CONCLUSIE VAN ADVOCAAT-GENERAAL

N. JÄÄSKINEN

van 25 juni 2013 (1)

Zaak C‑131/12

Google Spain SL

Google Inc.

tegen

Agencia Española de Protección de Datos (AEPD)

Mario Costeja González

[verzoek van de Audiencia Nacional (Spanje) om een prejudiciële beslissing]

„World wide web – Persoonsgegevens – Internetzoekmachine – Gegevensbeschermingsrichtlijn 95/46/EG – Uitlegging van artikelen 2, sub b en d, 4, lid 1, sub a en c, 12, sub b, en 14, sub a – Territoriale werkingssfeer – Begrip ‚vestiging op het grondgebied van een lidstaat’ – Materiële werkingssfeer – Begrip ‚verwerking van persoonsgegevens’ – Begrip ‚verantwoordelijke voor de verwerking van persoonsgegevens’ – Recht op uitwissing en afscherming van gegevens – ‚Recht om te worden vergeten’ – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8, 11 en 16”

I –    Inleiding

1.        In 1890 beklaagden Samuel D. Warren en Louis D. Brandeis zich, in hun baanbrekende artikel in de Harvard Law Review, „The Right to Privacy”(2), erover dat „[r]ecente uitvindingingen en zakenmethoden” zoals „[d]e momentenfotografie en het krantenbedrijf de heilige domeinen van het privé- en gezinsleven zijn binnengevallen”. In hetzelfde artikel spraken zij van „de volgende te nemen stap ten behoeve van de bescherming van de persoon”.

2.        Vandaag de dag is het belang van de bescherming van persoonsgegevens en de persoonlijke levenssfeer alleen maar toegenomen. Iedere content die persoonsgegevens bevat, of dit nu in de vorm van tekst of van audiovisueel materiaal is, kan in digitale vorm onmiddellijk en blijvend wereldwijd toegankelijk worden gemaakt. Het internet heeft een revolutie in ons leven teweeggebracht door de technische en institutionele belemmeringen voor de verspreiding en ontvangst van informatie weg te nemen, en heeft een platform gecreëerd voor verschillende diensten van de informatiemaatschappij, waarvan zowel consumenten en bedrijven als de samenleving in het algemeen profiteren. Dit heeft aanleiding gegeven tot het ontstaan van ongekende situaties, waarin een evenwicht moet worden gevonden tussen verschillende grondrechten als de vrijheid van meningsuiting, de vrijheid van informatie en de vrijheid van ondernemerschap enerzijds, en de bescherming van persoonsgegevens en de persoonlijke levenssfeer anderzijds.

3.        In de context van het internet zijn drie situaties te onderscheiden waarbij persoonsgegevens aan de orde zijn. De eerste is de openbaarmaking van persoonsgegevens op enige webpagina op het internet(3) (hierna: „bronpagina”)(4); de tweede situatie doet zich voor wanneer een internetzoekmachine zoekresultaten toont die de internetgebruiker naar de bronpagina voeren, en in de derde, minder zichtbare situatie voert een internetgebruiker met gebruik van een internetzoekmachine een zoekactie uit, waarbij sommige van zijn persoonsgegevens, zoals het IP-adres waarvandaan de zoekactie wordt verricht, automatisch worden doorgegeven naar de aanbieder van de internetzoekmachine.(5)

4.        Wat de eerste situatie betreft, heeft het Hof in het arrest Lindqvist reeds geoordeeld dat richtlijn 95/46/EG(6) (hierna: „gegevensbeschermingsrichtlijn” of „richtlijn”) hierop van toepassing is. De derde situatie is in de onderhavige zaak niet aan de orde. Wel zijn nationale gegevensbeschermingautoriteiten administratieve procedures begonnen teneinde te bepalen in hoeverre de Unieregels inzake gegevensbescherming van toepassing zijn op de gebruikers van internetzoekmachines.(7)

5.        De onderhavige verwijzing heeft betrekking op de tweede situatie. De verwijzing is gedaan door de Audiencia Nacional (het hoogste gerechtshof van Spanje) in een geding tussen Google Spain, S.L. en Google, Inc. (zowel afzonderlijk als tezamen hierna: „Google”) enerzijds en de Agencia Española de Protección de Datos (hierna: „AEPD”) en Mario Costeja González (hierna: „betrokkene”) anderzijds. Het geding betreft de toepassing van de gegevensbeschermingsrichtlijn op een internetzoekmachine die Google als dienstverlener exploiteert. In het hoofdgeding staat vast dat een Spaans dagblad bepaalde persoonsgegevens van de betrokkene heeft gepubliceerd in twee gedrukte edities daterend uit 1998, die later beide in elektronische vorm opnieuw voor het publiek toegankelijk zijn gemaakt. De betrokkene is thans van mening dat deze informatie niet langer getoond moet worden in de zoekresultaten die verschijnen na een zoekactie op basis van zijn voor- en achternaam in de internetzoekmachine van Google.

6.        De aan het Hof voorgelegde prejudiciële vragen vallen in drie groepen uiteen.(8) De eerste groep heeft betrekking op de territoriale werkingssfeer van de Unieregels inzake gegevensbescherming. De tweede groep richt zich op vraagstukken verband houdend met de rechtspositie van de aanbieder van een internetzoekmachine(9) in het licht van de richtlijn, met name vanuit het oogpunt van de materiële werkingssfeer ervan. De derde vraag ten slotte, betreft het zogenoemde recht om vergeten te worden en het vraagstuk of betrokkenen kunnen verzoeken dat sommige of alle hen betreffende zoekresultaten niet langer toegankelijk zijn via de zoekmachine. Al deze vragen, die ook belangrijke aspecten van de bescherming van grondrechten aanroeren, zijn nieuw voor het Hof.

7.        Dit lijkt de eerste zaak te zijn waarin een beroep op het Hof wordt gedaan om de richtlijn uit te leggen in de context van internetzoekmachines, een actueel vraagstuk voor nationale gegevensbeschermingsautoriteiten en rechters in de lidstaten. Zo heeft de verwijzende rechter aangegeven dat een aantal vergelijkbare zaken bij hem aanhangig zijn.

8.        De belangrijkste zaak tot nog toe waarin het Hof vraagstukken van gegevensbescherming en het internet moest beantwoorden, was de zaak Lindqvist(10), die echter geen betrekking had op internetzoekmachines. De richtlijn zelf is al in een aantal arresten uitgelegd, waarvan de arresten Österreichischer Rundfunk e.a.(11), Satakunnan Markkinapörssi en Satamedia(12) en Volker und Markus Schecke en Eifert(13) in het bijzonder relevant zijn. Het Hof heeft de rol van internetzoekmachines in relatie tot intellectuele‑eigendomsrechten en de rechterlijke bevoegdheid behandeld in zijn arresten Google France en Google, Portakabin, L’Oréal e.a., Interflora en Interflora British Unit en Wintersteiger.(14)

9.        Sinds de vaststelling van de richtlijn is een bepaling over de bescherming van persoonsgegevens opgenomen in artikel 16 VWEU en in artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”). Bovendien heeft de Commissie in 2012 een voorstel ingediend voor een algemene verordening inzake de gegevensbescherming(15) ter vervanging van de richtlijn. Het onderhavige geschil zal evenwel op basis van het geldende recht beoordeeld moeten worden.

10.      Bij de onderhavige prejudiciële verwijzing speelt een rol dat ten tijde van de indiening van het commissievoorstel voor de richtlijn in 1990, het internet in de hier gebruikte betekenis van world wide web nog niet bestond en zoekmachines evenmin. Ten tijde van de vaststelling van de richtlijn in 1995 stond het internet nog in de kinderschoenen en verschenen juist de eerste rudimentaire zoekmachines, maar niemand kon voorzien wat een ingrijpende revolutie dit voor de wereld zou betekenen. Nu geldt voor bijna iedereen die met een smartphone of een computer het internet bezoekt, dat de richtlijn op diens activiteiten van toepassing geacht zou kunnen worden.

II – Juridisch kader

A –    De gegevensbeschermingsrichtlijn

11.      Artikel 1 van de richtlijn legt de lidstaten de verplichting op om in verband met de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun recht op persoonlijke levenssfeer, overeenkomstig de bepalingen van de richtlijn te beschermen.

12.      Artikel 2 definieert onder meer de begrippen „persoonsgegevens” en „betrokkene”, „verwerking van persoonsgegevens”, „voor de verwerking verantwoordelijke” en „derde”.

13.      Volgens artikel 3 is de richtlijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede, onder bepaalde voorwaarden, op de niet-geautomatiseerde verwerking daarvan.

14.      Volgens artikel 4, lid 1, past een lidstaat zijn nationale, ter uitvoering van de richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens wanneer de voor de verwerking verantwoordelijke een vestiging heeft op zijn grondgebied, of wanneer de verantwoordelijke niet gevestigd is in de Unie maar voor de verwerking van persoonsgegevens gebruikmaakt van middelen die zich op het grondgebied van genoemde lidstaat bevinden.

15.      Artikel 12 van de richtlijn verleent de betrokkenen een „recht van toegang” tot persoonsgegevens die door de voor de verwerking verantwoordelijke zijn verwerkt, en artikel 14 een „recht van verzet” tegen de verwerking van persoonsgegevens in bepaalde situaties.

16.      Artikel 29 van de richtlijn stelt een onafhankelijke raadgevende groep in, die onder meer bestaat uit de gegevensbeschermingsautoriteiten van de lidstaten (hierna: „groep gegevensbescherming artikel 29”).

B –    Nationaal recht

17.      De richtlijn is omgezet in Spaans recht bij organieke wet nr. 15/1999 inzake gegevensbescherming.(16)

III – Feiten en prejudiciële vragen

18.      Begin 1998 publiceerde een Spaans dagblad met een grote oplage in zijn papieren editie twee aankondigingen van een openbare verkoop van onroerend goed in het kader van een beslag wegens socialezekerheidsschulden, waarin de betrokkene als eigenaar werd vermeld. Later publiceerde de uitgever op het internet een elektronische versie van het dagblad.

19.      In november 2009 wendde betrokkene zich tot de uitgever van het dagblad en stelde dat na invoering van zijn voor- en achternamen in de zoekmachine van Google, een verwijzing verscheen naar de krantenpagina’s waarop de executoriale verkoop werd aangekondigd. Hij betoogde dat het beslag wegens zijn socialezekerheidsschulden al jaren geleden was opgeheven en geen actualiteitswaarde meer had. De uitgever antwoordde dat zijn gegevens niet zouden worden verwijderd, aangezien de publicatie op last van het ministerie van Arbeid en Sociale Zaken had plaatsgevonden.

20.      In februari 2010 nam de betrokkene contact op met Google Spain met het verzoek ervoor te zorgen dat de zoekresultaten van Google’s zoekmachine na invoering van zijn voor- en achternamen geen links naar het dagblad zouden tonen. Google Spain verwees betrokkene door naar Google Inc., gevestigd in Californië (Verenigde Staten), omdat deze onderneming volgens haar de aanbieder van de internetzoekdienst was.

21.      De betrokkene heeft vervolgens een klacht ingediend bij de AEPD met het verzoek dat de uitgever zou worden verplicht om de publicatie te verwijderen of zodanig te wijzigen dat zijn persoonsgegevens niet werden getoond, dan wel om met behulp van de door zoekmachines geboden instrumenten zijn persoonlijke gegevens te beschermen. Ook verzocht hij de AEPD, Google Spain of Google Inc. te gelasten zijn gegevens te verwijderen of af te schermen, zodat deze niet langer in de zoekresultaten werden getoond met links naar het dagblad.

22.      Bij besluit van 30 juli 2010 verklaarde de directeur van de AEPD de klacht van betrokkene tegen Google Spain en Google Inc. gegrond en beval hen de nodige maatregelen te nemen om de gegevens uit hun index te verwijderen en de toegang daartoe in de toekomst onmogelijk te maken. De klacht tegen de uitgever wees hij daarentegen af, op de grond dat publicatie van de gegevens in de pers een wettelijke grondslag had. Google Inc. en Google Spain zijn tegen dat besluit van de AEPD opgekomen bij de verwijzende rechter en vorderen de nietigverklaring ervan.

23.      De nationale rechter heeft de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen voorgelegd:

„1)      Met betrekking tot de territoriale werkingssfeer van [de richtlijn] en bijgevolg van de Spaanse wetgeving inzake gegevensbescherming:

a)      Moet worden aangenomen dat er sprake is van ,vestiging’ in de zin van artikel 4, lid 1, sub a, van [de richtlijn] in een of meerdere van de volgende gevallen:

–      wanneer de exploitant van een zoekmachine in een lidstaat een kantoor of dochtermaatschappij opricht ten behoeve van de promotie en verkoop van advertentieruimte op de zoekmachine die zijn activiteiten richt op de inwoners van die lidstaat,

of

–      wanneer de moedermaatschappij een dochtermaatschappij in die lidstaat aanwijst als haar vertegenwoordigster en verantwoordelijke voor de verwerking van twee concrete bestanden met de gegevens van de klanten die reclameovereenkomsten met die onderneming hebben gesloten,

of

–      wanneer het kantoor of de dochtermaatschappij gevestigd in een lidstaat, verzoeken en sommaties van zowel betrokkenen als de bevoegde autoriteiten voor de handhaving van het recht van gegevensbescherming doorzendt aan de moedermaatschappij, die buiten de Europese Unie is gevestigd, ook al is die samenwerking vrijwillig?

b)      Moet artikel 4, lid 1, sub c, van [de richtlijn] aldus worden uitgelegd dat er sprake is van ,gebruikmaking van middelen die zich op het grondgebied van genoemde lidstaat bevinden’,

–      wanneer een zoekmachine gebruikmaakt van spiders of robots voor het lokaliseren en indexeren van gegevens op internetpagina’s die zich op servers in die lidstaat bevinden, of

–      wanneer deze een bij die lidstaat behorende domeinnaam gebruikt en de zoekopdrachten en resultaten stuurt aan de hand van de taal van die lidstaat?

c)      Kan de tijdelijke opslag van de door internetzoekmachines geïndexeerde informatie worden aangemerkt als gebruikmaking van middelen in de zin van artikel 4, lid 1, sub c, van [de richtlijn]? Zo ja, kan dit aanknopingscriterium dan als vervuld worden beschouwd wanneer de onderneming op grond van concurrentieoverwegingen weigert de plaats aan te geven waar zij deze indexen opslaat?

d)      Los van het antwoord op de voorgaande vragen en met name voor het geval dat het [Hof] meent dat niet is voldaan aan de aanknopingscriteria van artikel 4 van de richtlijn:

Moet [de richtlijn], in het licht van artikel 8 van het Europees Handvest van de grondrechten, worden toegepast in de lidstaat waar zich het zwaartepunt van het geschil bevindt en waar een meer doeltreffend toezicht op de rechten van de burgers van de Europese Unie mogelijk is?

