Language of document : ECLI:EU:C:2017:796

Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

YVES BOT

föredraget den 24 oktober 2017(1)

Mål C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

mot

Wirtschaftsakademie Schleswig-Holstein GmbH,

i närvaro av

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

(begäran om förhandsavgörande från Bundesverwaltungsgericht (Federala högsta förvaltningsdomstolen, Tyskland))

”Begäran om förhandsavgörande – Direktiv 95/46/EG – Artiklarna 2, 4 och 28 – Skydd för enskilda personer med avseende på behandling av personuppgifter samt det fria flödet av sådana uppgifter – Föreläggande om avaktivering av en fanpage på det sociala nätverket Facebook – Begreppet registeransvarig – Ansvar för den som driver en fanpage – Solidariskt ansvar – Tillämplig nationell rätt – Omfattningen av tillsynsmyndigheternas befogenheter att ingripa”






1.        Begäran om förhandsavgörande avser tolkningen av artiklarna 2 d, 4.1, 17.2 och 28.3 och 28.6 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter,(2) i dess lydelse enligt Europaparlamentets och rådets förordning (EG) nr 1882/2003 av den 29 september 2003.(3)

2.        Begäran har framställts i ett mål mellan, å ena sidan, Wirtschaftsakademie Schleswig-Holstein GmbH, som är ett privaträttsligt bolag som är specialiserat på utbildning (nedan kallat Wirtschaftsakademie) och, å andra sidan, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, som är en regional myndighet för skydd av personuppgifter i Schleswig-Holstein (nedan kallad Landeszentrum), angående lagenligheten hos ett föreläggande som utfärdats av sistnämnda mot Wirtschaftsakademie om avaktivering av en så kallad fanpage som de har hos Facebook Ireland Ltd.

3.        Föreläggandet motiveras av det påstådda åsidosättandet av de tyska bestämmelserna om införlivande av direktiv 95/46, bland annat till följd av den omständigheten att de som besöker en fanpage inte har underrättats om att deras personuppgifter samlas in av det sociala nätverket Facebook (nedan kallat Facebook) med hjälp av cookies som lagrats på deras hårddisk. Uppgifterna samlades in för att upprätta en användarstatistik för den som driver denna fanpage och för att göra det möjligt att sprida riktad reklam genom Facebook.

4.        Fenomenet webtracking som består i att observera och analysera internetanvändarnas beteende för kommersiella syften och marknadsföringssyften utgör bakgrunden till förevarande mål. webtracking möjliggör bland annat att fastställa internetanvändarnas intressen med utgångspunkt från observationer av deras internetsurfning. Det talas således om beteendestyrd webtracking. Sistnämnda sker i allmänhet med hjälp av cookies.

5.        Dessa cookies är textfiler som innehåller en identifierare som registreras på internetanvändarens dator när denne besöker en webbplats.

6.        Webtracking används bland annat i syfte att på ett effektivare sätt optimera och konfigurera en webbplats. Webtracking möjliggör även för annonsörer att inrikta sig på olika marknadssegment.

7.        Enligt den definition som artikel 29-arbetsgruppen avseende uppgiftsskydd(4) fastställde i yttrandet nr 2/2010 av den 22 juni 2010 om beteendestyrd annonsering på nätet(5) är ”beteendestyrd annonsering en form av annonsering som grundar sig på en studie av den enskildes beteende över tiden. Den avser att studera egenskaperna hos beteendet genom deras handlingar (på varandra följande besök på webbplatser, samspel, nyckelord, produktionen av innehåll online etc) för att bestämma en specifik profil och erbjuda berörda personer reklam som är anpassad till deras intressen vilka kunnat fastställas”.(6) I detta syfte ska information som härrör från användarens webbläsare och teleterminalutrustning insamlas och därefter utvärderas. Den viktigaste tekniken för spårning som gör det möjligt att följa användarna på internet grundar sig på spårningscookies.(7) Vid ”beteendestyrd annonsering används således uppgifter som insamlats avseende en Internetanvändares surfvanor, såsom besökta webbplatser eller de sökningar som gjorts, för att välja ut den reklam som ska visas för honom eller henne.”(8)

8.        Spårningen av surfvanor gör det även möjligt att tillhandahålla företag som driver webbplatser användarstatistik avseende de personer som besöker dessa webbplatser.

9.        Insamling och utvärdering av personuppgifter i syfte att upprätta användarstatistik och sprida riktad reklam ska uppfylla vissa villkor för att vara förenlig med bestämmelserna om skydd för personuppgifter enligt direktiv 95/46. Framför allt kan denna behandling inte ske utan att de berörda personerna underrättats och samtycke inhämtats på förhand.

10.      Innan frågan om förenlighet med bestämmelserna i direktiv 95/46 prövas ska emellertid flera frågor avseende definitionen av en registeransvarig och fastställandet av tillämplig nationell rätt och av den myndighet som har befogenhet att ingripa besvaras.

11.      Frågan rörande identifieringen av en registeransvarig är särskilt svår i en situation där en ekonomisk aktör inte beslutar att installera de verktyg som krävs för att upprätta användarstatistik på sin webbplats och sprida målinriktad reklam, utan använder ett socialt nätverk som Facebook genom att öppna en fanpage för att dra nytta av liknande verktyg.

12.      De frågor som rör fastställandet av tillämplig nationell rätt och av den myndighet som har befogenhet att ingripa blir också komplicerade när behandlingen av berörda personuppgifter involverar flera enheter som är belägna såväl utanför som inom Europeiska unionen.

13.      I ett läge där tillsynsmyndigheterna i flera medlemsstater under de senaste månaderna har beslutet att ålägga Facebook böter på grund av åsidosättande av bestämmelser om skydd för Facebook-användarnas uppgifter(9) möjliggör förevarande mål för domstolen att precisera omfattningen av den behörighet att ingripa som en sådan tillsynsmyndighet som Landeszentrum har med avseende på en behandling av personuppgifter som innebär ett deltagande av flera aktörer.

14.      För att göra tydligt vad som står på spel i rättsligt hänseende i förevarande mål är det lämpligt att inledningsvis redogöra för de faktiska omständigheterna i målet vid den nationella domstolen.

I.      Bakgrund till det nationella målet och tolkningsfrågorna

15.      Wirtschaftsakademie erbjuder utbildning via en fanpage på det sociala nätverket Facebook.

16.      Fanpage är användarkonton som kan konfigureras på Facebook bland annat av enskilda eller företag. För att göra detta måste den som driver en fanpage registrera sig hos Facebook och kan således använda den plattform som drivs av sistnämnda för att presentera sig för användarna i detta sociala nätverk och framföra alla slags yttranden för att bland annat utveckla en kommersiell verksamhet.

17.      De som driver fanpages på Facebook kan med hjälp av det kostnadsfria verktyget ”Facebook-Insights” som är en icke förhandlingsbar del av användarförhållandet få statistik om användare. Denna statistik framställs av Facebook och personaliseras av den som driver en fanpage med hjälp av olika kriterier som sistnämnda kan välja, såsom ålder eller kön. Nämnda statistik ger således anonymiserad information om egenskaperna och vanorna hos de personer som har besökt fanpages och möjliggör således för dem som driver dessa fanpages att bättre rikta sina meddelanden.

18.      För att framställa sådan användarstatistik skapas som minst en cookie som innehåller ett unikt identifieringsnummer, som är aktivt i två år, av Facebook på hårddisken hos den person som har besökt fanpagen. Det identifieringsnummer som kan kopplas till uppkopplingsuppgifterna för de användare som är registrerade på Facebook insamlas och bearbetas när Facebook-sidorna öppnas.

19.      Med beslut av den 3 november 2011 utfärdade Landeszentrum ett föreläggande mot Wirtschaftsakademie enligt 38 § femte stycket första meningen i Bundesdatenschutzgesetz (federala dataskyddslagen, nedan kallad BDSG).(10) Föreläggandet anmodade Wirtschaftsakademie att avaktivera den fanpage som den hade upprättat på Facebook på webbadressen https://www.facebook.com/wirtschaftsakademie, vid vite om Wirtschaftsakademie underlät att vidta åtgärder inom den föreskrivna fristen, med motiveringen att varken Wirtschaftsakademie eller Facebook underrättade besökarna på fanpagen om att sistnämnda insamlade deras personuppgifter med hjälp av cookies och att den därefter bearbetade dessa uppgifter. Wirtschaftsakademie begärde omprövning av föreläggandet och gjorde gällande att den med hänsyn till den lagstiftning som var tillämplig på skyddet för uppgifter varken var ansvarig för Facebooks bearbetning av uppgifter eller för de cookies som sistnämnda skapat.

