allerlei klantgegevens moest verstrekken, waaronder naam, adres, telefoonnummer, ip-adressen, serverlogs en gebruikte betaalmethodes. Daarnaast moest het bedrijf de gebruiker blokkeren. Als het bedrijf dit niet zou doen kon het een dwangsom krijgen die tot één miljoen euro kon oplopen. DigitalOcean EU maakte hier bezwaar tegen en heeft van de voorzieningenrechter nu gelijk gekregen, die het eerdere verstekvonnis vernietigde.

DigitalOcean EU is een dochtervennootschap van de Amerikaanse vennootschap DigitalOcean LLC, aan wie zij onderhoudsdiensten levert. DigitalOcean LLC is een provider van onder meer clouddiensten en (virtuele) servers. De provider biedt deze diensten zowel rechtstreeks aan eindafnemers aan, als aan ‘resellers’ die servercapaciteit bij DigitalOcean LLC afnemen, waarop zij diensten draaien die zij op hun beurt aan eindafnemers aanbieden.

DigitalOcean EU stelt dat zij zich alleen bezighoudt met ‘it servicing’ en dat zij niet bevoegd, noch in staat is om ddos-aanvallen op te sporen en tegen te gaan, of om gebruikers te blokkeren, of om klantgegevens van DigitalOcean LLC of haar resellers te raadplegen en te verstrekken. Volgens de rechter heeft DigitalOcean EU geen contracten met klanten van DigitalOcean LLC. DigitalOcean EU kan en mag feitelijk en juridisch niet voldoen aan het verstrekken van klantgegevens van DigitalOcean LLC, aldus de rechter.

Daarnaast kan DigitalOcean EU geen maatregelen tegen ddos-aanvallen nemen. DreamVPS stelde dat het bedrijf servers waar vanaf ddos-aanvallen plaatsvinden kan uitschakelen, maar dat is geen proportionele maatregel die DigitalOcean EU tegen een aanvaardbare prijs kan nemen, oordeelt de rechter. "Een bevel tot de verdergaande maatregel van het uitschakelen van een (fysieke) server door DigitalOcean EU zou het risico meebrengen dat bona fide gebruikers worden geblokkeerd. DigitalOcean EU riskeert daarmee aansprakelijkheid, door tekort te schieten in haar dienstverlening en mogelijk schade te veroorzaken." De rechter vernietigde dan ook het eerder uitgesproken verstekvonnis en veroordeelde DreamVPS tot het betalen van de proceskosten.