2)      In verband met de activiteit van de zoekmachines als leveranciers van content met betrekking tot [de richtlijn]:

a)      Met betrekking tot de activiteit van de zoekmachine van de onderneming ,Google’ op internet, als leverancier van content, bestaande in het lokaliseren van door derden op internet gepubliceerde of opgeslagen gegevens, het automatisch indexeren ervan, het tijdelijk opslaan ervan en ten slotte het ter beschikking stellen ervan aan internetgebruikers in een bepaalde volgorde, wanneer die informatie persoonsgegevens van derden bevat, moet een activiteit als hierboven omschreven worden geacht te vallen onder het begrip ‚verwerking van gegevens’ in artikel 2, sub b, van [de richtlijn]?

b)      Indien het antwoord op de voorgaande vraag bevestigend luidt, en nog steeds in verband met een activiteit als boven omschreven:

Moet artikel 2, sub d, van [de richtlijn] aldus worden uitgelegd dat de onderneming die de Google-zoekmachine exploiteert, de ,voor de verwerking verantwoordelijke’ is met betrekking tot de persoonsgegevens op de internetpagina’s die zij indexeert?

c)      Indien het antwoord op de voorgaande vraag bevestigend luidt:

Kan de toezichthoudende autoriteit (in dit geval de [AEPD]) ter bescherming van de rechten van de artikelen 12, sub b, en 14, sub a, van [de richtlijn] zich rechtstreeks tot de exploitant van de zoekmachine van de onderneming ,Google’ richten en verlangen dat zij door derden gepubliceerde gegevens uit haar bestanden verwijdert, zonder zich eerst of tegelijkertijd te wenden tot de houder van de internetpagina waarop zich die informatie bevindt?

d)      Indien het antwoord op deze laatste vraag bevestigend luidt:

Vervalt de verplichting van de exploitant van de zoekmachine om deze rechten te beschermen wanneer de informatie waarin de persoonsgegevens zijn opgenomen, door derden rechtmatig is gepubliceerd en op de oorspronkelijke internetpagina blijft gehandhaafd?

3)      Met betrekking tot de omvang van het recht op verwijdering en/of het recht van verzet in verband met het recht om te worden vergeten, wordt de volgende vraag voorgelegd:

Moet het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, en het recht van verzet als bedoeld in artikel 14, sub a, van [de richtlijn] aldus worden uitgelegd dat de betrokkene zich tot de exploitant van de zoekmachine kan wenden teneinde de indexering van zijn persoon betreffende gegevens te verhinderen die op internetpagina’s van derden zijn gepubliceerd, daarbij als zijn wens te kennen gevend dat deze informatie niet bekend wordt bij internetgebruikers wanneer deze hem naar zijn mening kan benadelen, of vergeten wordt, hoewel het om door derden rechtmatig gepubliceerde informatie gaat?”

24.      Google, de Spaanse, de Griekse, de Oostenrijkse en de Poolse regering alsmede de Europese Commissie hebben schriftelijke opmerkingen ingediend. Met uitzondering van de Poolse regering waren alle, evenals de betrokkene, vertegenwoordigd ter terechtzitting van 26 februari 2013 waar zij in hun pleidooien zijn gehoord.

IV – Opmerkingen vooraf

A –    Inleidende opmerkingen

25.      Het centrale vraagstuk in de onderhavige zaak is hoe de rol van aanbieders van een internetzoekmachine dient te worden opgevat in het licht van de bestaande regelingen van de Unie inzake gegevensbescherming, en met name de richtlijn. Ik acht het daarom zinvol om te beginnen met enkele opmerkingen over de ontwikkeling van de gegevensbescherming, het internet en de internetzoekmachines.

26.      Toen de onderhandelingen over de richtlijn in gang waren en deze in 1995 werd vastgesteld(17), werd daaraan een brede materiële werkingssfeer toegekend. Hiermee werd beoogd aan te sluiten bij technologische ontwikkelingen waardoor gegevens op een meer gedecentraliseerde schaal konden worden verwerkt dan mogelijk was bij de op traditionele gecentraliseerde gegevensbanken gebaseerde bestandssystemen, en die tevens nieuwe typen persoonsgegevens (zoals beelden) alsook nieuwe verwerkingsmethoden (zoals zoekmogelijkheden in teksten) omvatten.(18)

27.      In 1995 was algemene toegang tot het internet een nieuw verschijnsel. Inmiddels, bijna twintig jaar later, heeft een ware explosie plaatsgevonden in de omvang van gedigitaliseerd, online beschikbaar materiaal. De toegang tot dit materiaal, evenals de raadpleging en verspreiding ervan door middel van de sociale media is eenvoudig, zoals ook het downloaden ervan op diverse toestellen, zoals tablets, smartphones en laptopcomputers. Het is echter duidelijk dat de ontwikkeling van het internet tot een alomvattende wereldwijde informatievoorraad die universeel toegankelijk is en door iedereen doorzocht kan worden, niet was voorzien door de communautaire wetgever.

28.      Aan de wortel van de onderhavige prejudiciële verwijzing ligt de voorheen ongekende wijze waarop het internet de verspreiding van informatie heeft vergemakkelijkt en versterkt.(19) Zoals de uitvinding van de boekdrukkunst in de 15e eeuw de vervaardiging van een onbeperkt aantal afschriften mogelijk maakte, terwijl deze voorheen met de hand moesten worden gekopieerd, maakt het laden van materiaal op het internet op massale schaal informatie toegankelijk die voorheen wellicht na lang en moeizaam zoeken op een beperkt aantal fysieke locaties te vinden was. Universele toegang tot informatie op het internet is overal mogelijk, met uitzondering van die landen waar de autoriteiten met allerlei technische middelen (zoals elektronische barrières) de toegang tot het internet hebben beperkt of waar de toegang tot telecommunicatiemiddelen onder controle staat of schaars is.

29.      Door deze ontwikkelingen is de potentiële werkingssfeer van de richtlijn in de huidige tijd verrassend ruim geworden. We hoeven ons maar een hoogleraar Europees recht voor te stellen die vanaf de website van het Hof de belangrijkste rechtspraak daarvan op zijn laptop heeft geladen. In termen van de richtlijn kan de hoogleraar beschouwd worden als een „verantwoordelijke” voor de verwerking van persoonsgegevens die van een derde afkomstig zijn. De hoogleraar heeft materiaal in zijn bezit waarin persoonsgegevens voorkomen die automatisch verwerkt worden om binnen de context van activiteiten die niet uitsluitend persoonlijk of huishoudelijk van aard zijn, te worden doorzocht en geraadpleegd. In feite houdt iedereen die tegenwoordig een dagblad leest op een tablet-computer, of de sociale media bijhoudt op een smartphone, zich bezig met de geautomatiseerde verwerking van persoonsgegevens en kan daarom potentieel onder de werkingssfeer van de richtlijn vallen voor zover hij dit niet in een zuiver particuliere hoedanigheid doet.(20) Daar komt bij dat de ruime uitlegging die het Hof in het kader van de gegevensbescherming heeft gegeven aan het grondrecht op eerbiediging van het privéleven, alle menselijke communicatie langs elektronische weg lijkt bloot te stellen aan een toetsing in het licht van dit recht.

30.      Gezien de technologische ontwikkeling kunnen de ruime definities van „persoonsgegevens”, „verwerking van persoonsgegevens” en „voor de verwerking verantwoordelijke” in de huidige omstandigheden een ongekend breed gamma van nieuwe feitelijke situaties bestrijken. Veel, zo niet de meeste, websites en de daar toegankelijk gemaakte bestanden bevatten immers persoonsgegevens, zoals namen van levende natuurlijke personen. Dit dwingt het Hof tot een redelijkheidstoetsing – met andere woorden: tot toepassing van het evenredigheidsbeginsel – bij de uitlegging van de werkingssfeer van de richtlijn teneinde onredelijke en buitensporige juridische consequenties te voorkomen. Deze gematigde benadering heeft het Hof reeds toegepast in zijn arrest Lindqvist, waarin het een uitlegging verwierp die zou hebben geleid tot een onredelijk ruime werkingssfeer van artikel 25 van de richtlijn wat de doorgifte van persoonsgegevens naar derde landen met gebruik van internet betreft.(21)

31.      In de onderhavige zaak zal daarom een juist, redelijk en evenredig evenwicht moeten worden gevonden tussen de bescherming van persoonsgegevens, een consistente uitlegging van de doelstellingen van de informatiemaatschappij en de gerechtvaardigde belangen van marktdeelnemers en internetgebruikers in het algemeen. Hoewel de richtlijn sinds de vaststelling ervan in 1995 niet is gewijzigd, is de toepassing ervan op nieuwe situaties onvermijdelijk gebleken. Het gebied waar recht en nieuwe technologieën elkaar ontmoeten is complex. De adviezen van de groep gegevensbescherming artikel 29 bieden in dit opzicht bijzonder nuttige analyses.(22)

B –    Internetzoekmachines en gegevensbescherming

32.      Bij de bespreking van de juridische situatie rond internetzoekmachines vanuit het oogpunt van de regels inzake gegevensbescherming is het volgende van belang.(23)

33.      Ten eerste genereert een internetzoekmachine, in de meest eenvoudige vorm daarvan, in beginsel geen nieuwe autonome content. In die meest eenvoudige vorm geeft zij enkel aan waar reeds bestaande, door derden op het internet geplaatste content kan worden gevonden door een hyperlink te bieden naar de website die de zoektermen bevat.

34.      Ten tweede zijn de door een internetzoekmachine getoonde zoekresultaten niet gebaseerd op een op dat moment uitgevoerde zoekactie van het gehele world wide web, maar worden zij verzameld uit reeds eerder door de zoekmachine verwerkte content. De internetzoekmachine heeft deze content namelijk opgehaald van bestaande websites en vervolgens op haar eigen apparatuur gekopieerd, geanalyseerd en geïndexeerd. Dit materiaal omvat persoonlijke gegevens indien een bronpagina die bevat.

35.      Ten derde tonen internetzoekmachines dikwijls, om de resultaten meer gebruikersvriendelijk te maken, ook aanvullende content naast de link naar de oorspronkelijke website. Dit kunnen tekstfragmenten zijn, audiovisuele content of zelfs een weergave van de bronpagina’s. Deze informatie in de vorm van een „preview” kan zich althans gedeeltelijk op de apparatuur van de aanbieder van de internetzoekmachine bevinden, en hoeft dus niet rechtstreeks afkomstig te zijn van de oorspronkelijke website. Met andere woorden, de aanbieder van de zoekdienst is in feite de houder van de aldus getoonde informatie.

C –    Regeling van internetzoekmachines

36.      De Europese Unie kent grote betekenis toe aan de ontwikkeling van de informatiemaatschappij. In dit verband is ook de rol van informatiemaatschappijtussenpersonen aan de orde gekomen. Zulke tussenpersonen fungeren als bruggenbouwers tussen aanbieders van content en de gebruikers van internet. De specifieke rol van tussenpersonen is onder meer erkend in de onderhavige richtlijn (punt 47 van de considerans), in richtlijn 2000/31 inzake elektronische handel(24) (artikel 21, lid 2, en punt 18 van de considerans ervan), alsmede in advies 1/2008 van de groep gegevensbescherming artikel 29. De rol van de aanbieders van internetdiensten werd van cruciaal belang geacht voor de informatiemaatschappij, en hun aansprakelijkheid voor de van derden afkomstige content die zij doorgeven en/of opslaan is beperkt om hun legitieme activiteiten te vergemakkelijken.

37.      De rol en de juridische positie van de aanbieder van een internetzoekmachine is in de Uniewetgeving niet uitdrukkelijk geregeld. „Informatiezoekinstrumenten” worden „langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten verricht” en vormen als zodanig een dienst van de informatiemaatschappij die instrumenten levert om het zoeken naar, de toegang tot en het verkrijgen van gegevens mogelijk te maken. Aanbieders van een internetzoekmachine als Google, die hun dienst verrichten zonder daarvoor door de internetgebruikers betaald te worden, vallen als zodanig echter buiten de werkingssfeer van richtlijn 2000/31 inzake de elektronische handel.(25)

38.      Het is desondanks nodig hun positie te onderzoeken vanuit het oogpunt van de rechtsbeginselen die ten grondslag liggen aan de beperkingen van de aansprakelijkheid van verleners van internetdiensten. Met andere woorden: in hoeverre komen de activiteiten van een aanbieder van een internetzoekmachine, vanuit het oogpunt van aansprakelijkheidsbeginselen, overeen met de diensten die worden opgesomd in richtlijn 2000/31 inzake elektronische handel (overdracht, opslag in het cachegeheugen, hosting) of met de dienst van doorgifte genoemd in punt 47 van de considerans van de onderhavige richtlijn, en in hoeverre wordt de aanbieder van een internetzoekmachine zelf beschouwd als aanbieder van content?

D –     De rol en aansprakelijkheid van uitgevers van bronpagina’s

39.      Volgens het Hof in het arrest Lindqvist „moet het plaatsen van persoonsgegevens op een internetpagina als [verwerking van persoonsgegevens] worden aangemerkt”.(26) Het Hof merkte bovendien op dat „het plaatsen van informatie op een internetpagina volgens de thans toegepaste technische en elektronische procedures betekent, dat die pagina wordt geüploaded op een server en dat de nodige handelingen worden verricht om die pagina toegankelijk te maken voor degenen die een internetverbinding hebben gemaakt. Die handelingen worden ten minste gedeeltelijk geautomatiseerd verricht.” Het stelde vast dat „het vermelden van verschillende personen op een internetpagina met hun naam of anderszins [...], als een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 3, lid 1, van [de richtlijn] is aan te merken”.

40.      Hieruit volgt dat iemand die bronpagina’s waarop persoonlijke gegevens worden vermeld op het web plaatst (hierna: „uitgever”), een voor de verwerking van persoonsgegevens verantwoordelijke in de zin van de richtlijn is. In die hoedanigheid is de uitgever gebonden aan alle verplichtingen die de richtlijn aan zodanige verantwoordelijken oplegt.

41.      Bronpagina’s worden bewaard op hostservers die zijn verbonden met het internet. De uitgever van een bronpagina kan daarin zogeheten „exclusion codes” (hierna: „uitsluitingscodes”)(27) opnemen, die zijn gericht op de internetzoekmachines. Uitsluitingscodes verzoeken zoekmachines om een webpagina niet te indexeren, op te slaan of bij de zoekresultaten te tonen.(28) Met deze codes geeft de uitgever aan, niet te willen dat bepaalde informatie op de bronpagina door een zoekmachine wordt opgepakt teneinde verder te worden verspreid.

42.      De uitgever heeft dus technisch gesproken de mogelijkheid om op zijn webpagina uitsluitingscodes op te nemen waardoor de indexering en archivering van die pagina wordt beperkt, en zo een verhoogde bescherming van persoonsgegevens te bereiken. In het uiterste geval kan de uitgever de pagina terugnemen van de hostserver, deze na verwijdering van de ongewenste persoonsgegevens opnieuw publiceren en dan verzoeken om bijwerking van de in de cachegeheugens van zoekmachines opgeslagen pagina.

43.      De persoon die een bepaalde content op een bronpagina openbaar maakt, is in zijn hoedanigheid van verantwoordelijke voor de verwerking aansprakelijk voor de op die pagina gepubliceerde persoonsgegevens, en die persoon kan zijn verplichtingen in dat verband op een aantal manieren vervullen. Deze kanalisering van de juridische aansprakelijkheid is in overeenstemming met de beginselen die gelden voor de aansprakelijkheid van uitgevers in de sfeer van de traditionele media.(29)

44.      Deze aansprakelijkheid van de uitgever vormt echter geen waarborg dat problemen van gegevensbescherming slechts kunnen worden opgelost door zich tot de voor de bronpagina verantwoordelijke persoon te wenden. Zoals de verwijzende rechter heeft opgemerkt, is het mogelijk dat dezelfde persoonsgegevens zijn gepubliceerd op een ontelbaar aantal pagina’s, zodat het traceren en benaderen van alle betrokken uitgevers moeilijk of zelfs ondoenlijk is. Bovendien is het mogelijk dat de uitgever in een derde land gevestigd is en dat de webpagina’s in kwestie buiten de werkingssfeer van de Unieregels inzake gegevensbescherming vallen. Ook kunnen er juridische belemmeringen zijn, zoals in de onderhavige zaak waarin de handhaving van de originele publicatie op het internet rechtmatig werd geoordeeld.