20.      Med beslut av den 16 december 2011 avslog Landeszentrum begäran med motiveringen att det ansvar som kunde tillskrivas Wirtschaftsakademie i egenskap av tjänsteleverantör hade fastställts i enlighet med § 3.3 punkt 4 och § 12.1 Telemediengesetz (lagen om elektronisk media).(11) Wirtschaftsakademie har genom att upprätta en fanpage även aktivt och frivilligt bidragit till Facebooks insamling av personuppgifter, som den drog nytta av genom statistik avseende användarna som det sociala nätverket ställde till förfogande.

21.      Wirtschaftsakademie överklagade detta beslut till Verwaltungsgericht (Förvaltningsdomstolen, Tyskland). Wirtschaftsakademie gjorde gällande att den inte kan tillskrivas ansvar för Facebooks behandling av uppgifter och att den inte heller hade gett Facebook i uppdrag i den mening som avses i 11 § BDSG(12) att utföra en behandling av uppgifter som den kontrollerade eller kunde påverka. Wirtschaftsakademie anser således att Landeszentrum felaktigt riktade sig till Wirtschaftsakademie och inte direkt till Facebook.

22.      Genom dom av den 9 oktober 2013 upphävde Verwaltungsgericht (förvaltningsdomstol) det angripna beslutet med motiveringen att någon som driver en fanpage på Facebook inte är ”registeransvarig” i den mening som avses i 3 § sjunde stycket BDSG(13) och att Wirtschaftsakademie därför inte heller kunde vara föremål för en åtgärd enligt 38 § femte stycket BDSG.

23.      Oberverwaltungsgericht (överförvaltningsdomstol, Tyskland) ogillade Landeszentrums överklagande av denna dom. Den ansåg att förbudet mot behandling av uppgifter som anges i det angripna beslutet var rättsstridigt, eftersom ett stegvis förfarande fastställs i 38 § femte stycket andra meningen BDSG. I det första steget kan enbart åtgärder vidtas mot de överträdelser som konstaterats vid behandlingen av uppgifter. Ett omedelbart förbud mot behandling av uppgifter kommer enbart i fråga om ett förfarande för behandling av uppgifter är rättsstridigt i sin helhet och detta endast kan åtgärdas genom att förfarandet upphävs. Enligt Oberverwaltungsgericht (överförvaltningsdomstol) förhåller det sig emellertid inte på så sätt i förevarande fall, eftersom Facebook hade möjlighet att få de överträdelser som Landeszentrum gjort gällande att upphöra.

24.      Föreläggandet ansågs även vara rättstridigt av det skälet att klaganden inte är ”registeransvarig” i den mening som avses i 3 § sjunde stycket BDSG med avseende på de uppgifter som Facebook samlar in med anledning av att en fanpage drivs och att förelägganden enligt 38 § femte stycket BDSG endast kan riktas mot registeransvariga. I förevarande fall bestämde Facebook ensamt om ändamålen och medlen för insamlingen och behandlingen av personuppgifter som användes för verktyget ”Facebook-Insight”. Klaganden erhöll enbart anonymiserad statistisk information.

25.      Enligt 38 § femte stycket BDSG kan förelägganden inte utfärdas mot tredje män. Rättsfiguren Störerhaftung (indirekt ansvar) på internet som har utvecklats i den tyska civilrätten kan inte tillämpas analogt på förvaltningsrättsliga förelägganden (uppgifter som myndighetsutövning). Även om den som kan vara föremål för ett förbudsföreläggande inte uttryckligen anges i 38 § femte stycket BDSG följer det av lagstiftningens systematik, andemening och syfte och av dess bakgrund att förelägganden endast kan riktas mot registeransvariga.

26.      Genom sitt överklagade till Bundesverwaltungsgericht (Federala högsta förvaltningsdomstolen, Tyskland) gjorde Landeszentrum särskilt gällande att 38 § femte stycket BDSG hade åsidosatts och att överdomstolen gjort sig skyldig till flera förfarandefel. Den anser att den överträdelse som Wirtschaftsakademie gjort sig skyldig till består i att den gett en leverantör som är olämplig, eftersom gällande uppgiftsskyddslagstiftning inte har iakttagits, i förevarande fall Facebook Ireland, i uppdrag att upprätta, vara värd för och upprätthålla en webbplats. Föreläggandet om avaktivering syftade således till att åtgärda denna överträdelse som Wirtschaftsakademie gjort sig skyldig till. Det innebar nämligen att Wirtschaftsakademie förbjöds att fortsätta att använda den infrastruktur som Facebook erbjuder som teknisk grund för sin webbplats.

27.      Den hänskjutande domstolen anser att Wirtschaftsakademie med avseende på intervenientens, det vill säga Facebook Irelands, insamling och bearbetning av uppgifter som hänför sig till användarna av deras fanpage, inte är det ”organ som samlar in, behandlar eller använder personuppgifter för egen räkning eller ger i uppdrag åt en annan att göra det” i den mening som avses i 3 § sjunde stycket BDSG eller det ”organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter” i den mening som avses i artikel 2 d i direktiv 95/46. Visserligen ger Wirtschaftsakademie genom sitt beslut att upprätta en fanpage på den plattform som drivs av Facebook Ireland respektive dess moderbolag (Facebook Inc., Förenta staterna) objektivt Facebook Ireland möjligheten att när en användare öppnar nämnda fanpage skapa cookies och samla in data med hjälp av dessa. Av detta beslut följer emellertid inte att Wirtschaftsakademie genom Facebook Ireland kan påverka, styra, gestalta eller på annat sätt kontrollera ändamålen och medlen för bearbetningen av uppgifter som är hänförliga till användarna av deras fanpage. Inte heller ger användarvillkoren för fanpagen Wirtschaftsakademie någon rätt till inverkan eller kontroll i detta avseende. Användarvillkoren som ensidigt fastställts av Facebook Ireland är inte ett resultat av en förhandlingsprocess i det enskilda fallet och ger inte heller Wirtschaftsakademie rätt att förbjuda Facebook Ireland att samla in och behandla uppgifter som är hänförliga till fanpagens användare.

28.      Den hänskjutande domstolen medger att begreppet ”registeransvarig” i artikel 2 d i direktiv 95/46 i princip ska ges en vid tolkning, för att säkerställa ett effektivt skydd av privatlivet. Wirtschaftsakademie kan emellertid inte anses som registeransvarig, eftersom den inte rättsligt eller faktiskt inverkar på det sätt på vilket Facebook Ireland behandlar personuppgifterna på eget ansvar och helt självständigt. I detta avseende räcker det inte att Wirtschaftsakademie objektivt kan dra nytta av verktyget ˮFacebook-Insightsˮ som drivs av Facebook Ireland, eftersom de anonymiserade uppgifterna överförs till Wirtschaftsakademie för användning av dess fanpage.

29.      Den hänskjutande domstolen har anfört att Wirtschaftsakademie inte heller kan anses som registeransvarig när behandling av uppgifter utförs för dennes räkning i den mening som avses i 11 § BDSG samt i artiklarna 2 e och 17.2 och 17.3 i direktiv 95/46.

30.      Den hänskjutande domstolen anser att det behöver klargöras om, och på vilka villkor, tillsynsmyndigheternas befogenheter att kontrolla och ingripa när det gäller skydd av uppgifter enbart kan utövas gentemot den registeransvarige i den mening som avses i artikel 2 d i direktiv 95/46, eller om det är möjligt att hålla ett organ som inte är registeransvarigt enligt definitionen i samma bestämmelse ansvarigt vid detta organs val att använda Facebook för sitt informationsutbud.

31.      Den hänskjutande domstolen vill i det sistnämnda fallet få klarhet i huruvida ett sådant ansvar kan grundas på en analog tillämpning av skyldigheten att välja och kontrollera som följer av artikel 17.2 i direktiv 95/46 vid behandling av personuppgifter för den registeransvariges räkning.

32.      För att kunna avgöra lagenligheten hos det föreläggande som utfärdats i förevarande fall, krävs enligt den hänskjutande domstolen även att vissa punkter avseende tillsynsmyndigheternas behörighet och omfattningen av deras befogenheter att ingripa klargörs.

33.      Den hänskjutande domstolen vill särskilt få klarhet avseende fördelningen av behörigheter mellan tillsynsmyndigheter i det fall där ett moderbolag, såsom Facebook Inc., har flera etableringsställen i EU och de uppgifter som tilldelas dessa etableringsställen inom koncernen skiljer sig åt.