45.      In werkelijkheid staat of valt de universele toegankelijkheid van de informatie op het internet met het bestaan van zoekmachines, omdat het achterhalen van relevante informatie zonder deze zoekmachines te omslachtig en te lastig zou zijn, en aanmerkelijk minder resultaten zou opleveren. Zoals de verwijzende rechter terecht opmerkt, was vroeger een bezoek aan de archieven van de krant nodig om informatie te verkrijgen over aankondigingen van een gedwongen verkoop van goederen van de betrokkene. Deze informatie kan thans worden verkregen door zijn naam in te typen in een internetzoekmachine, waardoor de verspreiding van zulke gegevens aanzienlijk efficiënter wordt en tegelijkertijd onaangenamer voor de betrokkene. Internetzoekmachines kunnen worden gebruikt om tamelijk gedetailleerde profielen van personen op te stellen door hun persoonlijke gegevens op te zoeken en te verzamelen. Het was juist de vrees voor zulke individuele profielen die de aanzet vormde voor de ontwikkeling van de moderne wetgeving inzake gegevensbescherming.(30)

46.      Het is daarom van belang aandacht te besteden aan de aansprakelijkheid van aanbieders van een internetzoekmachine ten aanzien van persoonsgegevens die zijn gepubliceerd op bronpagina’s van een derde waartoe die zoekmachines toegang geven. Anders gezegd, het Hof wordt hier gesteld voor het vraagstuk van „secundaire aansprakelijkheid” van deze categorie aanbieders van diensten van de informatiemaatschappij, analoog aan het vraagstuk dat in zijn rechtspraak aan de orde kwam op het gebied van handelsmerken en elektronische marktplaatsen.(31)

E –    Activiteiten van een aanbieder van een internetzoekmachine

47.      Een aanbieder van een internetzoekmachine kan allerlei soorten activiteiten ontplooien. De aard van die activiteiten en de beoordeling daarvan vanuit een oogpunt van gegevensbescherming kan verschillen.

48.      Een aanbieder van een internetzoekmachine kan automatisch persoonsgegevens verzamelen die betrekking hebben op de gebruikers ervan(32), dat wil zeggen, op de personen die zoektermen invoeren in de zoekmachine. Deze automatisch overgebrachte gegevens kunnen bestaan uit hun IP-adres, gebruiksvoorkeuren (taal, enzovoort) en natuurlijk de zoektermen zelf, die in het geval van het zogenoemde „egosurfen” (een zoekactie waarbij een gebruiker zijn eigen naam invoert) snel de identiteit van een gebruiker onthullen. Van personen met een gebruikersaccount, die zichzelf daarmee hebben geregistreerd, belanden de persoonlijke gegevens zoals namen, e‑mailadressen en telefoonnummers, vrijwel altijd in de handen van de aanbieder van de internetzoekmachine.

49.      De aanbieder van een internetzoekmachine verkrijgt zijn inkomsten niet van de gebruikers die zoektermen in de zoekmachine invoeren, maar van de adverteerders die zoektermen kopen als trefwoorden, zodat hun advertentie tegelijkertijd met de zoekresultaten voor dat trefwoord wordt getoond.(33) Het ligt voor de hand dat persoonsgegevens van de adverterende klanten in het bezit komen van de aanbieder van de dienst.

50.      De onderhavige prejudiciële verwijzing heeft evenwel betrekking op de activiteiten van Google als eenvoudige aanbieder van een internetzoekmachine, in verband met gegevens, waaronder persoonsgegevens, die op internet zijn gepubliceerd in bronpagina’s van een derde en die zijn verwerkt en geïndexeerd door Google’s zoekmachine. De problemen van de gebruikers en adverterende klanten (op de gegevens waarvan de richtlijn in hun relatie met Google ongetwijfeld van toepassing is) hebben derhalve geen weerslag op de beantwoording van de tweede groep prejudiciële vragen. Voor de kwesties van rechtsmacht, waar de eerste groep prejudiciële vragen betrekking op heeft, kunnen deze groepen klanten echter nog wel relevant zijn.

V –    De eerste groep vragen, betreffende de territoriale werkingssfeer van de richtlijn

A –    Inleiding

51.      De eerste groep prejudiciële vragen heeft betrekking op de uitlegging van artikel 4 van de richtlijn, en betreft de criteria voor de vaststelling van de territoriale werkingssfeer van de nationale uitvoeringswetgeving.

52.      De verwijzende rechter heeft zijn prejudiciële vragen over de territoriale toepassing van de Spaanse gegevensbeschermingswetgeving onderverdeeld in vier subvragen. De eerste subvraag betreft het begrip „vestiging” in de zin van artikel 4, lid 1, sub a, van de richtlijn, en de tweede subvraag de omstandigheden waarin de verwerker „gebruikmaakt van middelen die zich op het grondgebied van die lidstaat bevinden” in de zin van artikel 4, lid 1, sub c, daarvan. Met de derde subvraag wenst de verwijzende rechter te vernemen, of de tijdelijke opslag van de door internetzoekmachines geïndexeerde informatie kan worden aangemerkt als gebruikmaking van middelen, en zo ja, of dit aanknopingscriterium als vervuld kan worden beschouwd wanneer de onderneming weigert aan te geven waar zij deze indexen opslaat. De vierde subvraag betreft de kwestie of de wetgeving tot uitvoering van de richtlijn in het licht van artikel 8 van het Handvest moet worden toegepast in de lidstaat waar zich het zwaartepunt van het geschil bevindt en waar een meer doeltreffende bescherming van de rechten van de burgers van de Europese Unie mogelijk is.

53.      Ik zal eerst de laatste subvraag behandelen, die de nationale rechter heeft gesteld „[l]os van het antwoord op de voorgaande vragen en met name voor het geval dat [het Hof] meent dat niet is voldaan aan de aanknopingscriteria van artikel 4[, lid 1,] van de richtlijn”.

B –    Het geografisch zwaartepunt van het geschil biedt als zodanig niet voldoende grond tot toepassing van de richtlijn

54.      Krachtens artikel 51, lid 2, van het Handvest breidt dit de werkingssfeer van het recht van de Unie niet verder uit dan de bevoegdheden van de Unie reiken, schept het geen nieuwe bevoegdheden voor de Unie, noch wijzigt het de in de Verdragen omschreven bevoegdheden en taken.(34) Dit beginsel geldt ook voor artikel 8 van het Handvest, inzake de bescherming van persoonsgegevens. De uitlegging van de richtlijn in overeenstemming met het Handvest kan derhalve geen nieuwe aanknopingspunten voor een territoriale toepasselijkheid van de nationale uitvoeringswetgeving van de richtlijn toevoegen aan die van 4, lid 1, van de richtlijn. Artikel 8 van het Handvest moet, uiteraard, in aanmerking worden genomen bij de uitlegging van de in artikel 4, lid 1, van de richtlijn gehanteerde begrippen, maar de door de Uniewetgever bepaalde aanknopingspunten kunnen niet worden aangevuld met een geheel nieuw, aan dat grondrecht ontleend criterium.(35)

55.      De groep gegevensbescherming artikel 29 heeft terecht benadrukt dat het criterium voor de territoriale werkingssfeer van de richtlijn en de nationale uitvoeringswetgeving daarvan, ofwel de plaats is waar de voor de verwerking verantwoordelijke is gevestigd, ofwel de plaats van de gebruikte middelen, wanneer de verantwoordelijke buiten de EER gevestigd is. De nationaliteit of gebruikelijke woonplaats van de betrokkene is niet doorslaggevend, evenmin als de plaats waar het bestand met de persoonsgegevens zich feitelijk bevindt.(36)

56.      De groep gegevensbescherming artikel 29 heeft voorgesteld dat het gericht benaderen van personen in toekomstige wetgeving in aanmerking kan worden genomen wanneer de voor de verwerking verantwoordelijke niet in de Europese Unie is gevestigd.(37) In het commissievoorstel voor een algemene verordening gegevensbescherming uit 2012(38) is het aanbieden van goederen of diensten aan in de Unie wonende betrokkenen een criterium om het gegevensbeschermingsrecht van de Unie toe te passen op in derde landen gevestigde verantwoordelijken. Een dergelijke benadering, waarbij de territoriale werkingssfeer van Uniewetgeving wordt gekoppeld aan het beoogde publiek, is in overeenstemming met de rechtspraak van het Hof inzake de toepasselijkheid op grensoverschrijdende situaties van richtlijn 2000/31 inzake elektronische handel(39), verordening nr. 44/2001(40) en richtlijn 2001/29(41).

57.      Het criterium van het benaderde publiek, in de onderhavige zaak Spaanse gebruikers van Google’s internetzoekmachine, in wier ogen de reputatie van betrokkene geschaad kan zijn ten gevolge van de bestreden aankondigingen, lijkt daarentegen geen factor te zijn die als grondslag kan dienen voor de territoriale toepasselijkheid van de richtlijn en de nationale uitvoeringswetgeving.

58.      Het in Spanje gelegen zwaartepunt van het geschil kan derhalve niet worden toegevoegd aan de criteria van artikel 4, lid 1, van de richtlijn, dat naar mijn mening de territoriale werkingssfeer van de gegevensbeschermingswetgeving van de lidstaten volledig harmoniseert. Hierbij is niet van belang of een zodanig zwaartepunt is gelegen in de nationaliteit of de woonplaats van de betrokkene, de plaats waar de litigieuze persoonsgegevens van de website van het dagblad zich bevinden, of in het feit dat Google’s Spaanse website met name op het Spaanse publiek gericht is.(42)

59.      Derhalve geef ik het Hof in overweging om, mocht het een antwoord op dit punt nodig achten, de vierde subvraag ontkennend te beantwoorden.

C –    De toepasselijkheid van het criterium „vestiging in de Unie” op een in een derde land gevestigde aanbieder van een internetzoekmachine

60.      Volgens artikel 4, lid 1, van de richtlijn is het voornaamste criterium voor de territoriale toepasselijkheid van de nationale wetgeving inzake gegevensbescherming, of de verwerking van persoonsgegevens wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke. Wanneer een verantwoordelijke niet op het grondgebied van de Unie is gevestigd, maar voor de verwerking van persoonsgegevens gebruikmaakt van middelen(43) die zich op het grondgebied van de lidstaat bevinden, is voorts de wetgeving van die lidstaat van toepassing tenzij deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

61.      Zoals reeds eerder opgemerkt, zijn de richtlijn en artikel 4 daarvan vastgesteld voordat onlinediensten op grote schaal op internet werden aangeboden. Bovendien zijn de bewoordingen ervan op dat punt niet consistent en onvolledig.(44) Het wekt geen verbazing dat de gegevensbeschermingsdeskundigen aanzienlijke moeite hadden met de uitlegging ervan in relatie tot internet. De feiten van de onderhavige zaak illustreren deze problemen.

62.      Google Inc. is een Californische onderneming met dochterondernemingen in verschillende lidstaten van de Unie. De Europese activiteiten worden tot op zekere hoogte gecoördineerd door haar Ierse dochteronderneming. Zij beschikt momenteel ten minste over datacentra in België en Finland. Informatie over de exacte geografische locatie van de functies ter ondersteuning van de zoekmachine wordt niet openbaar gemaakt. Google beweert dat in Spanje in het kader van de zoekmachine geen verwerking van persoonsgegevens plaatsvindt. Google Spanje treedt op als commercieel vertegenwoordiger van Google wat haar advertentieactiviteiten betreft en is als zodanig verantwoordelijk voor de verwerking van persoonsgegevens van haar Spaanse adverteerders. Google ontkent dat haar zoekmachine bewerkingen verricht op de hostservers van de bronpagina’s, of met behulp van cookies informatie verzamelt over niet-geregistreerde gebruikers van haar zoekmachine.

63.      In deze feitelijke context zijn de bewoordingen van artikel 4, lid 1, van de richtlijn niet bijzonder behulpzaam. Google heeft verschillende vestigingen op het grondgebied van de Unie. Volgens een letterlijke uitlegging zou deze omstandigheid de toepasselijkheid van de voorwaarde van artikel 4, lid 1, sub c, van de richtlijn betreffende de gebruikte middelen uitsluiten. Anderzijds is het niet duidelijk in welke mate en waar verwerking van persoonsgegevens van in de Unie woonachtige betrokkenen plaatsvindt in het kader van de Europese dochterondernemingen.

64.      Mijns inziens dient het Hof de vraag van de territoriale toepasselijkheid te benaderen vanuit het oogpunt van het bedrijfsmodel van de aanbieders van een internetzoekmachine. Zoals ik reeds heb opgemerkt, berust dit normaliter op reclame op basis van trefwoorden („keyword advertising”) als inkomstenbron, die als zodanig de economische bestaansgrond vormt voor het aanbieden van een gratis instrument voor het lokaliseren van gegevens in de vorm van een zoekmachine. De entiteit die verantwoordelijk is voor dit adverteren op basis van trefwoorden („zoekmachineadvertentiedienst” in de rechtspraak van het Hof(45)) is gelieerd met de internetzoekmachine. Voor deze entiteit is aanwezigheid op de nationale advertentiemarkten een noodzaak. Daarom heeft Google in veel lidstaten dochterondernemingen opgericht, die duidelijk vestigingen in de zin van artikel 4, lid 1, sub a, van de richtlijn zijn. Voorts zorgt zij voor nationale webdomeinen zoals google.es of google.fi. Met deze nationale diversificatie houdt de zoekmachine in haar werkwijze op verschillende manieren rekening bij het tonen van de zoekresultaten, aangezien het normale financieringsmodel van reclame op basis van trefwoorden berust op de „pay‑per‑click”methode.(46)

65.      Daarom wil ik me aansluiten bij de constatering van de groep gegevensbescherming artikel 29, dat het bedrijfsmodel van een aanbieder van een internetzoekmachine in aanmerking moet worden genomen, in de zin dat diens vestiging geacht moet worden een relevante rol bij de verwerking van persoonsgegevens te spelen wanneer deze in verbinding staat met een dienst die betrokken is bij het verkopen van op de inwoners van die lidstaat gerichte advertenties.(47)

66.      Bovendien, zelfs indien artikel 4 van de richtlijn in zijn materiële bepalingen uitgaat van één enkel begrip „voor de verwerking verantwoordelijke”, moet een marktdeelnemer naar mijn mening vanuit het oogpunt van het preliminaire vraagstuk van de territoriale werkingssfeer worden beschouwd als één ondeelbare eenheid, en mag deze in dit stadium van de analyse niet worden opgesplitst naar zijn individuele activiteiten op het punt van de verwerking van persoonsgegevens of naar de verschillende groepen betrokkenen waarop zijn activiteiten betrekking hebben.

67.      Ik vat samen: verwerking van persoonsgegevens vindt plaats binnen het kader van de vestiging van een verantwoordelijke, wanneer die vestiging fungeert als schakel voor de zoekdienst naar de advertentiemarkt van die lidstaat, ook al vinden de technische gegevensverwerkende werkzaamheden plaats in andere lidstaten of in derde landen.

68.      Ik geef het Hof derhalve in overweging de eerste groep prejudiciële vragen aldus te beantwoorden dat verwerking van persoonsgegevens plaats heeft in het kader van de activiteiten van een „vestiging” van een voor de verwerking verantwoordelijke in de zin van artikel 4, lid 1, sub a, van de richtlijn, wanneer de onderneming die de zoekmachine aanbiedt, ten behoeve van de (bevordering van de) verkoop van advertentieruimte op de zoekmachine een kantoor of dochteronderneming opricht in een lidstaat en de activiteiten daarvan op de inwoners van die lidstaat zijn gericht.

VI – De tweede groep vragen, betreffende de materiële werkingssfeer van de richtlijn

69.      De tweede groep vragen heeft betrekking op de rechtspositie van de aanbieder van een internetzoekmachine onder de richtlijn, wanneer hij toegang tot die zoekmachine verleent. De nationale rechter heeft de vraagstelling toegespitst op de begrippen „verwerking” van persoonsgegevens (vraag 2.1), en „voor de verwerking verantwoordelijke” (vraag 2.2); de bevoegdheid van de nationale gegevensbeschermingsautoriteit om rechtstreeks bevelen tot de aanbieder van de internetzoekmachine te richten (vraag 2.3) en de mogelijkheid dat door derden rechtmatig op internet gepubliceerde informatie door de aanbieder van de internetzoekmachine wordt uitgesloten van de bescherming van persoonsgegevens (vraag 2.4). De laatste twee subvragen zijn slechts aan de orde wanneer de aanbieder van de internetzoekmachine als verwerker van persoonsgegevens op bronpagina’s van derden en als voor die verwerking verantwoordelijke kan worden beschouwd.

A –    Verwerking van persoonsgegevens door een internetzoekmachine

70.      De eerste subvraag in deze groep betreft de toepasselijkheid van de begrippen „persoonsgegevens” en „verwerking” daarvan op een aanbieder van een internetzoekmachine als Google, ervan uitgaande dat het hierbij niet gaat om persoonsgegevens van gebruikers of adverteerders, maar om persoonsgegevens die op bronpagina’s van derden worden gepubliceerd en verwerkt worden door de aangeboden internetzoekmachine. Deze verwerking wordt door de nationale rechter omschreven als het lokaliseren, het automatisch indexeren en tijdelijk opslaan van informatie die door derden op internet is geplaatst of gepubliceerd, en ten slotte het beschikbaar stellen daarvan aan internetgebruikers volgens een bepaalde voorkeursvolgorde.

71.      Mijns inziens hoeft niet lang bij deze subvraag te worden stilgestaan om tot een bevestigend antwoord te komen. De richtlijn geeft een ruime definitie van het begrip persoonsgegevens, die is toegepast door de groep gegevensbescherming artikel 29 en bevestigd door het Hof.(48)

72.      Wat het begrip „verwerking” betreft, bronpagina’s op het internet kunnen namen, beelden, adressen, telefoonnummers, beschrijvingen en andere gegevens bevatten aan de hand waarvan een natuurlijke persoon geïdentificeerd kan worden, en dit is ook dikwijls het geval. Het feit dat de aanbieder van een internetzoekmachine onkundig blijft van het karakter van persoonsgegevens ervan, omdat de zoekmachine opereert zonder enige menselijke interactie met de gegevens die voor zoekdoeleinden worden verzameld, geïndexeerd en getoond, doet hieraan niet af.(49) Hetzelfde geldt voor het feit dat de aanwezigheid van persoonsgegevens op de bronpagina’s vanuit het oogpunt van de aanbieder van de internetzoekmachine in zekere zin toevallig is omdat er voor hem of, om precies te zijn, voor de zoekmachine die alle op het internet toegankelijke webpagina’s „afkruipt” („spider”- of „crawl”-functie), analyseert en indexeert, geen technisch of operationeel verschil bestaat tussen een bronpagina met of zonder persoonsgegevens.(50) Naar mijn mening moet met deze omstandigheden echter wel rekening worden gehouden bij de uitlegging van het begrip „voor de verwerking verantwoordelijke”.

73.      De spider-functie van Google’s zoekmachine, de zogeheten „googlebot”, kruipt voortdurend en systematisch, van de ene naar de andere bronpagina met gebruikmaking van de hyperlinks tussen de pagina’s, het internet over en vraagt de bezochte sites een kopie te verstrekken van de bezochte pagina.(51) De kopieën van die bronpagina’s worden geanalyseerd door Google’s indexeringsfunctie. Op de pagina’s aangetroffen tekenreeksen (trefwoorden, zoektermen) worden vastgelegd in de index van de zoekmachine.(52) Google’s verfijnde zoekalgoritme beoordeelt voorts de relevantie van de zoekresultaten. De combinaties van deze trefwoorden met de URL-adressen, voor zover beschikbaar, vormen de index van de zoekmachine. De door de gebruikers aangevraagde zoekacties worden verricht binnen de index. Ten behoeve van de indexering en het tonen van de zoekresultaten worden de kopieën van de pagina’s namelijk geregistreerd in het cachegeheugen van de zoekmachine.(53)

74.      Na de zoekactie van de gebruiker wordt een kopie getoond van de gezochte bronpagina zoals deze in het cachegeheugen is opgeslagen. Wanneer de gebruiker echter bijvoorbeeld op de bronpagina opgenomen beelden wil zien, kan hij toegang tot de oorspronkelijke pagina verkrijgen. Het cachegeheugen wordt dikwijls bijgewerkt, maar er kunnen zich situaties voordoen waarin de door de zoekmachine getoonde pagina niet overeenkomt met de bronpagina’s van de hostserver omdat deze zijn gewijzigd of gewist.(54)

75.      Het behoeft geen betoog dat de in het vorige punt beschreven procedures zijn aan te merken als verwerking van de persoonsgegevens op de bronpagina’s die door de zoekmachine worden gekopiëerd, geïndexeerd, in het cachegeheugen opgeslagen en getoond. Met name is hierbij sprake van verzamelen, vastleggen, ordenen en bewaren van zulke persoonsgegevens en mogelijk ook van het gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, of met elkaar in verband brengen van persoonsgegevens in de zin van artikel 2, sub b, van de richtlijn. 

B –    Het begrip „voor de verwerking verantwoordelijke”

76.      Een voor de verwerking verantwoordelijke(55) is volgens artikel 2, sub d, van de richtlijn „de natuurlijke of rechtspersoon [...] die [...] alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. Mijns inziens is het centrale vraagstuk in deze zaak of en in hoeverre deze definitie zich uitstrekt tot de aanbieder van een internetzoekmachine.

77.      Alle partijen behalve Google en de Griekse regering stellen een bevestigend antwoord voor op deze vraag. Dit kan makkelijk genoeg worden verdedigd als logische conclusie van een letterlijke en misschien zelfs een teleologische interpretatie van de richtlijn, gegeven de omstandigheid dat de voornaamste definities van de richtlijn uitputtend zijn geformuleerd teneinde mede nieuwe ontwikkelingen te omvatten. Ik ben echter van mening dat een dergelijke benadering volstrekt voorbij zou gaan aan het feit dat ten tijde van de opstelling van de richtlijn onmogelijk rekening kon worden gehouden met de opkomst van het internet en de diverse daarmee verband houdende nieuwe verschijnselen.

78.      Toen de richtlijn werd vastgesteld was het internet nog maar net realiteit geworden, en stonden zoekmachines nog in de kinderschoenen. De bepalingen van de richtlijn houden domweg geen rekening met het feit dat enorme aantallen decentraal opgeslagen elektronische documenten en dossiers vanaf overal ter wereld toegankelijk zijn, en dat de inhoud ervan kan worden gekopiëerd, geanalyseerd en verspreid door partijen die in geen enkel verband staan tot de auteurs ervan, of tot degenen die deze op het internet hebben geplaatst.

79.      Ik wijs erop dat het Hof in het arrest Lindqvist niet meeging met de door de Commissie voorgestelde maximalistische benadering ten aanzien van de uitlegging van het begrip doorgifte van gegevens naar derde landen. Het Hof oordeelde: „Gezien de ontwikkeling van internet ten tijde van de opstelling van richtlijn 95/46 en het ontbreken van criteria voor het gebruik van internet in hoofdstuk IV, kan niet worden aangenomen dat het de bedoeling was van de gemeenschapswetgever [...] het begrip doorgifte van gegevens naar een derde land ook te laten gelden voor de handeling van een persoon in de situatie van Lindqvist die gegevens op een internetpagina plaatst, ook wanneer die gegevens daarmee toegankelijk worden gemaakt voor personen uit derde landen die de technische middelen hebben om zich toegang daartoe te verschaffen”.(56) Hieruit vloeit mijns inziens voort dat bij de uitlegging van de richtlijn in het licht van nieuwe technologische ontwikkelingen, rekening moet worden gehouden met het evenredigheidsbeginsel, de doelstellingen van de richtlijn en de middelen die deze biedt voor de verwezenlijking ervan, wil men komen tot een evenwichtige en redelijke conclusie.

80.      Naar mijn mening is hier een van de centrale vragen of belang moet worden toegekend aan het feit dat de richtlijn in haar definitie van de „voor de verwerking verantwoordelijke” vermeldt dat deze „het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” (mijn cursivering). De partijen die Google als zodanig aanmerken, baseren dit oordeel op het onmiskenbare feit dat de dienstverlener die een internetzoekmachine exploiteert, het doel van en de middelen voor de verwerking van gegevens vaststelt.

81.      Ik betwijfel echter of dit een waarheidsgetrouwe uitlegging van de richtlijn is wanneer de verwerking betrekking heeft op bestanden met persoonsgegevens en andere gegevens die op geen enkele manier georganiseerd, onderscheiden of geordend zijn. Stelt de hoogleraar Europees recht van mijn in punt 29 genoemde voorbeeld, doel en middelen vast van de verwerking van de persoonsgegevens genoemd in de arresten van het Hof die hij op zijn laptop heeft gedownload? Het oordeel van de groep gegevensbescherming artikel 29 dat „[g]ebruikers van de zoekmachine [...], strikt genomen, ook [zouden] kunnen worden beschouwd als voor de verwerking verantwoordelijke personen” legt de irrationaliteit bloot van een blind-letterlijke uitlegging van de richtlijn in de context van het internet.(57) Het Hof dient niet een uitlegging te aanvaarden waardoor vrijwel iedere bezitter van een smartphone, tablet of laptopcomputer valt aan te merken als verantwoordelijke voor de verwerking van op het internet gepubliceerde persoonsgegevens.

82.      Ik ben van mening dat de algemene opzet van de richtlijn, de meeste taalversies ervan en de individuele verplichtingen die worden opgelegd aan „voor de verwerking verantwoordelijken”, berusten op de veronderstelling van een verantwoordelijkheid ten aanzien van de persoonlijke gegevens die worden verwerkt, in de zin dat de verantwoordelijke voor de verwerking zich bewust is van het bestaan van een bepaalde afgebakende categorie informatie, te weten persoonsgegevens, en dat de verantwoordelijke deze gegevens verwerkt met een zekere intentie verband houdend met de verwerking ervan als persoonsgegevens.(58)

83.      De groep gegevensbescherming artikel 29 merkt terecht op: „Het begrip ,voor de verwerking verantwoordelijke’ is een functioneel begrip, dat is bedoeld om verantwoordelijkheden te leggen op de plaats waar de feitelijke invloed ligt. Het is dus meer op een feitelijke dan op een formele analyse gebaseerd.”(59) Zij merkt elders op dat de voor de verwerking verantwoordelijke moet vaststellen welke gegevens moeten worden verwerkt voor het beoogde doel.(60) De materiële bepalingen van de richtlijn, inzonderheid de artikelen 6, 7 en 8 ervan, berusten naar mijn mening op de veronderstelling dat de voor de verwerking verantwoordelijke weet waarmee hij bezig is ten aanzien van de persoonsgegevens in kwestie, in de zin dat hij zich ervan bewust is wat voor persoonsgegevens hij aan het verwerken is en waarom. Met andere woorden, de gegevensverwerking moet hem op een of andere semantisch relevante wijze voorkomen als verwerking van persoonsgegevens, dat wil zeggen „informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”, en niet als verwerking van enkel een computercode.(61)

C –    Een aanbieder van een internetzoekmachine is geen „verantwoordelijke voor de verwerking” van persoonsgegevens op bronpagina’s van derden

84.      De aanbieder van de internetzoekmachine die enkel een instrument levert voor het lokaliseren van informatie, oefent geen controle uit over persoonsgegevens die op webpagina’s van derden staan. De aanbieder van deze dienst is zich niet „bewust” van het bestaan van persoonsgegevens in enige andere zin dan dat webpagina’s statistisch gezien waarschijnlijk persoonsgegevens zullen bevatten. Tijdens de verwerking – in de vorm van het doorzoeken, analyseren en indexeren – van de bronpagina’s maken persoonsgegevens zich op geen enkele bijzondere manier als zodanig kenbaar.

85.      Om deze reden vind ik de benadering van de groep gegevensbescherming artikel 29 juist, waar deze een scheidslijn aanbrengt tussen de geheel passieve en intermediaire functies van zoekmachines en de gevallen waarin zij een werkelijke controle uitoefenen over de verwerkte persoonsgegevens.(62) Omwille van de volledigheid dient hieraan te worden toegevoegd dat de vraag of de persoonsgegevens aan de openbaarheid zijn prijsgegeven(63) of rechtmatig zijn vermeld op bronpagina’s van een derde, niet ter zake doet voor de toepassing van de richtlijn.(64)

86.      De aanbieder van de internetzoekmachine heeft niets te maken met de content van bronpagina’s van derden die mogelijk persoonsgegevens bevatten. Gegeven het feit dat de zoekmachine opereert op basis van kopieën van de bronpagina’s die zij met behulp van de spiderfunctie heeft gevonden en gekopieerd, beschikt de aanbieder ervan over geen enkel middel om de bij de hostservers berustende informatie te veranderen. Levering van een instrument om informatie te lokaliseren brengt geen controle mee over de inhoud daarvan. Het stelt de aanbieder van de internetzoekmachine zelfs niet in staat om te onderscheiden tussen persoonsgegevens in de zin van de richtlijn, die identificeerbare natuurlijke personen betreffen, en andere gegevens.

87.      Hiervoor put ik steun uit het in punt 47 van de considerans van de richtlijn uitgedrukte beginsel. Daar wordt uitgesproken dat de verantwoordelijke voor de verwerking van via een telecommunicatie- of elektronische postdienst verzonden berichten die persoonsgegevens bevatten, de persoon is van wie het bericht uitgaat, en niet degene die de dienst aanbiedt. Dit punt van de considerans bouwt voort, evenals de in richtlijn 2000/31 inzake de elektronische handel (artikelen 12, 13 en 14) neergelegde uitzonderingen op de aansprakelijkheid, op het juridische beginsel dat een geautomatiseerde, technische en passieve verhouding tot elektronisch opgeslagen of overgebrachte content geen controle daarover of aansprakelijkheid daarvoor meebrengt.

88.      De groep gegevensbescherming artikel 29 heeft erop gewezen dat de functie van het begrip verantwoordelijke voor de verwerking in de eerste plaats is te bepalen bij wie de verantwoordelijkheid berust om te voldoen aan de regels inzake gegevensbescherming, en die verantwoordelijkheid te koppelen aan de locatie waar de feitelijke invloed ligt.(65) De groep stelt: „Krachtens het evenredigheidsbeginsel dient een exploitant van een zoekmachine, voor zover deze zuiver als tussenpersoon optreedt, met betrekking tot de inhoudelijke verwerking van persoonsgegevens niet te worden beschouwd als de eerstverantwoordelijke persoon. In dit geval zijn de eerstverantwoordelijken voor de verwerking van persoonsgegevens de informatieverstrekkers.”(66)

89.      Naar mijn mening kan de aanbieder van een internetzoekmachine ten aanzien van persoonsgegevens op bronpagina’s die zijn ondergebracht op de servers van derden, juridisch noch feitelijk voldoen aan de verplichtingen die de artikelen 6, 7 en 8 van de richtlijn een verantwoordelijke voor de verwerking oplegt. Een redelijke uitlegging van de richtlijn vereist derhalve dat de dienstverlener over het algemeen niet wordt geacht in de positie van verantwoordelijke voor de verwerking te verkeren.(67)

90.      De tegengestelde opvatting zou meebrengen dat internetzoekmachines in strijd met het Unierecht zijn, wat mijns inziens een absurde conclusie is. Met name zouden de activiteiten van aanbieders van internetzoekmachines, wanneer zij werden beschouwd als verantwoordelijken voor de verwerking van de persoonsgegevens op bronpagina’s van derden die ergens „bijzondere” gegevens in de zin van artikel 8 van de richtlijn zouden bevatten (namelijk persoonsgegevens waaruit politieke opvattingen, godsdienstige overtuigingen, of gegevens die de gezondheid of het seksuele leven betreffen), automatisch illegaal worden zodra niet is voldaan aan de strenge voorwaarden die dat artikel stelt aan de verwerking van zulke gegevens.