34.      Den hänskjutande domstolen har i detta avseende erinrat om att domstolen i dom av den 13 maj 2014, Google Spain och Google(14) slog fast att ”artikel 4.1 a i direktiv 95/46 ska tolkas så, att det utförs en behandling av personuppgifter som ett led i verksamheterna vid ett etableringsställe tillhörande den registeransvarige på en medlemsstats territorium, i den mening som avses i denna bestämmelse, när sökmotorleverantören etablerar en filial eller ett dotterbolag i en medlemsstat för att marknadsföra och sälja reklamutrymme hos sökmotorn och filialen eller dotterbolagets verksamhet är riktad mot invånarna i den medlemsstaten.”(15) Den hänskjutande domstolen vill veta om anknytningen till ett sådant etableringsställe som Facebook Germany GmbH, som enligt de upplysningar som lämnats i beslutet om hänskjutande är ansvarigt för marknadsföring och försäljning av reklamutrymme och andra marknadsföringsåtgärder som är riktade mot invånarna i Tyskland, vid tillämpningen av direktiv 95/46 och fastställandet av en behörig tillsynsmyndighet även kan tillämpas i en situation, där en filial som är etablerad i en annan medlemsstat (här Irland) uppträder som ”registeransvarig” i hela unionens territorium.

35.      Den hänskjutande domstolen har med avseende på dem som kan vara föremål av en åtgärd som vidtagits enligt artikel 28.3 i direktiv 95/46 anfört att ett föreläggande som utfärdats mot Wirtschaftsakademie i föreliggande fall skulle kunna vara föremål för en oriktig bedömning och följaktligen vara lagstridigt om de överträdelser mot personuppgiftslagstiftningen som Landeszentrum påstår skulle kunna avhjälpas med åtgärder direkt mot dotterbolaget Facebook Germany som är etablerat i Tyskland.

36.      Den hänskjutande domstolen har även påpekat att Landeszentrum inte anser sig vara bunden av den irländska tillsynsmyndighetens (Data Protection Commissioner, Irland) konstateranden och bedömningar, som enligt de uppgifter som lämnats av Wirtschaftsakademie och av Facebook Ireland inte har bestritt den aktuella behandlingen av personuppgifter. Den hänskjutande domstolen vill således veta dels om en sådan självständig bedömning som Landeszentrum gjort är tillåten, dels om artikel 28.6 andra meningen i direktiv 95/46 innebär att Landeszentrum med hänsyn till de skillnader i bedömning som rådde mellan dessa två tillsynsmyndigheter om huruvida den aktuella behandlingen av uppgifter var förenlig med bestämmelserna i direktiv 95/46, var tvungen att anmoda tillsynsmyndigheten i dataskyddsfrågor att utöva sina befogenheter gentemot Facebook Ireland.

37.      Mot denna bakgrund beslutade Bundesverwaltungsgericht (Federala högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1.      Ska artikel 2 d i direktiv 95/46 tolkas så, att bestämmelsen uttömmande reglerar ansvar och skyldighet för överträdelser av skyddet för personuppgifter, eller kvarstår inom ramen för ”lämpliga bestämmelser” enligt artikel 24 i [det direktivet] … och ”effektiva befogenheter” enligt artikel 28.3 andra strecksatsen i [direktivet] … i informationsleverantörsförhållanden i flera nivåer utrymme för ansvar för ett organ som inte i den mening som avses i artikel 2 d i [nämnda] direktiv … är ansvarigt för behandlingen av uppgifter, vid detta organs val av leverantör för sitt informationsutbud?

2.      Följer av medlemsstaternas skyldighet enligt artikel 17.2 i direktiv 95/46 att föreskriva att den registeransvarige när behandling av uppgifter utförs för dennes räkning ska välja ”en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas”, motsatsvis att det vid andra användningsförhållanden som inte står i samband med behandling av personuppgifter för den registeransvariges räkning i den mening som avses i artikel 2 e i [detta direktiv] …, inte föreligger någon skyldighet att omsorgsfullt välja leverantör och att ett sådant krav inte heller kan uppställas i nationell lagstiftning?

3.      Innebär artiklarna 4 och 28.6 i direktiv 95/46 att i de fall då ett moderbolag med säte utanför Europeiska unionen är etablerat i flera medlemsstater genom juridiskt självständiga organ (dotterbolag), har tillsynsmyndigheten i en medlemsstat (här Tyskland) rätt att utöva befogenheterna som den tilldelas enligt artikel 28.3 i [direktivet]… mot etableringsstället i det egna territoriet, om detta etableringsställe endast ansvarar för försäljning av reklam och andra marknadsföringsåtgärder som är riktade till invånarna i denna medlemsstat, medan ett självständigt etableringsställe (dotterbolag) i en annan medlemsstat (här Irland) enligt den koncerninterna uppgiftsfördelningen ensamt har ansvaret för insamling och behandling av personuppgifter inom hela Europeiska unionens territorium och därmed även i den andra medlemsstaten (här Tyskland), när det faktiska beslutet om behandlingen av uppgifter fattas av moderbolaget?

4)      Ska artiklarna 4.1 och 28.3 i direktiv 95/46 tolkas så, att i fall då en registeransvarig är etablerad inom en medlemsstats territorium (här Irland) och även är etablerad inom en annan medlemsstats territorium (här Tyskland) genom ett juridiskt självständigt organ, som bl.a. ansvarar för försäljning av reklamplatser och vars verksamhet är riktad till invånarna i denna medlemsstat, så kan den ansvariga tillsynsmyndigheten i denna andra medlemsstat (här Tyskland) rikta åtgärder och förelägganden för genomförande av personuppgiftsskydd även mot det andra etableringsstället som enligt den koncerninterna uppgifts- och ansvarsfördelningen inte är ansvarigt för behandling av uppgifter (här i Tyskland), eller kan endast tillsynsmyndigheten i den medlemsstat (här Irland) inom vars territorium det koncerninternt ansvariga organet är etablerat vidta åtgärder och utfärda förelägganden?

5)      Ska artiklarna 4.1 a och  28.3 och 28.6 i direktiv 95/46 tolkas så, att i fall då tillsynsmyndigheten i en medlemsstat (här Tyskland) vidtar åtgärder mot en person eller ett organ som är verksamt i medlemsstatens territorium enligt artikel 28.3 i direktiv 95/46 på grund av att tredje man som den registeransvarige har valt och som är delaktig i behandlingen av uppgifter (här Facebook), eftersom denne tredje man underlåter att följa lagstiftningen om personuppgiftsskydd, så är den tillsynsmyndighet som vidtar åtgärder (här Tyskland) bunden av den bedömning av uppgiftsskyddet som gjorts av tillsynsmyndigheten i den andra medlemsstaten där tredje man som ansvarar för behandlingen av uppgifterna är etablerad (här Irland), i det avseendet att den inte kan göra en avvikande rättslig bedömning, eller får den tillsynsmyndighet som vidtar åtgärder (här Tyskland) självständigt göra en preliminär bedömning av lagenligheten hos behandlingen av uppgifter genom tredje man som är etablerad i en annan medlemsstat (här Irland) innan den vidtar åtgärder?

6)      Såvitt den tillsynsmyndighet som vidtar åtgärder (här Tyskland) kan genomföra en självständig prövning: Ska artikel 28.6 andra meningen i direktiv 95/46 tolkas så, att denna tillsynsmyndighet får utöva de effektiva befogenheter att intervenera som myndigheten tilldelas enligt artikel 28.3 i direktiv 95/46 mot en person eller ett organ som är etablerat inom dess territorium på grund av medansvar för överträdelser av personuppgiftslagstiftning begångna av en tredje man som är etablerad i en annan medlemsstat, endast om den tillsynsmyndighet som vidtar åtgärder har ansökt hos tillsynsmyndigheten i den andra medlemsstaten (här Irland) om tillstånd att utöva sin befogenhet?ˮ

II.    Min bedömning

38.      De tolkningsfrågor som ställts av den hänskjutande domstolen rör inte frågan huruvida behandlingen av personuppgifter som de invändningar som Landeszentrum framfört avser, nämligen insamling och användning av uppgifter avseende de personer som besöker fanpages, utan att dessa personer på förhand underrättats om detta, strider mot bestämmelserna i direktiv 95/46.