D –    Omstandigheden waaronder de aanbieder van de internetzoekmachine een „voor de verwerking verantwoordelijke” is

91.      Aanbieders van een internetzoekmachine oefenen duidelijk controle uit over de index van de zoekmachine, die trefwoorden koppelt aan relevante URL-adressen. De aanbieder bepaalt de wijze waarop de index is opgezet, en kan bepaalde zoekresultaten technisch blokkeren, bijvoorbeeld door URL-adressen uit bepaalde landen of bepaalde domeinen niet te tonen in de zoekresultaten.(68) Bovendien heeft de aanbieder van de internetzoekmachine controle over zijn index in de zin dat hij beslist welke uitsluitingscodes(69) op een bronpagina worden gerespecteerd en welke niet.

92.      De inhoud van het cachegeheugen van de internetzoekmachine kan daarentegen niet geacht worden onder de controle van de aanbieder te staan, omdat deze cache het resultaat is van volkomen technische en geautomatiseerde processen die een afspiegeling opleveren van de tekstgegevens van de doorzochte webpagina’s, met uitzondering van gegevens die van indexering en archivering zijn uitgesloten. Het is belangwekkend dat sommige lidstaten op de aansprakelijkheid van zoekmachines speciale horizontale uitzonderingen lijken te hebben vastgesteld, die paralellen vertonen met de uitzonderingen die richtlijn 2000/31 inzake elektronische handel kent voor bepaalde aanbieders van diensten van de informatiemaatschappij.(70)

93.      Wat de inhoud van de cache betreft, vormt een beslissing om uitsluitingscodes(71) op een webpagina niet te respecteren, naar mijn mening controle over de desbetreffende persoonsgegevens in de zin van de richtlijn. Hetzelfde geldt in situaties waarin de aanbieder van de internetzoekmachine een webpagina in zijn cachegeheugen niet bijwerkt ondanks een verzoek daartoe van de website van oorsprong.

E –    De verplichtingen van een aanbieder van een internetzoekmachine als „voor de verwerking verantwoordelijke”

94.      Het is duidelijk dat indien en voor zover de aanbieder van de internetzoekmachine kan worden aangemerkt als „voor de verwerking verantwoordelijke”, hij moet voldoen aan de bij de richtlijn ingevoerde verplichtingen.

95.      Met betrekking tot de criteria volgens welke gegevens mogen worden verwerkt zonder de toestemming van de betrokkene (artikel 7, sub a, van de richtlijn), lijkt het eveneens duidelijk dat de verlening van internetzoekmachinediensten op zichzelf legitieme doeleinden in de zin van artikel 7, sub f, dient, omdat deze diensten (i) informatie voor internetgebruikers makkelijker toegankelijk en (ii) de verspreiding van de op internet geplaatste informatie effectiever maken, en (iii) de levering door de aanbieder van de internetzoekmachine mogelijk maken van verschillende daarmee verband houdende diensten van de informatiemaatschappij, zoals reclame met behulp van trefwoorden. Deze drie functies houden respectievelijk verband met drie door het Handvest beschermde grondrechten, namelijk de vrijheid van informatie, de vrijheid van meningsuiting (beide in artikel 11) en de ondernemingsvrijheid (artikel 16). De aanbieder van een internetzoekmachine dient derhalve gerechtvaardigde belangen in de zin van artikel 7, sub f, van de richtlijn wanneer hij op het internet gepubliceerde gegevens, met inbegrip van persoonsgegevens, verwerkt.

96.      De aanbieder van een internetzoekmachine dient, als voor de verwerking verantwoordelijke, de vereisten van artikel 6 van de richtlijn in acht te nemen. De persoonsgegevens moeten met name toereikend, ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden verzameld, en moeten voorts worden bijgewerkt en niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld. Bovendien moeten de belangen van de „voor de verwerking verantwoordelijke” of van derden ten behoeve van wie de verwerking plaatsvindt, worden afgewogen tegen die van de betrokkene.

97.      In casu vordert de betrokkene verwijdering uit Google’s index van de koppeling van zijn voor- en achternaam aan de URL-adressen van de dagbladpagina’s die de gewraakte persoonsgegevens bevatten. Het is waar dat persoonsnamen worden gebruikt als zoektermen en vervolgens als trefwoorden worden opgeslagen in de indexen van zoekmachines. Een naam volstaat op zichzelf echter niet om een natuurlijk persoon rechtstreeks op het internet te identificeren, omdat er over de hele wereld meerdere, zelfs duizenden of miljoenen personen bestaan met dezelfde naam of combinatie van bepaalde voor- en achternamen.(72) Niettemin neem ik aan dat de combinatie van een bepaalde voor- en achternaam als zoekterm in de meeste gevallen de indirecte identificatie van een natuurlijk persoon in de zin van artikel 2, sub a, van de richtlijn mogelijk maakt, in zoverre het zoekresultaat in de index van een zoekmachine een beperkt aantal links oplevert aan de hand waarvan de internetgebruiker verschillende personen met dezelfde naam kan onderscheiden.

98.      De index van een zoekmachine koppelt namen en andere identificatiefactoren die als zoektermen worden gebruikt, aan een of meer links naar webpagina’s. Mits de link toereikend is, in de zin dat de met de zoekterm overeenkomende gegevens inderdaad voorkomen of voorkwamen op de webpagina’s waarnaar wordt verwezen, voldoet de index mijns inziens aan de criteria van toereikendheid, relevantie, proportionaliteit, nauwkeurigheid en volledigheid van artikel 6, sub c en d, van de richtlijn. Wat betreft de temporele vereisten (dat de persoonsgegevens worden bijgewerkt en niet langer worden bewaard dan nodig is) van artikel 6, sub d en e, dienen ook deze aspecten te worden bezien vanuit het oogpunt van de betrokken verwerking, namelijk de levering van een dienst voor de lokalisering van informatie, en niet als een vraag die de inhoud van de bronpagina’s betreft.(73)

F –    Conclusie met betrekking tot de tweede groep vragen

99.      Op basis van deze redenering meen ik dat een nationale gegevensbeschermingsautoriteit niet van een aanbieder van een internetzoekmachine kan verlangen informatie uit zijn index te verwijderen, behalve in gevallen waarin die aanbieder geen gehoor heeft gegeven aan uitsluitingscodes(74) of aan een verzoek van de uitgever van een bronpagina om het cachegeheugen bij te werken. Deze gevallen lijken zich in de onderhavige prejudiciële verwijzing niet voor te doen. Een eventuele „procedure voor kennisgeving en verwijzing”(75) met betrekking tot links naar bronpagina’s met onwettige of ongepaste inhoud is een kwestie die onder het nationale burgerlijke aansprakelijkheidsrecht valt, waarbij andere overwegingen dan die van de bescherming van persoonsgegevens een rol spelen.(76)

100. Ik geef het Hof derhalve in overweging, de tweede groep vragen aldus te beantwoorden dat de activiteiten van een aanbieder van een internetzoekmachine onder de in de prejudiciële verwijzing omschreven omstandigheden „verwerking” van persoonsgegevens opleveren in de zin van artikel 2, sub b, van de richtlijn. De aanbieder van deze dienst kan echter niet worden aangemerkt als „voor de verwerking verantwoordelijke” ten aanzien van zulke persoonsgegevens in de zin van artikel 2, sub d, van de richtlijn, behoudens de hierboven genoemde uitzondering.

VII – De derde vraag, met betrekking tot het bestaan van een „recht om vergeten te worden” van de betrokkene

A –    Opmerkingen vooraf

101. De derde prejudiciële vraag is enkel relevant wanneer het Hof mijn bovenstaande conclusie verwerpt dat Google in het algemeen niet kan worden aangemerkt als „voor de verwerking verantwoordelijke” in de zin van artikel 2, sub d, van de richtlijn, dan wel indien en voor zover het Hof mijn stelling overneemt dat een aanbieder van een internetzoekmachine als Google onder bepaalde omstandigheden wel geacht kan worden in de positie van verantwoordelijke te verkeren. In ieder ander geval is het onderstaande overbodig.

102. Hoe dan ook wenst de nationale rechter met zijn derde vraag te vernemen of het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, van de richtlijn, en het recht van verzet in de zin van artikel 14, sub a, van de richtlijn aldus moeten worden uitgelegd dat de betrokkene zich tot de aanbieder van de internetzoekmachines kan wenden om de indexering te verhinderen van op webpagina’s van derden gepubliceerde gegevens betreffende zijn persoon. De betrokkene wenst hiermee te voorkomen dat voor hem nadelige informatie bekend wordt bij internetgebruikers, of geeft zijn hoop te kennen dat deze informatie in de vergetelheid zal raken, ook al was de publicatie ervan door een derde rechtmatig. De nationale rechter vraagt met andere woorden in wezen of op de artikelen 12, sub b, en 14, sub a, van de richtlijn een „recht om vergeten te worden” kan worden gebaseerd. Hieronder zal eerst dit vraagstuk worden behandeld, aan de hand van de bewoordingen en doelstellingen van die bepalingen.

103. Na mijn conclusie dat de artikelen 12, sub b, en 14, sub a, van de richtlijn, op zichzelf beschouwd, deze bescherming niet verlenen, zal ik bespreken of een uitlegging van die strekking in overeenstemming is met het Handvest.(77) Daarbij zal ik ingaan op het recht op de bescherming van persoonsgegevens in artikel 8, het recht op eerbiediging van het privé- en gezinsleven in artikel 7, de vrijheid van meningsuiting en informatie als beschermd in artikel 11 (zowel in verhouding tot de vrijheid van meningsuiting van de uitgevers van internetpagina’s als de vrijheid van internetgebruikers om informatie te ontvangen), en de vrijheid van ondernemerschap in artikel 16. De rechten van de betrokkenen uit hoofde van de artikelen 7 en 8 zullen moeten worden afgezet tegen de door de artikelen 11 en 16 beschermde rechten van degenen die toegang tot bepaalde gegevens willen verschaffen of verkrijgen.

B –    Kan op de in de richtlijn voorziene rechten op rectificatie, uitwissing en afscherming en het recht van verzet een recht van betrokkene worden gebaseerd „om te worden vergeten”?

104. Het door artikel 12, sub b, van de richtlijn toegekende recht op rectificatie, uitwissing en afscherming van gegevens heeft betrekking op gegevens waarvan de verwerking niet voldoet aan de bepalingen daarvan, met name op grond van het onvolledige of onjuiste karakter van de gegevens (mijn cursivering).

105. De verwijzingsbeslissing erkent dat de informatie die op de litigieuze internetpagina’s voorkomt, niet als onvolledig of onjuist kan worden aangemerkt, en stelt evenmin dat de indexering door Google of de inhoud van het cachegeheugen dat deze gegevens bevat, als zodanig kan worden omschreven. Het recht op rectificatie, uitwissing of afscherming van artikel 12, sub b, van de richtlijn is derhalve alleen aan de orde wanneer Google’s verwerking van op bronpagina’s van derden voorkomende persoonsgegevens om andere redenen niet met de richtlijn in overeenstemming is.

106. Artikel 14, sub a, van de richtlijn legt de lidstaten de verplichting op om betrokkene het recht toe te kennen zich te allen tijde om zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie, ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. Dit geldt inzonderheid voor de in artikel 7, sub e en f, van de richtlijn genoemde gevallen, namelijk wanneer verwerking noodzakelijk is met het oog op een algemeen belang of voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van derden. Voorts mag volgens artikel 14, sub a, wanneer het verzet gerechtvaardigd is, „de door de voor de verwerking verantwoordelijke persoon verrichte verwerking” niet langer betrekking hebben op de litigieuze gegevens.

107. Wanneer aanbieders van een internetzoekmachine zijn aan te merken als voor de verwerking van persoonsgegevens verantwoordelijken, legt artikel 6, lid 2, van de richtlijn hun de verplichting op om de belangen van die verantwoordelijke of van derden in wier belang de verwerking wordt verricht, af te wegen tegen die van de betrokkene. Zoals het Hof opmerkte in zijn arrest ASNEF en FECEMD, kan bij deze afweging de omstandigheid van belang zijn of de litigieuze gegevens reeds zijn opgenomen in voor het publiek toegankelijke bronnen.(78)

108. Ik ben echter, evenals vrijwel alle deelnemers aan de onderhavige procedure die schriftelijke opmerkingen hebben ingediend, van oordeel dat de richtlijn geen algemeen recht toekent om vergeten te worden, in de zin dat een betrokkene de verspreiding van persoonsgegevens die hij schadelijk of in strijd met zijn belangen acht, kan beperken of beëindigen. Het doel waarvoor de verwerking wordt verricht en de daarmee gediende belangen in vergelijking met die van de betrokkene, zijn de maatstaven waaraan moet worden getoetst bij de verwerking van gegevens zonder toestemming van de betrokkene, en niet diens subjectieve voorkeuren. Zulke subjectieve voorkeuren vormen als zodanig geen zwaarwegende en gerechtvaardigde reden in de zin van artikel 14, sub a, van de richtlijn.

109. Zelfs indien het Hof aanbieders van een internetzoekmachine zou aanmerken (wat ik uitsluit) als verantwoordelijken voor de verwerking van persoonsgegevens op bronpagina’s van derden, dan zou een betrokkene nog altijd geen absoluut „recht om vergeten te worden” hebben dat hij tegen die aanbieders zou kunnen inroepen. De aanbieder in kwestie zou zichzelf dan in de positie van de uitgever van de bronpagina moeten plaatsen en nagaan of de verspreiding van de persoonsgegevens op die pagina thans vanuit het oogpunt van de richtlijn rechtmatig en legitiem geacht kan worden. Met andere woorden, de aanbieder zou zijn functie van schakel tussen de gebruiker en de uitgever moeten loslaten en verantwoordelijkheid aanvaarden voor de inhoud van de bronpagina, en die inhoud zonodig censureren door de toegang ertoe te voorkomen of te beperken.

110. Ter wille van de volledigheid wijs ik erop dat het Commissievoorstel voor een algemene verordening gegevensbescherming in artikel 17 voorziet in een recht om vergeten te worden. Dit voorstel schijnt echter op aanzienlijke tegenstand te zijn gestuit en pretendeert niet een codificatie van geldend recht te zijn, maar een belangrijke juridische vernieuwing. Het lijkt dan ook geen gevolgen te kunnen hebben voor het antwoord op de prejudiciële vraag. Interessant is echter wel de formulering van artikel 17, lid 2, van het voorstel: „Wanneer de [...] voor de verwerking verantwoordelijke de persoonsgegevens openbaar heeft gemaakt, neemt hij alle redelijke maatregelen [...] ten aanzien van de gegevens die onder zijn verantwoordelijkheid openbaar zijn gemaakt, teneinde derden die deze gegevens verwerken ervan op de hoogte te stellen dat een betrokkene hun verzoekt iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.” Hier lijken de aanbieders van een internetzoekmachine meer als derden dan als zelf verantwoordelijk voor de verwerking te worden beschouwd.

111. Ik kom derhalve tot de slotsom dat de artikelen 12, sub b, en 14, sub a, van de richtlijn niet voorzien in een recht om vergeten te worden. Ik zal nu bespreken of deze uitlegging van de genoemde bepalingen in overeenstemming is met het Handvest.

C –    De relevante grondrechten

112. Artikel 8 van het Handvest waarborgt voor eenieder het recht op bescherming van zijn persoonsgegevens. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.

113. Mijns inziens bevestigt dit grondrecht, dat de verworvenheden van de Europese Unie en de Raad van Europa vastlegt, het belang van de bescherming van persoonsgegevens, maar voegt het op zichzelf geen nieuwe gezichtspunten toe voor de uitlegging van de richtlijn.

114. Krachtens artikel 7 van het Handvest heeft eenieder recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Deze bepaling, die inhoudelijk overeenkomt met artikel 8 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, ondertekend te Rome op 4 november 1950 (hierna: „EVRM”), moet naar behoren in aanmerking worden genomen bij de uitlegging van de relevante bepalingen van de richtlijn, die de lidstaten inzonderheid opdraagt het recht op het privéleven te eerbiedigen.

115. Ik wijs erop dat ook het EVRM, met name in artikel 8, vraagstukken van de bescherming van persoonsgegevens bestrijkt. Om deze reden, en in overeenstemming met artikel 52, lid 3, van het Handvest, is de rechtspraak van het Europees Hof voor de Rechten van de Mens inzake artikel 8 EVRM van belang voor zowel de uitlegging van artikel 7 van het Handvest als een toepassing van de richtlijn in overeenstemming met artikel 8 van het Handvest. 

116. Het Europees Hof voor de Rechten van de Mens oordeelde in zijn arrest Niemietz, dat professionele en zakelijke activiteiten van een persoon kunnen vallen onder het begrip privéleven in de zin van artikel 8 EVRM.(79) Het heeft dit standpunt in latere uitspraken bevestigd.

117. Het Hof oordeelde in zijn arrest Volker und Markus Schecke en Eifert(80) dat „de eerbiediging van het in de artikelen 7 en 8 van het Handvest erkende recht op persoonlijke levenssfeer bij de verwerking van persoonsgegevens gelijk welke informatie [mijn cursivering] betreft aangaande een geïdentificeerde of identificeerbare natuurlijke persoon [...] en, anderzijds, dat de beperkingen die mogen worden gesteld aan het recht op bescherming van de persoonsgegevens, overeenkomen met die welke worden toegelaten in het kader van artikel 8 EVRM”.

118. Ik leid uit het arrest Volker und Markus Schecke en Eifert af, dat de bescherming van het privéleven uit hoofde van het Handvest, wat de verwerking van persoonsgegevens aangaat, zich uitstrekt over alle informatie met betrekking tot een natuurlijke persoon, los van het feit of hij optreedt in een louter particuliere sfeer, als marktdeelnemer of bijvoorbeeld als politicus. Gelet op de ruime betekenis die in het Unierecht wordt gegeven aan de begrippen van persoonsgegevens en van de verwerking ervan, lijkt uit de bovengenoemde rechtspraak te volgen dat elke communicatiehandeling die gebruikmaakt van automatische middelen, zoals telecommunicatie, e‑mail of sociale media, en een natuurlijke persoon betreft, als zodanig een vermoedelijke inbreuk op dat grondrecht vormt, die rechtvaardiging behoeft.(81)

119. In punt 75 heb ik vastgesteld dat een aanbieder van een internetzoekmachine met betrekking tot persoonsgegevens die voorkomen op bronpagina’s van derden, verwerkingsactiviteiten verricht. Uit het arrest Volker und Markus Schecke en Eifert volgt derhalve dat, ongeacht hoe die verwerkende rol voor de richtlijn wordt gekwalificeerd, er sprake is van een inbreuk op het recht van artikel 7 van het Handvest op eerbiediging van het privéleven van de betrokkenen. Volgens het EVRM en het Handvest moet elke inbreuk op een beschermd recht berusten op de wet en in een democratische samenleving noodzakelijk zijn. In de onderhavige zaak hebben we niet van doen met de vraag naar de rechtvaardiging van een inbreuk door openbare autoriteiten, maar met de vraag of een inbreuk door particulieren geduld kan worden. De grenzen hieraan worden gesteld in de richtlijn en berusten derhalve op de wet, zoals het EVRM en het Handvest verlangen. Uitlegging van de richtlijn komt hier dus juist neer op uitlegging van de grenzen die worden gesteld aan de gegevensverwerking door particulieren in het licht van het Handvest. Hieruit vloeit de vraag voort of er een positieve verplichting op de Unie en de lidstaten rust om een recht om vergeten te worden af te dwingen van aanbieders van internetzoekmachines, die particulieren zijn.(82) Dit leidt vervolgens tot vragen naar de rechtvaardiging voor een inbreuk op de artikelen 7 en 8 van het Handvest, en de verhouding met de concurrerende rechten van de vrijheid van meningsuiting en informatie en de vrijheid van ondernemerschap.

D –    De vrijheid van meningsuiting en informatie en de vrijheid van ondernemerschap

120. Bij de onderhavige zaak is in verschillende opzichten de vrijheid van meningsuiting en informatie betrokken, die is verankerd in artikel 11 van het Handvest, dat overeenkomt met artikel 10 EVRM. Artikel 11, lid 1, van het Handvest luidt: „Eenieder heeft recht op vrijheid van meningsuiting. Dit recht omvat de vrijheid een mening te koesteren en de vrijheid om inlichtingen of denkbeelden te ontvangen of te verstrekken, zonder inmenging van enig openbaar gezag en ongeacht grenzen.”(83)

121. Het recht van internetgebruikers om op internet geplaatste informatie op te zoeken en te ontvangen wordt beschermd door artikel 11 van het Handvest.(84) Dit betreft zowel de informatie op bronpagina’s als de informatie die wordt verstrekt door internetzoekmachines. Zoals ik reeds heb opgemerkt, heeft het internet de toegang tot en de verspreiding van allerlei informatie gerevolutionaliseerd en nieuwe manieren van communicatie en sociale interactie tussen mensen mogelijk gemaakt. Naar mijn mening verdient het grondrecht op informatie bijzondere bescherming in het Unierecht, vooral tegen de achtergrond van de groeiende tendens van autoritaire regimes elders in de wereld om de toegang tot internet te beperken of de daarop aangeboden content aan censuur te onderwerpen.(85)

122. Uitgevers van webpagina’s genieten evenzeer de bescherming van artikel 11 van het Handvest. Wie content op internet ter beschikking stelt, maakt daarmee gebruik van de vrijheid van meningsuiting(86), vooral wanneer de uitgever zijn pagina heeft voorzien van links naar andere pagina’s en de indexering of archivering ervan door zoekmachines niet heeft beperkt, en daarmee heeft laten blijken de desbetreffende content alom te willen verspreiden. Publicatie op internet is een middel voor natuurlijke personen om deel te nemen aan discussies of om hun eigen of door anderen op het internet geplaatste content te verspreiden.(87)

123. De onderhavige prejudiciële verwijzing betreft persoonsgegevens die werden gepubliceerd in het historische archief van een dagblad. In zijn arrest Times Newspapers Ltd/Verenigd Koninkrijk (nrs. 1 en 2) merkte het Europees Hof voor de Rechten van de Mens op dat internetarchieven een belangrijke bijdrage leveren aan het bewaren en beschikbaar maken van nieuws en informatie. „Zulke archieven vormen een belangrijke bron voor onderwijs en historisch onderzoek, met name omdat zij goed toegankelijk zijn voor het publiek en over het algemeen gratis zijn. [...] De beoordelingsmarge van de staten bij het tot stand brengen van een evenwicht tussen concurrerende rechten zal echter ruimer zijn waar het gaat om nieuwsarchieven over gebeurtenissen in het verleden, dan wanneer het actuele gebeurtenissen betreft. Met name zal de verplichting van de pers om beginselen van verantwoordelijke verslaggeving in acht te nemen door het betrachten van nauwkeurigheid [mijn cursivering] van gepubliceerde historische, in tegenstelling tot vergankelijke informatie, strenger zijn wanneer publicatie van het materiaal in kwestie niet spoedeisend is.”(88)

124. Commerciële aanbieders van een internetzoekmachine verrichten hun diensten van informatielokalisering bedrijfsmatig, met het oogmerk inkomsten te verwerven uit de trefwoordgerelateerde reclame. Zij doen dit derhalve als ondernemers en worden als zodanig beschermd door de vrijheid van ondernemerschap als erkend in artikel 16 van het Handvest, in overeenstemming met het nationale en het Unierecht.(89)

125. Bovendien dient erop gewezen te worden dat geen van de onderhavige grondrechten absolute gelding heeft. Zij kunnen aan beperkingen worden onderworpen, mits de daarvoor in artikel 52, lid 1, van het Handvest omschreven voorwaarden in acht worden genomen.(90)

E –    Kan een „recht om vergeten te worden” van een betrokkene worden afgeleid uit artikel 7 van het Handvest?

126. Ten slotte moet worden stilgestaan bij de vraag of de uitlegging van de artikelen 12, sub b, en 14, sub a, van de richtlijn in het licht van het Handvest, en met name van artikel 7 daarvan, zou kunnen leiden tot de erkenning van een „recht om vergeten te worden” in de door de nationale rechter omschreven betekenis. Een bevestigend antwoord zou niet op voorhand in strijd zijn met artikel 51, lid 2, van het Handvest, omdat het een precisering betreft van de omvang van de rechten van toegang en verzet van betrokkenen die in de richtlijn reeds worden erkend, en geen nieuwe rechten scheppen of de werkingssfeer van het Unierecht uitbreiden.

127. Het Europees Hof voor de Rechten van de Mens oordeelde in het arrest Aleksey Ovchinnikov/Rusland(91) dat „in bepaalde omstandigheden een beperking van de weergave van informatie die reeds deel uitmaakt van het publieke domein gerechtvaardigd kan zijn, bijvoorbeeld om te voorkomen dat ruimere bekendheid wordt gegeven aan bijzonderheden van het privéleven van een persoon, die niet tot de sfeer behoren van een politieke of publieke discussie over een aangelegenheid van algemeen belang.” Het grondrecht op bescherming van het privéleven kan derhalve in beginsel ook dan worden ingeroepen wanneer de informatie in kwestie al aan de openbaarheid is prijsgegeven.

128. Het recht van een betrokkene op bescherming van zijn privéleven moet evenwel worden afgewogen tegen andere grondrechten, met name de vrijheid van meningsuiting en van informatie

129. De vrijheid van informatie van de uitgever van een dagblad beschermt diens recht om de gedrukte editie van zijn krant in digitale vorm opnieuw te publiceren op internet. Mijns inziens kunnen instanties, met inbegrip van gevensbeschermingsautoriteiten, de herpublicatie niet censureren. Het arrest Times Newspapers Ltd/Verenigd Koninkrijk (nrs. 1 en 2) van het Europees Hof voor de Rechten van de Mens(92) toont aan dat de aansprakelijkheid van de uitgever ter zake van de nauwkeurigheid strikter kan zijn voor oudere publicaties dan voor nieuws met een hogere actualiteitswaarde, en dat een aantekening ter aanvulling van de litigieuze content op zijn plaats kan zijn. Mijns inziens kan er echter geen rechtvaardiging zijn om te verlangen dat digitale herpublicatie van een editie van een dagblad een andere inhoud heeft dan de oorspronkelijke papieren editie; dat zou immers neerkomen op geschiedsvervalsing.

130. Het gegevensbeschermingsprobleem dat aan de onderhavige zaak ten grondslag ligt, doet zich enkel voor wanneer een internetgebruiker de voor- en achternaam van de betrokkene invoert in de zoekmachine en vervolgens een link ontvangt naar de webpagina’s van het dagblad die de litigieuze aankondigingen bevatten. In een dergelijke situatie maakt de internetgebruiker actief gebruik van zijn recht om van een openbare bron informatie over de betrokkene te ontvangen om redenen die alleen hij kent.(93)

131. In de hedendaagse informatiemaatschappij vormt het recht om door middel van zoekmachines op het internet gepubliceerde informatie op te zoeken, een van de belangrijkste uitingen van dat grondrecht. Het omvat ongetwijfeld mede het recht om informatie op te zoeken over andere personen, die in beginsel onder de bescherming valt van het recht op het privéleven, zoals informatie op internet over iemands activiteiten als ondernemer of politicus. Het recht op informatie van een internetgebruiker zou geweld worden aangedaan wanneer zijn zoekactie naar informatie met betrekking tot een persoon zoekresultaten zou opleveren die geen waarheidsgetrouwe weergave zijn van de relevante webpagina’s, maar een gekuiste („bowdlerised”)(94) versie daarvan.

132. Wanneer een aanbieder van een internetzoekmachine instrumenten voor het opsporen van informatie op internet door middel van die zoekmachine beschikbaar stelt, maakt hij op rechtmatige wijze gebruik van zowel zijn vrijheid van ondernemerschap als van zijn vrijheid van meningsuiting.

133. De bijzonder complexe en lastige grondrechtenconstellatie in de onderhavige zaak staat in de weg aan de rechtspositie van betrokkenen onder de richtlijn te versterken en aan te vullen met een recht om vergeten te worden. Dat zou ten koste gaan van centrale rechten als de vrijheid van meningsuiting en informatie. Ik zou het Hof eveneens willen ontraden te beslissen dat tussen deze conflicterende belangen telkens van geval tot geval een bevredigende afweging kan worden gemaakt, die wordt overgelaten aan het oordeel van de aanbieder van de internetzoekmachine. Zulke procedures van „kennisgeving en verwijdering” zullen, wanneer het Hof hiervoor kiest, waarschijnlijk ertoe leiden hetzij dat links naar bestreden contents automatisch worden ingetrokken, hetzij dat de aanbieders van de meest populaire en belangrijke internetzoekmachines een onhanteerbaar aantal verzoeken te behandelen krijgen.(95) In dit verband dient eraan te worden herinnerd dat de procedures van „kennisgeving en verwijdering” waarin richtlijn 2000/31 inzake elektronische handel voorziet, illegale content betreffen, terwijl we in het kader van de onderhavige zaak te maken hebben met een verzoek tot verwijdering van legitieme en legale informatie die in de openbaarheid is geraakt.

134. Vooral moeten de aanbieders van internetzoekmachines niet met een dergelijke verplichting worden opgezadeld. Het zou een inbreuk vormen op de vrijheid van meningsuiting van de uitgever van de webpagina, die in een dergelijk geval geen toereikende rechtsbescherming zou genieten, aangezien een dergelijke ongereguleerde procedure van „kennisgeving en verwijdering” een privé-aangelegenheid tussen de betrokkene en de aanbieder van de zoekmachine zou zijn.(96) Het zou erop neerkomen dat een particulier door hem gepubliceerde content zou kunnen censureren.(97) Iets heel anders is, dat de staten de positieve verplichting hebben om een doeltreffende rechtsgang te bieden tegen een uitgever die inbreuk maakt op de persoonlijke levenssfeer, wat in de context van internet de uitgever van de webpagina zou zijn.