39.      Enligt vad den hänskjutande domstolen uppgett beror frågan om huruvida det föreläggande som är föremål för prövning är lagligt på följande faktorer. Enligt den hänskjutande domstolen ska det för det första fastställas om Landeszentrum fick utöva sina befogenheter att ingripa mot en person som inte är registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46. Den hänskjutande domstolen anser vidare att lagenligheten hos föreläggandet även beror på huruvida Landeszentrum hade behörighet att agera med avseende på behandlingen av aktuella personuppgifter, om den omständigheten att den inte riktat sitt föreläggande till Facebook Germany snarare än till Wirtschaftsakademie inte utgör en oriktig bedömning, och slutligen om Landeszentrum inte gjort sig skyldig till en annan oriktig bedömning genom att ålägga Wirtschaftsakademie att stänga sin fanpage, när den först borde ha anmodat tillsynsmyndigheten i dataskyddsfrågor att utöva sina befogenheter gentemot Facebook Ireland.

A.      Den första och den andra tolkningsfrågan

40.      Med den första och den andra frågan, som enligt min mening ska prövas gemensamt, önskar den hänskjutande domstolen att EU-domstolen ska slå fast huruvida artiklarna 17.2, 24 och 28.3 andra strecksatsen i direktiv 95/46 ska tolkas så, att de möjliggör för tillsynsmyndigheterna att utöva sina befogenheter att ingripa mot ett organ som inte kan anses som registeransvarig i den mening som avses i artikel 2 d i samma direktiv, men som trots detta kan hållas ansvarigt vid överträdelser av bestämmelserna om skydd av personuppgifter till följd av det organets val att använda ett socialt nätverk som Facebook för att sprida sitt informationsutbud.

41.      Frågorna bygger på antagandet att Wirtschaftsakademie inte utgör en ”registeransvarig” i den mening som avses i artikel 2 d i direktiv 95/46. Den hänskjutande domstolen vill därför få klarhet i huruvida ett sådant föreläggande som det som det rör sig om i det nationella målet kan riktas mot en person som inte uppfyller kriterierna i denna bestämmelse.

42.      Jag anser emellertid att detta antagande är felaktigt. Wirtschaftsakademie ska enligt min mening anses som solidariskt ansvarig för det skede i behandlingen som består i insamling av personuppgifter genom Facebook.

43.      Med ”registeransvarig” i den mening som avses i artikel 2 d i direktiv 95/46 avses ”den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.”(16)

44.      Den registeransvarige har en avgörande roll inom ramen för det system som inrättades genom direktiv 95/46 och det är följaktligen viktigt att fastställa denne. I detta direktiv föreskrivs att den registeransvarige har ett antal förpliktelser som syftar till att säkerställa skyddet av personuppgifter.(17) Denna grundläggande roll underströks av domstolen i domen av den 13 maj 2014, Google Spain och Google.(18) Domstolen slog i den domen fast att den registeransvarige inom ramen för sitt ansvar, sin behörighet och sina möjligheter måste säkerställa att den aktuella behandlingen av personuppgifter uppfyller kraven i direktiv 95/46 för att de garantier som föreskrivs i direktivet ska få full verkan och för att ett effektivt och fullständigt skydd för de berörda personerna ska kunna förverkligas, bland annat när det gäller deras rätt till respekt för privatlivet.(19)

45.      Av domstolens rättspraxis framgår även att en vid definition ska ges av begreppet för att säkerställa ett effektivt och komplett skydd för de berörda personerna.(20)

46.      Ansvarig för behandlingen av personuppgifterna är den som beslutar varför och hur dessa uppgifter ska behandlas. Såsom artikel 29-arbetsgruppen anfört är ”[b]egreppet registeransvarig … ett funktionellt begrepp som är avsett att lägga ansvaret där det faktiska inflytandet ligger och bygger alltså på en faktabaserad snarare än en formell analys”.(21)

47.      Enligt min mening har Facebook Inc. och, vad gäller unionen, Facebook Ireland, vilka har utformat denna behandling, bestämt ändamålen och medlen.

48.      Facebook Inc. har närmare bestämt utvecklat den allmänna ekonomiska modellen som leder till att insamlingen av personuppgifter vid besök av fanpages och därefter användningen av dessa uppgifter dels kan möjliggöra att personlig reklam sprids, dels att användarstatistik upprättas åt dem som driver dessa fanpages.

49.      Vidare framgår av handlingarna i målet att Facebook Ireland har utsetts av Facebook Inc. som ansvarig för behandlingen av personuppgifter inom unionen. Enligt de förklaringar som Facebook Ireland lämnat kan det sociala nätverkets operativa förfarande vara föremål för vissa anpassningar inom unionen.(22)

50.      Även om det är utrett att var och en som är bosatt inom unionens territorium som önskar använda Facebook i samband med registreringen måste ingå ett avtal med Facebook Ireland, överförs personuppgifterna för de Facebook-användare som är bosatta inom unionens territorium samtidigt helt eller delvis till servrar som tillhör Facebook Inc. och som är belägna inom Förenta staternas territorium där de är föremål för behandling.(23)

51.      Med beaktande av Facebook Inc.:s, och vad närmare bestämt gäller unionen, Facebook Irelands delaktighet i bestämmandet av ändamålen och medlen för behandling av de personuppgifter som det rör sig om i det nationella målet, ska de båda enheterna, mot bakgrund av de uppgifter som jag har tillgång till, anses vara solidariskt ansvariga för behandlingen. Det ska i detta avseende påpekas att det i artikel 2 d i direktiv 95/46 uttryckligen föreskrivs att ett sådant solidariskt ansvar kan komma i fråga. Såsom den hänskjutande domstolen anfört ankommer det i sista hand på sistnämnda att klargöra strukturerna för beslutsfattande och behandling av interna uppgifter från Facebook-gruppen för att fastställa det eller de etableringsställen som är ansvariga för behandlingen i den mening som avses i artikel 2 d i direktiv 95/46.(24)

52.      Till det solidariska ansvar som Facebook Inc. och Facebook Ireland har ska enligt min mening, vad gäller det skede i behandlingen som består i insamling av personuppgifter genom Facebook,(25) läggas ansvaret för den som driver en sådan fanpage som Wirtschaftsakademie.

53.      En person som driver en fanpage är visserligen framför allt en användare av Facebook, som personen använder för att dra nytta av dess verktyg och således för att dra fördel av en ökad synlighet. Detta konstaterande utesluter emellertid inte att vederbörande även kan anses vara ansvarig för det skede av behandlingen av personuppgifter som är föremål för det nationella målet, nämligen insamling av sådana uppgifter genom Facebook.

54.      Vad gäller frågan huruvida den som driver en fanpage ”bestämmer” ändamålen och medlen för behandlingen, ska det undersökas om vederbörande har ett faktiskt eller rättsligt inflytande på dessa ändamål och medel. Denna aspekt av definitionen ger stöd för uppfattningen att den som är ansvarig för behandlingen inte är den som behandlar personuppgifter, utan den som bestämmer ändamålen och medlen.

55.      Genom att använda sig av Facebook för att sprida sitt informationsutbud godtar den som driver fanpagen att behandlingen av personuppgifterna för dem som besöker dess fanpage utförs för att upprätta användarstatistik.(26) Även om den som driver fanpagen naturligtvis inte har utvecklat verktyget ”Facebook-Insights” deltar förstnämnda genom att använda detta verktyg i bestämmandet av ändamålen och medlen för behandlingen av personuppgifterna för de personer som besöker dess fanpage.

56.      För det första kan denna behandling inte ske utan föregående beslut av den som driver en fanpage om att skapa och använda denna på det sociala nätverket Facebook. Genom att möjliggöra behandlingen av personuppgifter för användare av en fanpage godtar den som förvaltar fanpagen det system som inrättats genom Facebook. Denne blir således synligare på profilen hos dem som använder dess fanpage och möjliggör samtidigt för Facebook att sprida bättre riktad reklam inom ramen för detta sociala nätverk. Genom att godta de medel och ändamål för behandling av personuppgifter som bestämts i förväg av Facebook ska den som driver en fanpage anses delta i dess bestämmande. Förutom att den som driver en fanpage således har ett avgörande inflytande på inledningen av behandlingen av personuppgifter för de personer som besöker fanpagen, har den även befogenhet att få behandlingen att upphöra genom att stänga sin fanpage.