135. Zoals de groep gegevensbescherming artikel 29 heeft opgemerkt, kan de secundaire aansprakelijkheid van de aanbieder van een zoekmachine naar nationaal recht leiden tot een verplichting tot afscherming van websites van derden met illegale content, zoals webpagina’s die inbreuk maken op IP-rechten of informatie van lasterlijke of criminele aard bevatten.(98)

136. Op grond van de richtlijn kan daarentegen geen algemeen recht om te worden vergeten tegen aanbieders van een zoekmachine worden ingeroepen, zelfs niet bij uitlegging ervan conform het Handvest.

137. Derhalve stel ik het Hof voor de derde prejudiciële vraag aldus te beantwoorden dat de rechten op uitwissing en afscherming van gegevens in artikel 12, sub b, en het recht van verzet in artikel 14, sub a, van de richtlijn niet een recht om vergeten te worden omvatten als omschreven in de prejudiciële verwijzing.

VIII – Conclusie

138. Mitsdien geef ik het Hof in overweging, de prejudiciële vragen van de Audiencia Nacional te beantwoorden als volgt:

„1)      Verwerking van persoonsgegevens vindt plaats in het kader van de activiteiten van een ‚vestiging’ van de voor de verwerking verantwoordelijke in de zin van artikel 4, lid 1, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, wanneer de onderneming die de internetzoekmachine aanbiedt, in een lidstaat ten behoeve van de (bevordering van de) verkoop van advertentieruimte op de zoekmachine een kantoor of dochteronderneming opricht en de activiteiten daarvan gericht zijn op de inwoners van die staat.

2)      Een aanbieder van een internetzoekmachine die met zijn zoekmachine door derden op internet gepubliceerde of geplaatste informatie lokaliseert, automatisch indexeert, tijdelijk opslaat en uiteindelijk volgens een bepaalde volgorde ter beschikking stelt aan internetgebruikers, ‚verwerkt’ persoonsgegevens in de zin van artikel 2, sub b, van richtlijn 95/46 wanneer die informatie persoonsgegevens bevat.

De aanbieder van de internetzoekmachine kan ten aanzien van zulke persoonsgegevens echter niet worden aangemerkt als ‚voor de verwerking verantwoordelijke’ in de zin van artikel 2, sub d, van richtlijn 95/46, behalve voor zover het de inhoud van de index van zijn zoekmachine betreft, mits de aanbieder van deze dienst geen persoonsgegevens indexeert of archiveert tegen de aanwijzingen of verzoeken van de uitgever van de webpagina in.

3)      Het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, en het recht van verzet als bedoeld in artikel 14, sub a, van richtlijn 95/46 verlenen de betrokkene niet het recht zich tot de exploitant van een zoekmachine te wenden teneinde indexering te verhinderen van op webpagina’s van derden rechtmatig gepubliceerde informatie die zijn persoon betreft, daarbij als zijn wens te kennen gevend dat deze informatie niet aan internetgebruikers bekend wordt, wanneer hij meent dat deze informatie hem kan benadelen of wanneer hij deze aan de vergetelheid wenst prijs te geven.”

1 – Oorspronkelijke taal: Engels.

2 –      Harvard Law Review, deel IV, nr. 5, 15 december 1890.

3 –      Met de uitdrukking „internet” worden in feite hoofdzakelijk twee diensten aangeduid, te weten het world wide web en het aanbieden van e-mail. Hoewel het internet, als netwerk van onderling verbonden computers, in verschillende vormen al enige tijd bestond, te beginnen met het Arpanet (in de Verenigde Staten), nam het vrij toegankelijke open netwerk met zijn www-addressen en gemeenschappelijke coderingsstructuur zijn aanvang eerst in het begin van de jaren negentig. Al lijkt „world wide web” de historisch juiste term, ik zal, gezien het huidige spraakgebruik en de in de rechtspraak van het Hof gehanteerde terminologie, hierna de term „internet” gebruiken voor het world wide web-gedeelte van dit netwerk.

4 – De locatie van een webpagina wordt geïdentificeerd aan de hand van een individueel adres, de „URL” (Uniform Resource Locator), een in 1994 gecreëerd systeem. Toegang tot een webpagina wordt verkregen door, rechtstreeks of met behulp van een domeinnaam, de URL in de zoekbalk te typen. De webpagina’s moeten gecodeerd zijn in een of andere mark-uptaal. Hypertext Markup Language (HTML) is de voornaamste mark-uptaal voor het aanmaken van webpagina’s en andere informatie die in een zoekbalk kan worden getoond.

5 –      De omvang van deze drie verschijnselen wordt geïllustreerd door de volgende informatie (hoewel exacte gegevens niet voorhanden zijn). Ten eerste wordt geschat dat er wellicht meer dan 600 miljoen websites op het internet zijn, die samen meer dan 40 miljard webpagina’s omvatten. Ten tweede is het aantal zoekmachines veel kleiner: er lijken minder dan 100 belangrijke zoekmachines te bestaan, en op het moment lijkt Google op veel markten daarin een enorm aandeel te hebben. Beweerd is, dat het succes van de zoekmachine van Google berust op bijzonder sterke crawlers of spiders, efficiënte indexeringssystemen en een technologie die het mogelijk maakt de zoekresultaten te rangschikken naar hun relevantie voor de gebruiker (waaronder het gepatenteerde PageRank-algoritme), zie Lopez‑Tarruella, A., „Introduction: Google Pushing the Boundaries of law”, Google and the Law. Empirical Approaches to Legal Aspects of Knowledge‑Economy Business Models, Ed. López‑Tarruella, A., T.M.C. Asser Press, Den Haag, 2012, blz. 2. Ten derde is meer dan driekwart van de Europeanen internetgebruiker, en voor zover zij gebruikmaken van internetzoekmachines kunnen hun persoonlijke gegevens, als gebruikers van zulke machines, worden verzameld en verwerkt door de gebruikte internetzoekmachines.

6 –      Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31).

7 – Zie in het algemeen: advies 1/2008 over gegevensbescherming en zoekmachines (WP 148) van de groep gegevensbescherming artikel 29. Google’s privacybeleid ten aanzien van de gebruikers van haar internetzoekmachines wordt door de gegevensbeschermingsautoriteiten van de lidstaten onder de loep genomen, onder leiding van de Franse gegevensbeschermingsautoriteit (de CNIL). Voor recente ontwikkelingen, zie de brief van 6 oktober 2012 van de groep gegevensbescherming artikel 29 aan Google (te vinden op de in voetnoot 22 genoemde website).

8 –      Zie infra, punt 19.

9 –      Onder „internetzoekmachine” versta ik de combinatie van software en apparatuur waarmee het mogelijk is tekst en audiovisuele content te doorzoeken op het internet. Ik zal in deze conclusie niet ingaan op de specifieke vraagstukken met betrekking tot zoekmachines die opereren binnen een omschreven internetdomein (of website), zoals http://curia.europa.eu. De dienstverlener die toegang verschaft tot een zoekmachine, noem ik „aanbieder van de internetzoekmachine”. In de onderhavige zaak lijkt Google Inc. de aanbieder te zijn die toegang verschaft tot de zoekmachine van Google, alsmede tot diverse andere zoekfuncties zoals maps.google.com en news.google.com.

10 – Arrest van 6 november 2003 (C‑101/01, Jurispr. blz. I‑12971).

11 –      Arrest van 20 mei 2003 (C‑465/00, C‑138/01 en C‑139/01, Jurispr. blz. I‑4989).

12 – Arrest van 16 december 2008 (C‑73/07, Jurispr. blz. I‑9831).

13 –      Arrest van 9 november 2010 (C‑92/09 en C‑93/09, Jurispr. blz. I‑11063).

14 – Arresten van 23 maart 2010, Google France en Google (C‑236/08–C‑238/08, Jurispr. blz. I‑2417); 8 juli 2010, Portakabin (C‑558/08, Jurispr. blz. I‑6963); 18 juni 2011, L’Oréal e.a. (C‑324/09, Jurispr. blz. I‑6011); 22 september 2011, Interflora en Interflora British Unit (C‑323/09, Jurispr. blz. I‑8625), en 19 april 2012, Wintersteiger (C‑523/10).

15 –      Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) [COM(2012) 11 final.].

16 –      BOE nr. 298 van 14 december 1999, blz. 43088.

17 – In punt 11 van de considerans wordt verklaard dat „de in deze richtlijn vervatte beginselen met betrekking tot de bescherming van de rechten en de vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, de beginselen van het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ter zake van de geautomatiseerde verwerking van persoonsgegevens verduidelijken en versterken”.

18 –      Zie advies 1/2010 over de begrippen „voor de verwerking verantwoordelijke” en „verwerker” van de groep gegevensbescherming artikel 29 (WP 169), blz. 3 en 4.

19 – Zie bijvoorbeeld arrest van 25 oktober 2011, eDate Advertising en Martinez (C‑509/09 en C‑161/10, Jurispr. blz. I‑10269, punt 45).

20 – Een dagblad bevat normaliter persoonlijke gegevens zoals namen van natuurlijke personen, die worden verwerkt bij automatische raadpleging daarvan. De verwerking valt binnen de werkingssfeer van de richtlijn wanneer deze niet door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht (zie artikelen 2, sub a en b, en 3, lid 2, van de richtlijn). Het lezen van een papieren document of het tonen van beelden die persoonlijke gegevens bevatten vormt bovendien eveneens gegevensverwerking. Zie Dammann, U. en Simitis, S., „EG‑Datenschutzrichtlinie”, Nomos Verlagsgesellschaft, Baden-Baden, 1997, blz. 110.

21 – Arrest Lindqvist (aangehaald in voetnoot 10, punten 67‑70), met betrekking tot de uitlegging van artikel 25 van de richtlijn.

22 –      De adviezen zijn te vinden op: http://ec.europa.eu/justice/data‑protection/index_en.htm.

23 – Internetzoekmachines zijn voortdurend in ontwikkeling; hier wordt slechts een overzicht gegeven van de thans relevante, meest saillante kenmerken.

24 – Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt („richtlijn inzake elektronische handel”) (PB L 178, blz. 1).

25 – Zie punt 18 van de considerans en artikel 2, sub a, van richtlijn 2000/31 inzake elektronische handel, juncto artikel 1, lid 2, van richtlijn 98/34/EG van het Europees Parlement en de Raad van 22 juni 1998 betreffende een informatieprocedure op het gebied van normen en technische voorschriften (PB L 204, blz. 37), zoals gewijzigd bij richtlijn 98/48/EG van het Europees Parlement en de Raad van 20 juli 1998 (PB L 217, blz. 18).

26 – Arrest Lindqvist (aangehaald in voetnoot 10, punten 25‑27).

27 – Een thans gangbare uitsluitingscode (of „robot exclusion protocol”) draagt de naam „robots.txt”; zie http://en.wikipedia.org/wiki/Robots.txt, of http://www.robotstxt.org/.

28 – Technisch gesproken verhinderen uitsluitingscodes evenwel niet dat gegevens geïndexeerd of getoond worden, omdat de aanbieder van de zoekmachine kan besluiten deze te negeren. De belangrijkste aanbieders van internetzoekmachines, waaronder Google, zeggen dergelijke codes op een bronpagina te respecteren. Zie dienaangaande advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14).

29 – Zie arrest van het Europees Hof voor de Rechten van de Mens (hierna: „EHRM”) van 2 december 2008, K.U./Finland, nr. 2872/02, §§ 43 en 48, ECHR 2008, waar het EHRM verwijst naar het bestaan van positieve verplichtingen die een daadwerkelijke inachtneming van het privé- of gezinsleven meebrengen. Deze verplichtingen kunnen zelfs de vaststelling omvatten van maatregelen ter verzekering van de eerbiediging van andermans privéleven op het gebied van de onderlinge relaties van individuele personen. In de zaak K.U./Finland had de staat een positieve verplichting om te zorgen voor een doeltreffende rechtsgang tegen de verantwoordelijke voor de openbaarmaking.

30 – Het internet is evenwel niet één enkele, door „big brother” ingestelde, enorme databank, maar een gedecentraliseerd systeem met informatie die afkomstig is van ontelbare onafhankelijke bronnen, waar de toegankelijkheid en de verspreiding van informatie afhankelijk is van intermediaire diensten die als zodanig met de inhoud ervan niets te maken hebben.

31 –      Zie in dit opzicht mijn conclusie in de zaak L’Oréal e.a. (aangehaald in voetnoot 14, punten 54 e.v.).

32 –      Dit komt overeen met de hierboven in punt 3 genoemde derde situatie.

33 – Voor een voorbeeld van het advertentiesysteem met behulp van trefwoorden (Google’s AdWords), zie arrest Google France en Google (aangehaald in voetnoot 14, punten 22 en 23); arrest van 25 maart 2010, BergSpechte (C‑278/08, Jurispr. blz. I‑2517, punten 5‑7), en de arresten Portakabin (aangehaald in voetnoot 14, punten 8‑10) en Interflora en Interflora British Unit (aangehaald in voetnoot 14, punten 9‑13).

34 –      Arresten van 5 oktober 2010, McB. (C‑400/10 PPU, Jurispr. blz. I‑8965, punten 51 en 59); 15 november 2011, Dereci e.a. (C‑256/11, Jurispr. blz. I‑11315, punten 71 en 72); 8 november 2012, Iida (C‑40/11, punt 78), en 26 februari 2013, Åkerberg Fransson (C‑617/10, punt 23).

35 –      Zo verzette het Hof zich in het arrest McB. (zojuist aangehaald) tegen een op grond van artikel 7 van het Handvest voorgestelde ruimere uitlegging van het begrip „gezagsrecht” in artikel 2, lid 9, van verordening (EG) nr. 2201/2003 van de Raad van 27 november 2003 betreffende de bevoegdheid en de erkenning en tenuitvoerlegging van beslissingen in huwelijkszaken en inzake de ouderlijke verantwoordelijkheid, en tot intrekking van verordening (EG) nr. 1347/2000 (PB L 338, blz. 1). Dit doet natuurlijk niet eraan af dat, wanneer het niet mogelijk is een wetgevingsbepaling van de Unie in overeenstemming met door het Unierecht beschermde grondrechten uit te leggen, die bepaling moet worden nietig verklaard (zie arrest van 1 maart 2011, Association belge des Consommateurs Test‑Achats e.a., C‑236/09, Jurispr. blz. I‑773, punten 30‑34).

36 – Advies 8/2010 van de groep gegevensbescherming artikel 29 over het toepasselijk recht (WP 179), blz. 8.

37 – Advies 8/2010 van de groep gegevensbescherming artikel 29 (zojuist aangehaald, blz. 24 en 31).

38 –      Artikel 3, lid 2, sub a, van het commissievoorstel (aangehaald in voetnoot 15).

39 – Arrest L’Oréal e.a. (aangehaald in voetnoot 14) en richtlijn 2000/31 inzake de elektronische handel.

40 – Verordening (EG) nr. 44/2001 van de Raad van 22 december 2000 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (PB L 12, blz. 1); arrest van 7 december 2010, Pammer en Hotel Alpenhof (C‑585/08 en C‑144/09, Jurispr. blz. I‑12527), en arrest Wintersteiger (aangehaald in voetnoot 14). Zie ook mijn conclusie in de zaak Pinckney (C‑170/12, nog aanhangig).

41 – Richtlijn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij (PB L 167, blz. 10); arrest van 21 juni 2012, Donner (C‑5/11).

42 – In de verwijzingsbeslissing wordt niet nader aangegeven wat met „zwaartepunt” wordt bedoeld; deze uitdrukking werd evenwel gebruikt door advocaat-generaal Cruz Villalón in zijn conclusie in de zaken eDate Advertising en Martinez (arrest aangehaald in voetnoot 19, punten 32 en 55 van de conclusie).