57.      För det andra kan konstateras att, trots att ändamålen och medlen för verktyget ”Facebook-Insights” i sig har fastställts allmänt av Facebook Inc. tillsammans med Facebook Ireland, har den som driver en fanpage möjlighet att inverka på den konkreta utformningen av verktyget genom att fastställa kriterierna för upprättande av användastatistiken. När Facebook anmodar den som driver en fanpage att skapa eller ändra målgruppen för sin fanpage underrättar den vederbörande om att den kommer att göra sitt bästa för att visa fanpagen för de personer som är viktigast för den. Den som driver en fanpage kan med hjälp av filter fastställa särskilda användare, vilket inte enbart möjliggör för vederbörande att inringa den grupp av personer till vilka information om dess kommersiella utbud ska spridas, utan framför allt att fastställa den kategori av personer för vilken en behandling av personuppgifter kommer att utföras på Facebook. Genom att fastställa de användare som den avser att nå fastställer den som driver en fanpage samtidigt den målgrupp för vilken en insamling och användning av personuppgifter kan ske av Facebook. Förutom att den som driver en fanpage utgör den utlösande faktorn för en behandling av sådana uppgifter när den skapar en fanpage, har vederbörande följaktligen även en mycket viktig roll vid den behandling som utförs av Facebook. Den deltar på samma sätt i bestämmandet av medlen och ändamålen för nämnda behandling genom att utöva ett faktiskt inflytande på denna.

58.      Mot bakgrund av vad som anförts ovan kan slutsatsen dras att den som driver en fanpage i ett sådant socialt nätverk som Facebook under sådana omständigheter som de i det nationella målet ska anses som ansvarig för det skede i behandlingen av personuppgifter som består av insamling genom det sociala nätverket av personuppgifter för de personer som besöker fanpagen.

59.      Denna slutsats stöds av konstaterandet att dels den som driver en fanpage såsom Wirtschaftsakademie, dels sådana tjänsteleverantörer som Facebook Inc. och Facebook Ireland, var och en eftersträvar ändamål som har en nära koppling till varandra. Wirtschaftsakademie önskar erhålla användarstatistik för att marknadsföra sin verksamhet och för att erhålla denna krävs en behandling av personuppgifter. Denna behandling kommer även att möjliggöra för Facebook att bättre rikta reklam som sprids genom dess nätverk.

60.      En tolkning som enbart grundas på bestämmelser och villkor i det avtal som ingåtts mellan Wirtschaftsakademie och Facebook Ireland ska således förkastas. Den fördelning av uppgifter som anges i avtalet utgör endast ett indicium avseende den faktiska roll som parterna i avtalet har vid behandlingen av personuppgifter. Dessa parter skulle i annat fall artificiellt kunna tillskriva den ena av parterna ansvar. Detta gäller i än högre grad i ett fall där de allmänna villkoren har fastställts i förväg av det sociala nätverket och inte är förhandlingsbara. Det kan således inte anses att den som enbart kan godkänna eller vägra att godkänna avtalet inte kan vara ansvarig för behandlingen. Om en avtalspart har ingått avtalet frivilligt kan vederbörande alltid tillskrivas ansvar för behandlingen på grund av det konkreta inflytande som den utövar på ändamålen och medlen för behandlingen.

61.      Den omständigheten att avtalet och dess allmänna villkor har framställts av en tjänsteleverantör och att den ekonomiska aktör som kan utnyttja de tjänster som tillhandahålls av denna leverantör inte har tillgång till uppgifter, innebär inte att den inte kan anses som ansvarig för behandlingen, eftersom vederbörande frivilligt har accepterat avtalsbestämmelserna och därmed har åtagit sig det övergripande ansvaret vad gäller sistnämnda.(27) I likhet med vad artikel 29-arbetsgruppen har ansett, måste det även erkännas att den omständigheten att tjänsteleverantören och tjänstemottagaren eventuellt inte är jämstarka inte innebär att sistnämnda inte kan anses som ˮregisteransvarigˮ.(28)

62.      För att en person ska kunna anses vara registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46 krävs inte att den har fullständig kontrollbehörighet avseende alla aspekter av en behandling. Såsom den belgiska regeringen anfört under förhandlingen förekommer en sådan kontroll i allt mindre utsträckning i praktiken. Behandlingen är dessutom av komplex karaktär, eftersom det rör sig om flera olika behandlingar i vilka flera olika parter deltar och utövar olika grader av kontroll. Den tolkning enligt vilken en fullständig kontrollbefogenhet avseende alla aspekter av behandlingen förespråkas kan följaktligen medföra allvarliga brister i fråga om skydd av personuppgifter.

63.      Detta illustreras av omständigheterna i det mål som avgjordes genom domen av den 13 maj 2014, Google Spain och Google.(29) Det målet rörde en situation avseende informationsleverantörsförhållanden i flera nivåer där var och en av de olika parterna hade olika inverkan på behandlingen. I det målet vägrade domstolen att ge begreppet ˮregisteransvarigˮ en restriktiv tolkning. Den fann att sökmotorleverantören, ”i egenskap av person som bestämmer ändamålen och medlen för behandlingen av personuppgifter, inom ramen för sitt ansvar, sin behörighet och sina möjligheter [måste] säkerställa att verksamheten uppfyller kraven i direktiv 95/46.”(30) Domstolen hänvisade vidare till att sökmotorleverantören och webbplatsutgivarna kan hållas solidariskt ansvariga.(31)

64.      I likhet med den belgiska regeringen anser jag att en vid tolkning av begreppet registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46, som enligt min mening bör äga förerträde i förevarande mål, förhindrar missbruk. I annat fall skulle det vara tillräckligt för ett företag att anlita de tjänster som tillhandahålls av tredje man för att undandra sig sina skyldigheter i fråga om skydd av personuppgifter. Med andra ord kan det enligt min mening inte göras någon åtskillnad mellan det företag som förser sin webbsida med verktyg liknande dem som Facebook använder och det företag som ansluter sig till det sociala nätverket Facebook för att utnyttja de verktyg som sistnämnda tillhandahåller. Det är således nödvändigt att garantera att de ekonomiska aktörer som anlitar en värd för sin webbplats inte kan undandra sig sitt ansvar genom att underkasta sig de allmänna villkor som gäller för en tjänsteleverantör. Dessutom är det inte, såsom den belgiska regeringen anförde under förhandlingen, orimligt att förvänta sig att företag väljer tjänsteleverantör med omsorg.

65.      Jag anser således att den omständigheten att den som driver en fanpage kan använda Facebooks plattform och har tillgång till därmed relaterade tjänster inte innebär att vederbörande befrias från sina skyldigheter i fråga om skydd av personuppgifter. Om Wirtschaftsakademie hade upprättat en webbplats utanför Facebook och infört ett verktyg liknande verktyget ”Facebook-Insights” för att framställa användarstatistik, hade den betraktats som ansvarig för den behandling som krävs för att upprätta sådan statistik. Enligt min mening bör en sådan ekonomisk aktör inte befrias från skyldigheten att följa bestämmelserna om skydd av personuppgifter i direktiv 95/46 enbart av den anledningen att den använder det sociala nätverket Facebooks plattform för att marknadsföra sin verksamhet. Såsom den hänskjutande domstolen anfört ska inte den som levererar information genom att välja en viss leverantör av infrastrukturer kunna befria sig från sina förpliktelser enligt den lagstiftning som är tillämplig på skydd av uppgifter för dem som använder dess informationsutbud, vilka vederbörande hade varit tvungen att fullgöra om det enbart varit fråga om en leverantör av innehåll.(32) En motsatt tolkning skulle medföra en risk för att bestämmelserna om skydd av personuppgifter kringgås.

66.      Enligt min mening ska det inte heller göras någon artificiell åtskillnad mellan situationen i förevarande mål och situationen i mål C‑40/17, Fashion ID.(33)

67.      Sistnämnda mål rör en situation där webbplatsförvaltaren infört en så kallad ”social modul” (i förevarande fall ”gilla”-knappen på Facebook) på sin webbplats hos en extern leverantör (det vill säga Facebook) som medför en överföring av personuppgifter från webbplatsanvändarens dator till den externa leverantören.

68.      Inom ramen för tvisten i det målet klandrade en konsumentskyddsförening företaget Fashion ID för att genom att införa den ”gilla”-modul som tillhandahålls av det sociala nätverket Facebook på sin webbplats ha möjliggjort för sistnämnda att få tillgång till personuppgifterna för användarna av denna webbplats utan deras samtycke och i strid med de informationsskyldigheter som fastställs i bestämmelserna om skydd av personuppgifter. Frågan uppkommer således om Fashion ID, förutsatt att det gör det möjligt för Facebook att få tillgång till personuppgifter för användarna av deras webbplats, kan betecknas som registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46.

69.      Jag kan i detta avseende inte fastställa någon grundläggande skillnad mellan situationen för den som förvaltar en fanpage och den som driver en webbplats som inför en tjänsteleverantörs kod för webtracking på sin webbplats och på så sätt, utan internetanvändarens vetskap, främjar överföring av uppgifter, skapandet av cookies och insamling av uppgifter för tjänsteleverantören av webtracking.