43 – Advies 8/2010 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 36, blz. 8 en 9). De groep wijst erop dat de uitdrukking „equipment” in de Engelse taalversie van de richtlijn minder ruim is dan de in de andere taalversies gebruikte uitdrukking „middelen” („means”), die tevens niet-materiële voorzieningen omvat, zoals cookies (blz. 20‑21).

44 – Zie met name advies 8/2010 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 36, blz. 19), waar wordt gesteld dat artikel 4, lid 1, sub c, van de richtlijn, niettegenstaande de bewoordingen ervan, van toepassing is wanneer de voor de verwerking verantwoordelijke in de Unie wel vestigingen heeft, maar de activiteiten ervan geen verband houden met de verwerking van persoonsgegevens.

45 – Arrest Google France en Google (aangehaald in voetnoot 14, punt 23).

46 – Arrest Google France en Google (aangehaald in voetnoot 14, punt 25), en advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 5‑6). Het valt eenvoudig na te gaan dat het invoeren van dezelfde trefwoorden op verschillende nationale Google-domeinen kan leiden tot verschillende zoekresultaten en advertenties.

47 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 10).

48 – Zie artikel 2, sub a, van de richtlijn, volgens welke bepaling onder „persoonsgegevens” wordt verstaan „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. De groep gegevensbescherming artikel 29 geeft in haar advies 4/2007 over het begrip persoonsgegeven (WP 136) een uitgebreide reeks voorbeelden. Het Hof bevestigde deze ruime uitlegging in zijn arrest Lindqvist (aangehaald in voetnoot 10, punten 24‑27). Zie tevens de arresten Österreichischer Rundfunk e.a. (aangehaald in voetnoot 11, punt 64) en Satakunnan Markkinapörssi en Satamedia (aangehaald in voetnoot 12, punten 35‑37); arresten van 16 december 2008, Huber (C‑524/06, Jurispr. blz. I‑9705, punt 43); 7 mei 2009, Rijkeboer (C‑553/07, Jurispr. blz. I‑3889, punt 62), en 19 april 2012, Bonnier Audio e.a. (C‑461/10, punt 93), en arrest Volker und Markus Schecke en Eifert (aangehaald in voetnoot 13, punten 23, 55 en 56).

49 – De groep gegevensbescherming artikel 29 wijst erop dat „informatie niet in een gestructureerde gegevensbank of een gestructureerd bestand hoeft te zijn opgenomen om als persoonsgegevens te kunnen worden beschouwd. Ook inlichtingen die als vrije tekst in een elektronisch document voorkomen, kunnen persoonsgegevens zijn [...]” (zie advies 4/2007 van de groep gegevensbescherming, aangehaald in voetnoot 48, blz. 8).

50 – Er zijn overigens ook zoekmachines of functies daarvan die zich specifiek richten op persoonlijke gegevens, die als zodanig geïdentificeerd kunnen worden aan de hand van hun vorm (zoals burgerservicenummers) of samenstelling (tekenreeksen die corresponderen met voor- en achternamen) (zie advies 1/2008 van de groep gegevensbescherming artikel 29, aangehaald in voetnoot 7, blz. 15). Zulke zoekmachines kunnen aanleiding geven tot specifieke vraagstukken van gegevensbescherming die buiten het onderwerp van deze conclusie vallen.

51 – De zogeheten „orphan pages”, die geen verwijzingen naar andere webpagina’s bevatten, blijven echter ontoegankelijk voor de zoekmachines.

52 – Door de spider gevonden webpagina’s worden opgeslagen in Google’s indexbank, waar deze alfabetisch per zoekterm worden gesorteerd; onder elke indexterm wordt de lijst van documenten opgeslagen die deze term alsmede de plaats in de tekst waar hij voorkomt, bevatten. Bepaalde woorden als lidwoorden, voornaamwoorden en gangbare bijwoorden of losstaande cijfers of letters worden niet geïndexeerd. Zie http://www.googleguide.com/google_works.html.

53 – Deze kopieën (zogeheten „snapshots”) van de in Google’s cachegeheugen opgeslagen webpagina’s bestaan slechts uit HTML-codes, en niet uit beelden die van de oorspronkelijke locatie worden geladen. Zie Peguera, M., „Copyright Issues Regarding Google Images and Google Cache”, Google and the Law, aangehaald in voetnoot 5, blz. 169–202, blz. 174).

54 – Aanbieders van internetzoekmachines geven de webmasters meestal toestemming om nadat hun webpagina is bijgewerkt, te verzoeken om aanpassing van de cache-kopie. Aanwijzingen dienaangaande zijn te vinden op Google’s pagina „Webmaster Tools”.

55 – Kennelijk spreken andere taalversies van de richtlijn dan de Engelse, waaronder de Franse, de Duitse, de Spaanse, de Zweedse en de Nederlandse, van de „verantwoordelijke” voor de gegevensverwerking, tegenover de Engelse uitdrukking „controller”. Sommige taalversies, waaronder de Finse en Poolse, gebruiken meer neutrale termen (het Fins „rekisterinpitäjä”; het Pools „administrator danych”).

56 – Arrest Lindqvist (aangehaald in voetnoot 10, punt 68).

57 –      Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14, voetnoot 17). Volgens het advies valt de rol van gebruikers over het algemeen niet onder de richtlijn omdat hun activiteiten „uitsluitend persoonlijke [...] doeleinden” dienen. Ik acht deze stelling niet houdbaar. In het algemeen gebruiken internetgebruikers zoekmachines ook voor doeleinden die niet uitsluitend persoonlijk zijn, zoals voor werk, studie, bedrijf of activiteiten in de non-profitsector.

58 – De groep gegevensbescherming artikel 29 geeft in haar advies 4/2007 (aangehaald in voetnoot 48) een groot aantal voorbeelden van het begrip (verwerking van) persoonsgegevens waarbij ook de voor de verwerking verantwoordelijke is betrokken, en naar mijn mening is deze voorwaarde in alle voorbeelden vervuld.

59 – Advies 1/2010 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 18, blz. 9).

60 – Ibidem (blz. 14).

61 – Dammann en Simitis (blz. 120) merken op dat verwerking met behulp van geautomatiseerde procédés niet enkel betrekking moet hebben op de drager waarop de gegevens zijn vastgelegd („Datenträger”), maar tevens op de gegevens zelf in hun semantische of inhoudelijke hoedanigheid. Mijns inziens is cruciaal dat persoonsgegevens volgens de richtlijn „informatie” zijn, met andere woorden semantisch relevante content.

62 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14).

63 – Arrest Lindqvist (aangehaald in voetnoot 10, punt 27).

64 – Arrest Satakunnan Markkinapörssi en Satamedia (aangehaald in voetnoot 12, punt 37).

65 – Advies 1/2010 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 18, blz. 4 en 9).

66 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14).

67 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14), die hier evenwel aan toevoegt dat de omvang van de verplichting om persoonsgegevens te verwijderen of blokkeren, afhankelijk kan zijn van het civiele recht van de betrokken lidstaat inzake onrechtmatige daad en aansprakelijkheidsregelingen. In sommige lidstaten voorziet de nationale wetgeving in procedures voor kennisgeving en verwijdering die de aanbieder van de internetzoekmachine in acht moet nemen om aansprakelijkheid te ontlopen.

68 – Volgens een auteur past Google in vrijwel alle landen zulke filters toe, bijvoorbeeld wanneer intellectuele-eigendomsrechten geschonden worden. In de Verenigde Staten is bovendien informatie gefilterd die kritisch is over scientology. In Frankrijk en Duitsland filtert Google zoekresultaten voor „Nazi memorabilia, ontkenning van de Holocaust, de superioriteit van het blanke ras en sites die propaganda bevatten tegen de democratische grondwettelijke orde”. Voor meer voorbeelden, zie Friedmann, D., „Paradoxes, Google and China: How Censorship can Harm and Intellectual Property can Harness Innovation”, Google and the Law, aangehaald in voetnoot 5, blz. 303‑327, blz. 307).

69 – Zie supra, punt 41.

70 – Zie het Eerste verslag over de toepassing van [richtlijn 2000/31 inzake elektronische handel], COM(2003) 702 definitief (blz. 15, voetnoot 69), en advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 13, voetnoot 16).

71 – Zie supra, punt 41.

72 – De mate waarin een natuurlijk persoon te identificeren valt aan de hand van diens persoonsnaam, is contextgebonden. Een gangbare naam volstaat wellicht niet om een persoon op het internet te individualiseren, maar wel in bijvoorbeeld een schoolklas. Bij de verwerking van persoonsgegevens met gebruik van computers wordt een persoon meestal aangeduid met een uniek identifcatiemiddel om verwarring tussen twee personen te voorkomen. Een typisch voorbeeld hiervan zijn burgerservicenummers. Zie dienaangaande de adviezen 4/2007 (aangehaald in voetnoot 48, blz. 13) en 1/2008 (aangehaald in voetnoot 7, blz. 9, voetnoot 11) van de groep gegevensbescherming artikel 29.

73 – Het is echter interessant dat het Europees Hof voor de Rechten van de Mens in de context van door overheidsinstanties bewaarde gegevens heeft geoordeeld: „Het nationale recht dient met name te waarborgen dat zulke gegevens ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden opgeslagen, en dat zij niet worden bewaard in een vorm die het mogelijk maakt de betrokkenen langer te identificeren dan nodig is voor het doel waarvoor zij worden opgeslagen (zie arrest EHRM van 4 december 2008, S. en Marper/Verenigd Koninkrijk, nrs. 30562/04 en 30566/04, § 103, ECHR 2008; zie ook bijvoorbeeld arrest EHRM van 6 juni 2006, Wiberg e.a./Zweden, nr. 62332/00, met name § 90, ECHR 2006‑VII). Het Europees Hof voor de Rechten van de Mens heeft echter in het kader van artikel 10 EVRM, inzake de vrijheid van meningsuiting „de belangrijke bijdrage van internetarchieven aan het bewaren en beschikbaar maken van nieuws en informatie” erkend [arrest EHRM van 10 maart 2009, Times Newspapers Ltd/Verenigd Koninkrijk (nrs. 1 en 2), nrs. 3002/03, 23676/03, § 45, ECHR 2009].

74 – Zie supra, punt 41.

75 – Vergelijk artikel 14 van richtlijn 2000/31 inzake elektronische handel.

76–      Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14).

77 – Deze benadering volgde het Hof in zijn arrest McB. (aangehaald in voetnoot 34, punten 44 en 49).

78 – Arrest van 24 november 2011, ASNEF en FECEMD (C‑468/10 en C‑469/10, Jurispr. blz. I‑12181, punten 44‑45). Het EHRM heeft opgemerkt dat de openbaarmaking van persoonlijke gegevens elders een einde maakt aan het hogere belang van bescherming van de vertrouwelijkheid (arrest van 16 december 2010, Aleksey Ovchinnikov/Rusland, nr. 24061/04, § 49).

79 – Arresten EHRM van 16 december 1992, Niemietz/Duitsland, nr. 13710/88, § 29, Serie A nr. 251 B; 16 februari 2000, Amann/Zwitserland, nr. 27798/95, § 65, ECHR 2000‑II, en 4 mei 2000, Rotaru/Roemenië, nr. 28341/95, § 43, ECHR 2000 V.

80 – Aangehaald in voetnoot 13, punt 52.

81 – Het EHRM heeft daarentegen ervan afgezien het privéleven in positieve termen te definiëren. Volgens het EHRM is het begrip privéleven veelomvattend en kan het als zodanig niet uitputtend worden omschreven (zie arrest van 25 maart 1993, Costello‑Roberts/Verenigd Koninkrijk, nr. 13134/87, § 36, Serie A nr. 247‑C).

82 – Over positieve verplichtingen van een staat om actief het privéleven te beschermen tegen inbreuken door particulieren, en de noodzaak om een dergelijke verplichting in evenwicht te brengen met het recht van vrije meningsuiting van de laatste, zie bijvoorbeeld arresten EHRM van 24 juni 2004, Von Hannover/Duitsland, nr. 59320/00, ECHR 2004–VI, en 18 april 2013, Ageyevy/Rusland, nr. 7075/10.

83 – Arresten EHRM van 7 december 1976, Handyside/Verenigd Koninkrijk, § 49, Serie A nr. 24; 24 mei 1988, Müller e.a./Zwitserland, § 33, Serie A nr. 133; 26 september 1995, Vogt/Duitsland, § 52, Serie A nr. 323, en 12 februari 2008, Guja/Moldavië [GC], nr. 14277/04, § 69, ECHR 2008. Zie ook arrest Hof van 6 maart 2001, Connolly/Commissie (C‑274/99 P, Jurispr. blz. I‑1611, punt 39), en de conclusie van avocaat-generaal Kokott in de zaak Satakunnan Markkinapörssi en Satamedia (arrest aangehaald in voetnoot 12, punt 38).

84 –      Arrest van 16 februari 2012, SABAM (C‑360/10, punt 48).

85 – Verenigde Naties, Mensenrechtenraad, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue (Document A/HRC/17/27), van 16 mei 2011.

86 – Arrest Satakunnan Markkinapörssi en Satamedia (aangehaald in voetnoot 12, punt 60).

87 – Er zij eraan herinnerd dat de uitzonderingen voor de journalistiek in artikel 9 van de richtlijn gelden „niet alleen voor mediaondernemingen maar voor alle in de journalistiek werkzame personen” (arrest Satakunnan Markkinapörssi en Satamedia, aangehaald in voetnoot 12, punt 58).

88 – Arrest EHRM, Times Newspapers Ltd/Verenigd Koninkrijk (nrs. 1 en 2) (aangehaald in voetnoot 73, § 45).

89 – Arrest Hof van 24 november 2011, Scarlet Extended (C‑70/10, Jurispr. blz. I‑11959, punt 46), en arrest SABAM (aangehaald in voetnoot 84, punt 44).

90 – Zie tevens arrest van 18 maart 2010, Alassini e.a. (C‑317/08–C‑320/08, Jurispr. blz. I‑2213, punt 63), waarin het Hof oordeelde dat „volgt uit vaste rechtspraak dat de grondrechten geen absolute gelding hebben, maar beperkingen kunnen bevatten, mits deze werkelijk beantwoorden aan de doeleinden van algemeen belang die met de betrokken maatregel worden nagestreefd, en, het nagestreefde doel in aanmerking genomen, geen onevenredige en onduldbare ingreep impliceren, waardoor de gewaarborgde rechten in hun kern worden aangetast (zie in die zin arrest van 15 juni 2006, Dokter e.a., C‑28/05, Jurispr. blz. I‑5431, punt 75 en aldaar aangehaalde rechtspraak, alsmede arrest EHRM van 21 november 2001, Fogarty/Verenigd Koninkrijk, nr. 37112/97, § 33, Recueil des arrêts et décisions 2001-XI)”.

91 – Aangehaald in voetnoot 78, § 50.

92 – Aangehaald in voetnoot 73.

93 – Over het recht om informatie te ontvangen, zie arresten EHRM van 26 november 1991, Observer en Guardian/Verenigd Koninkrijk, § 60, Serie A nr. 216, en 27 november 2007, Timpul Info‑Magazin en Anghel/Moldavië, nr. 42864/05, § 34.

94 – Thomas Bowdler (1754–1825) deed een gekuiste uitgave van de werken van William Shakespeare het licht zien, die gepaster werd geacht voor de 19e-eeuwse vrouwen en kinderen dan de oorspronkelijke.

95 – Arrest SABAM (aangehaald in voetnoot 84, punten 45‑47).

96 – Zie mijn conclusie in de zaak L’Oréal e.a. (arrest aangehaald in voetnoot 14, punt 155 conclusie).

97 – Arrest SABAM (aangehaald in voetnoot 84, punten 48 en 50).

98 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14 en 15).