70.      Sociala plugins möjliggör för företag som driver webbplatser att använda vissa sociala nätverkstjänster på sina egna webbplatser för att öka synligheten av sistnämnda, till exempel genom att integrera Facebooks ”gilla”-knapp på deras webbplats. Liksom de företag som driver fanpages kan de företag som driver webbplatser som integrerar sociala plugins få tillgång till tjänsten ”Facebook-Insights” för att erhålla exakta statistiska uppgifter om användarna av deras webbplats.

71.      I likhet med vad som sker vid besök på en fanpage kommer ett besök på en webbplats som innehåller en social plugin att utlösa en överföring av personuppgifter till den berörda leverantören.

72.      Jag anser att det företag som förvaltar en webbplats som innehåller en social plugin, i ett sådant sammanhang och i egenskap av företag som driver en fanpage, i den mån det utövar ett faktiskt inflytande över det skede i behandlingen som avser överföring av personuppgifter till Facebook, ska betraktas som registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46.(34)

73.      Såsom den belgiska regeringen anfört innebär konstaterandet att Wirtschaftsakademie handlar som gemensamt registeransvarig när den beslutar att utnyttja de tjänster som tillhandahålls av Facebook för sitt informationsutbud inte att Facebook Inc. och Facebook Ireland befrias från de skyldigheter som åligger dem i deras egenskap av registeransvariga. Det är uppenbart att dessa två enheter har ett avgörande inflytande på ändamålen och medlen för den behandling av personuppgifter som äger rum vid besök på en fanpage vilka de även använder för sina egna ändamål och intressen.

74.      Fastställandet av ett gemensamt ansvar för dem som driver fanpages för det skede i behandlingen som består i Facebooks insamling av personuppgifter bidrar emellertid till att säkerställa ett mer omfattande skydd av de rättigheter som de personer som besöker denna typ av webbplatser har. Den omständigheten att de som driver fanpages aktivt åläggs att iaktta bestämmelserna om skydd av personuppgifter genom att ansvar för behandlingen tillskrivs dem, kan genom induktiv verkan ge det sociala nätverkets plattform incitament att efterleva sådana bestämmelser.

75.      Det bör även klargöras att den omständigheten att det föreligger ett solidariskt ansvar inte innebär att ansvaret ska delas lika. Tvärtom kan olika registeransvariga vara delaktiga i en behandling av personuppgifter i olika skeden och i olika grad.(35)

76.      Enligt artikel 29-arbetsgruppen ska ”vid möjligheten att ålägga flera personer ansvar hänsyn tas till det ökade antalet situationer där olika parter handlar som registeransvariga. Bedömningen av detta medansvar ska genomföras på samma sätt som bedömningen av ̓ensamt̓ ansvar genom antagandet av ett konkret och praktiskt tillvägagångssätt för att fastställa om ändamålen och de väsentliga delarna av medlen har bestämts av mer än en part. Parternas deltagande i bestämmandet av ändamålen och medlen för behandling inom ramen för ett medansvar kan anta olika former och fördelas inte nödvändigtvis på samma sätt.”(36) ”När många olika aktörer är delaktiga kan de ha ett mycket nära förhållande (genom att till exempel dela samtliga ändamål och medel för behandling), eller tvärtom ett mer avlägset förhållande (genom att enbart dela ändamålen eller medlen, eller en del av dessa). Följaktligen ska ett brett spektrum av olika former av medansvar undersökas och de rättsliga följderna av dessa utvärderas med viss flexibilitet för att ta hänsyn till att den rådande situationen för behandlingen av uppgifter är allt mer komplex.”(37)

77.      Av vad som anförts ovan följer enligt min mening att den som driver en fanpage på det sociala nätverket Facebook, vid sidan av Facebook Inc. och Facebook Ireland, ska anses som ansvarig för den behandling av personuppgifter som utförs för att upprätta användarstatistik avseende denna webbplats.

B.      Den tredje och den fjärde tolkningsfrågan

78.       Den hänskjutande domstolen har ställt den tredje och den fjärde frågan, vilka enligt min mening ska prövas tillsammans, för att få vägledning från domstolen avseende tolkningen av artikel 4.1 a samt artikel 28.1, 28.3 och 28.6 i direktiv 95/46 i en sådan situation där ett moderbolag som är etablerat utanför unionen, såsom Facebook Inc., tillhandahåller tjänster avseende ett socialt nätverk inom unionen genom flera etableringsställen. Bland dessa etableringsställen har ett utsetts av moderbolaget som ansvarigt för behandlingen av personuppgifter inom unionen (Facebook Ireland) och det andra är ansvarigt för försäljning av reklam och marknadsföringsåtgärder som är riktade till invånarna i Tyskland (Facebook Germany). Den hänskjutande domstolen vill i denna situation få klarhet dels i om den tyska tillsynsmyndigheten har rätt att utöva sina befogenheter att ingripa för att få behandlingen av personuppgifter att upphöra, dels mot vilket etableringsställe sådana befogenheter kan utövas.

79.      För att bemöta Landeszentrums och den italienska regeringens tvivel om huruvida den tredje och den fjärde frågan kan upptas till prövning, ska det anföras att Bundesverwaltungsgericht (Federala högsta förvaltningsdomstolen) i sitt beslut om hänskjutande har förklarat att den behöver klargöranden i dessa frågor för att kunna avgöra huruvida det aktuella föreläggandet är lagenligt. Den hänskjutande domstolen har särskilt gjort gällande att det föreläggande som utfärdats mot Wirtschaftsakademie kan vara föremål för en oriktig bedömning och följaktligen vara lagstridigt om de överträdelser mot personuppgiftslagstiftningen som Landeszentrum påstår skulle kunna avhjälpas med åtgärder direkt mot dotterbolaget Facebook Germany som är etablerat i Tyskland.(38) Den hänskjutande domstolens synsätt gör det enligt min mening möjligt att förstå anledningen till att den har ställt den tredje och den fjärde frågan. Med hänsyn till presumtionen att en begäran om förhandsavgörande ska anses vara relevant(39) föreslår jag att följaktligen att domstolen besvarar dessa frågor.

80.      I artikel 4 i direktiv 95/46, med rubriken ”Tillämplig nationell rätt”, föreskrivs följande:

”1.      Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när

a)      behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen,

…”

81.      I sitt yttrande 8/2010 av den 16 december 2010 avseende tillämplig rätt(40) tog artikel 29-arbetsgruppen upp frågan om tillämpning av artikel 4.1 a i direktiv 95/46 i följande situation: ”En plattform för sociala nätverk har sitt säte i tredjeland och ett etableringsställe i en medlemsstat. Etableringsstället fastställer och genomför politiken avseende behandling av personuppgifter för unionens invånare. Det sociala nätverket är aktivt inriktat på invånare i alla unionsmedlemsstater som utgör en betydande del av dess kunder och intäkter. Det skapar även cookies på datorer som används av användare i unionen. I det fallet är enligt artikel 4.1 a [i direktiv 95/46] rättsordningen i den unionsmedlemsstat på vars territorium företaget är etablerat tillämplig rätt i fråga om skydd av uppgifter. Det har föga betydelse att det sociala nätverket använder medel som är belägna i andra medlemsstater, eftersom all behandling utförs inom ramen för den verksamhet som bedrivs i det enda etableringsstället och direktivet utgör hinder för en kumulativ tillämpning av punkterna a och c i artikel 4.1 [i det direktivet].”(41)Artikel 29-arbetsgruppen har även preciserat att ˮtillsynsmyndigheten i den medlemsstat där det sociala nätverket är etablerat enligt artikel 28.6 i [nämnda direktiv] är skyldig att samarbeta med andra tillsynsmyndigheter, till exempel för att handlägga begäran eller klagomål från invånare i andra unionsmedlemsstater.”(42)

82.      Den i punkten ovan anförda situationen innebär inga större svårigheter vid fastställandet av tillämplig nationell rätt. I det fallet är rättsordningen i den medlemsstat där etableringsstället är beläget tillämplig på behandlingen av personuppgifterna, eftersom moderbolaget enbart har ett enda etableringsställe inom unionen.

83.      Situationen blir mer komplicerad när, i likhet med vad som är fallet i förevarande mål, ett företag som är etablerat i ett tredjeland, såsom Facebook Inc., bedriver verksamhet i unionen, dels genom ett etableringsställe som av det företaget angetts vara ensamt ansvarigt för insamling och behandling av personuppgifter inom Facebook-gruppen inom hela unionen (Facebook Ireland), dels genom andra etableringsställen, varav ett av dem är beläget i Tyskland (Facebook Germany) och enligt uppgifterna i beslutet om hänskjutande ansvarar för försäljning av reklam och andra marknadsföringsåtgärder som är riktade till invånarna i denna medlemsstat.(43)

84.      Frågan uppkommer om den tyska tillsynsmyndigheten i en sådan situation är behörig att utöva befogenheter att ingripa för att få behandlingen av personuppgifter för vilken Facebook Inc. och Facebook Ireland är gemensamt ansvariga att upphöra.

85.      För att denna fråga ska kunna besvaras ska först fastställas om den tyska tillsynsmyndigheten har rätt att tillämpa sin nationella rätt på en sådan behandling.

86.      I detta avseende följer av artikel 4.1 a i direktiv 95/46 att en behandling av uppgifter som utförs som ett led i verksamhet vid etableringsstället regleras av lagstiftningen i den medlemsstat inom vars territorium etableringsstället är beläget.

87.      Domstolen har redan slagit fast att med beaktande av syftet med direktivet, nämligen att säkerställa ett effektivt och fullständigt skydd för enskilda personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, kan uttrycket ˮsom ett led i verksamhet vid etableringsställetˮ i artikel 4.1a i det direktivet inte ges en restriktiv tolkning.(44)

88.      För att en medlemsstats lag om införlivande ska vara tillämplig på en viss behandling av personuppgifter ska följande två villkor vara uppfyllda. För det första ska den registeransvarige vara ”etablerad” i den medlemsstaten. För det andra ska denna behandling äga rum ”som ett led i verksamhet” där den registeransvarige är etablerad.

89.      Vad för det första avser begreppet etablering i den mening som avses i artikel 4.1 a i direktiv 95/46, har domstolen gett begreppet en vid och flexibel tolkning och redan preciserat att det omfattar all verklig och faktisk verksamhet, även om den är ytterst liten, som utövas med hjälp av en stabil struktur,(45) och har således uteslutit ett formalistiskt synsätt.(46)

90.      Mot denna bakgrund är det nödvändigt att beakta både graden av stabilitet hos strukturen och huruvida verksamhet verkligen bedrivs i den aktuella medlemsstaten(47) med hänsyn till näringsverksamhetens och de tillhandahållna tjänsternas specifika karaktär.(48) Det har i detta avseende inte bestritts att Facebook Germany som har sitt säte i Hamburg (Tyskland) bedriver verklig och faktisk verksamhet med hjälp av en stabil struktur i Tyskland. Det utgör följaktligen en etablering i den mening som avses i artikel 4.1 a i direktiv 95/46.

91.      Vad för det andra gäller frågan om huruvida den aktuella behandlingen av personuppgifter utförs ”som ett led i verksamheten” vid etableringsstället i den mening som avses i artikel 4.1 a i direktiv 95/46, har domstolen redan erinrat om att det enligt den bestämmelsen fordras att den aktuella behandlingen av personuppgifter inte utförs ”av” det berörda driftstället självt, utan endast ”som ett led i verksamheten” hos detta.(49)

92.      Såsom framgår av yttrande 8/2010 är ˮbegreppet led i verksamheten och inte platsen för personuppgifterna en avgörande faktor vid fastställandet av tillämplig rätt. Detta begrepp förutsätter att tillämplig rätt inte är lagstiftningen i den medlemsstat där den som är ansvarig för behandlingen är etablerad, utan den stat där den registeransvariges etableringsställe deltar i verksamhet (som anknyter till behandlingen av personuppgifter eller som omfattar denna behandling). I detta sammanhang är den grad i vilken etableringsstället eller etableringsställena deltar i verksamheten inom ramen för vilken personuppgifter behandlas av avgörande betydelse. Vidare ska karaktären hos den verksamhet som etableringsställena bedriver beaktas, liksom behovet av att säkerställa ett effektivt skydd för enskildas rättigheter. Vid bedömningen av dessa kriterier ska ett funktionellt synsätt antas: det är snarare parternas beteende och deras samspel som är avgörande än deras teoretiska bedömning av tillämplig rätt”.(50)

93.      I domen av den 13 maj 2014, Google Spain och Google(51) hade domstolen att pröva huruvida detta villkor var uppfyllt. Domstolen gjorde en bred tolkning och fann att den behandling av personuppgifter som utförs för att en sökmotor – såsom Google Search, som drivs av ett företag som har sitt säte i tredjeland, men har ett etableringsställe i en medlemsstat – ska fungera, anses utföras ”som ett led i verksamhet” vid detta etableringsställe om etableringsstället har till syfte att i denna medlemsstat marknadsföra och sälja reklamutrymme hos sökmotorn, vilket avser att göra den tjänst som erbjuds av sökmotorn lönsam.(52) Domstolen framhöll nämligen att ”[u]nder sådana förhållanden har … sökmotorleverantörens verksamhet och den verksamhet som bedrivs av etableringsstället i den berörda medlemsstaten ett oupplösligt samband, eftersom verksamheten avseende marknadsföring och försäljning av reklamutrymme är det som gör sökmotorn ekonomiskt lönsam och sökmotorn är det som gör att verksamheten avseende marknadsföring och försäljning av reklamutrymme kan genomföras.”(53) Domstolen tillade till stöd för sin lösning att eftersom det på samma sida som visningen av personuppgifter på en sida med sökresultat ”också visas reklam som har ett samband med sökorden, [kan konstateras] … att behandlingen av personuppgifter i fråga utförs som ett led i den reklamrelaterade och kommersiella verksamhet som bedrivs av den registeransvariges etableringsställe på en medlemsstats territorium, i detta fall spanskt territorium.”(54)

94.      Av de uppgifter som lämnats i begäran om förhandsavgörande framgår emellertid att Facebook Germany är ansvarigt för försäljning av reklam och andra marknadsföringsåtgärder som är riktade till invånarna i Tyskland. Eftersom en sådan behandling av personuppgifter som den som är aktuell i det nationella målet och som består av insamling av sådana uppgifter genom cookies som skapats på de datorer som används av besökarna på fanpages bland annat syftar till att möjliggöra för Facebook att bättre inrikta den reklam som den sprider, ska en sådan behandling anses ha ägt rum som ett led i den verksamhet som Facebook Germany bedriver i Tyskland. I detta avseende ska det – med hänsyn till att den största delen av de intäkter som ett sådant socialt nätverk som Facebook genererar kommer från reklam som sprids på de webbsidor som användarna skapar och har tillgång till(55) – anses att den verksamhet som bedrivs av de gemensamt ansvariga företagen Facebook Inc. och Facebook Ireland och den verksamhet som bedrivs av ett sådant etableringsställe som Facebook Germany har ett oupplösligt samband. Till följd av den behandling av personuppgifter som möjliggörs genom att cookies skapas på den dator som används av en person som besöker en webbplats som tillhör domännamnet Facebook.com, går besöket på en webbplats på Facebook hand i hand med visingen på samma webbplats av reklam som avser besökarens intressen. Härav kan slutsatsen dras att behandlingen av personuppgifter i fråga utförs som ett led i den reklamrelaterade och kommersiella verksamhet som bedrivs av den registeransvariges etableringsställe på en medlemsstats territorium, i detta fall tyskt territorium.

95.      Den omständigheten att Facebook-gruppen, till skillnad från vad som var fallet i domen av den 13 maj 2014, Google Spain och Google,(56) har sitt säte i Europa, i förevarande fall Irland, utgör inte hinder mot att överföra den tolkning som domstolen gjorde av artikel 4.1 a i direktiv 95/46 i den domen till förevarande mål. I nämnda dom uttryckte domstolen sin avsikt att vilja förhindra att en behandling av personuppgifter undantas från skyldigheterna och garantierna i direktivet. Det har inom ramen för detta förfarande anförts att problemet med ett sådant kringgående inte uppkommer här, eftersom den som ansvarar för behandlingen är etablerad i en medlemsstat, i förevarande fall Irland. Enligt denna logik borde således artikel 4.1 a i nämnda direktiv tolkas på så sätt att den innebär en skyldighet för den registeransvarige att enbart beakta en enda nationell lagstiftning och att enbart underkasta sig en enda tillsynsmyndighet, nämligen lagstiftningen och myndigheten i Irland.

96.      En sådan tolkning står emellertid i strid med ordalydelsen i artikel 4.1 a i direktiv 95/46, liksom med bakgrunden till denna bestämmelses tillkomst. Såsom den belgiska regeringen anförde under förhandlingen införde direktivet varken systemet med en enda kontaktpunkt eller principen om ursprungsland.(57) I detta avseende ska inte aspekter relaterade till det politiska mål som eftersträvades av Europeiska kommissionen i dess förslag till direktiv och den lösning som slutligen antogs av Europeiska unionens råd förväxlas. Lagstiftaren har i nämnda direktiv valt att inte prioritera tillämpningen av den nationella rätten i den medlemsstat där den registeransvariges huvudsakliga etableringsställe befinner sig. Resultatet som är direktiv 95/46 återspeglar medlemsstaternas önskan att bibehålla deras nationella genomförandebefogenheter. Genom att inte fastställa principen om ursprungsland har unionslagstiftaren gjort det möjligt för varje medlemsstat att tillämpa sin egen nationella lagstiftning och har således möjliggjort situationer med flera tillämpliga nationella lagstiftningar.(58)

97.      Genom artikel 4.1 a i nämnda direktiv har unionslagstiftaren medvetet valt att i de fall där en registeransvarig har flera etableringsställen inom Europeiska unionen möjliggöra en tillämpning av flera nationella lagstiftningar om skydd av personuppgifter på behandling av personuppgifter för invånarna i de berörda medlemsstaterna för att säkerställa ett effektivt skydd för sistnämndas rättigheter inom dessa medlemsstater.

98.      Detta har bekräftats i skäl 19 i direktiv 95/46 där det anges att ”[o]m den ansvarige är etablerad på flera medlemsstaters territorier, särskilt genom dotterbolag, måste han för att undvika varje kringgående garantera att varje verksamhet uppfyller bestämmelserna i den nationella lagstiftning som gäller för aktiviteterna.”

99.      Av artikel 4.1 a i direktiv 95/46 – där det i den andra meningen i linje med vad som anges i skäl 19 i direktivet preciseras att om en registeransvarig är etablerad inom flera medlemsstaters territorier ska han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen – kan således slutsatsen dras att strukturen hos en grupp som kännetecknas av att den registeransvarige har etableringsställen i flera medlemsstater inte bör få till följd att sistnämnda kan kringgå lagstiftningen i den medlemsstat under vars jurisdiktion var och en av dessa etableringsställen har etablerats.

100. Den tolkning som gynnar en exklusiv tillämpning av lagstiftningen i den medlemsstat där en internationell koncerns europeiska säte befinner sig kan enligt min mening inte längre förespråkas sedan domen av den 28 juli 2016, Verein für Konsumenteninformation.(59) I den domen slog domstolen fast att ett e-handelsföretags behandling av personuppgifter regleras genom lagen i den medlemsstat till vilken det företaget riktar sin verksamhet om det framgår att det företaget behandlar de ifrågavarande uppgifterna i samband med verksamhet vid ett verksamhetsställe i den medlemsstaten. Domstolen gjorde den bedömningen trots att Amazon, liksom Facebook, är ett företag som inte enbart har ett europeiskt säte i en medlemsstat, utan även är fysiskt närvarande i flera medlemsstater. I ett sådant fall ska även undersökas om behandlingen av uppgifter ingår som ett led i verksamhet som ett etableringsställe bedriver i en annan medlemsstat än den där det europeiska säte som är ansvarigt för behandlingen befinner sig.

101. Såsom den belgiska regeringen anfört är det således fullt möjligt att ett annat etableringsställe än företagets europeiska säte är relevant för tillämpningen av artikel 4.1 a i direktiv 95/46.

102. Inom ramen för den ordning som inrättades genom det direktivet är såldes den plats där behandlingen äger rum och den plats där den registeransvarige har etablerat sitt säte inom unionen således inte avgörande, om den registeransvarige har flera etableringsställen inom unionen, för att fastställa vilken nationell rätt som är tillämplig på en behandling av uppgifter och för att ge en tillsynsmyndighet behörighet att utöva sina befogenheter att ingripa.

103. Domstolen ska i detta avseende enligt min mening inte föregripa den ordning som har införts genom den allmänna förordning om uppgiftsskydd(60) som ska tillämpas från och med den 25 maj 2018. Inom ramen för den ordningen infördes systemet med en enda kontaktpunkt. Detta innebär att en registeransvarig genom att utföra gränsöverskridande behandlingar, såsom Facebook, enbart kommer att ha en enda tillsynsmyndighet som kontaktperson, nämligen den ansvariga tillsynsmyndigheten, som är tillsynsmyndigheten på den plats där den registeransvariges huvudsakliga etableringsställe befinner sig. Varken denna ordning eller den sofistikerade samarbetsmekanism som därigenom har inrättats är emellertid tillämpliga ännu.

104. Eftersom Facebook har valt att förlägga sitt huvudsakliga säte i unionen i Irland, har tillsynsmyndigheten i den medlemsstaten visserligen en viktig roll för att undersöka om Facebook följer bestämmelserna i direktiv 95/46. Såsom denna myndighet själv har erkänt innebär detta emellertid inte att den, inom ramen för det aktuella systemet som grundar sig på direktivet, har exklusiv behörighet avseende Facebooks verksamhet inom unionen.(61)

105. Med hänsyn till dessa överväganden anser jag i likhet med den belgiska och den nederländska regeringen och Landeszentrum att den tolkning som domstolen gjorde av artikel 4.1 a i direktiv 95/46 i domen av den 13 maj 2014, Google Spain och Google(62) även är tillämplig i sådan situation som den i det nationella målet där en registeransvarig är etablerad i en unionsmedlemsstat och förfogar över flera etableringsställen inom unionen.

106. Mot bakgrund av de uppgifter som den hänskjutande domstolen lämnat vad gäller karaktären av den verksamhet som Facebook Germany bedrivit anser jag att den omtvistade behandlingen av personuppgifter utförs inom ramen etableringsställets verksamhet och att artikel 4.1 a i direktiv 95/46 i en sådan situation som den i det nationella målet möjliggör en tillämpning av tysk lagstiftning om skydd av personuppgifter.(63)

107. Den tyska tillsynsmyndigheten har således befogenhet tillämpa sin nationella rätt på den behandling av personuppgifter som är aktuell i det nationella målet.

108. Det följer av artikel 28.1 i direktiv 95/46 att varje tillsynsmyndighet som har tillsatts av en medlemsstat ska övervaka tillämpningen, i den medlemsstaten, av de bestämmelser som medlemsstaterna antar till följd av direktivet.

109. Enligt artikel 28.3 i direktiv 95/46 ska tillsynsmyndigheterna bland annat ha undersökningsbefogenheter, såsom befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa, som till exempel att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling eller att kunna ge den registeransvarige varning eller tillrättavisning. Dessa befogenheter att ingripa kan omfatta befogenhet att vidta sanktionsåtgärder mot den registeransvarige och ålägga denne böter.(64)

110. Artikel 28.6 i direktiv 95/46 har följande lydelse:

”En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.

De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.”

111. Med hänsyn till den omständigheten att lagstiftningen i den medlemsstat där den tyska tillsynsmyndigheten är belägen är tillämplig på den behandling av personuppgifter som det rör sig om i det nationella målet, kan den tyska myndigheten utöva sina befogenheter att ingripa fullt ut för att säkerställa att tysk rätt tillämpas och iakttas av Facebook på det tyska territoriet. En sådan slutsats följer av domen av den 1 oktober 2015, Weltimmo,(65) vilken gjorde det möjligt att närmare precisera räckvidden av artikel 28.1, 28.3 och 28.6 i direktiv 95/46.

112. Det målet handlade huvudsakligen om att fastställa den ungerska tillsynsmyndighetens behörighet att ålägga en tjänsteleverantör som var etablerad i en annan medlemsstat, nämligen Slovakien, böter. Innan det fastställdes om denna behörighet förelåg, skulle man först undersöka om ungersk rätt var tillämplig enligt det villkor som uppställs i artikel 4.1 a i direktiv 95/46.

113. I den första delen av sitt svar lämnade domstolen den hänskjutande domstolen ett antal uppgifter som gjorde det möjligt för sistnämnda att fastställa att den registeransvarige hade ett etableringsställe i Ungern, att behandlingen utfördes som ett led i verksamhet vid etableringsstället och att artikel 4.1 a i direktiv 95/46 i en sådan situation som den som var aktuell i detta mål gjorde det möjligt att tillämpa ungersk lagstiftning om skydd av personuppgifter.

114. Denna första del av domstolens svar bekräftade således den ungerska tillsynsmyndighetens befogenhet med tillämpning av ungersk rätt att bötfälla en tjänsteleverantör etablerad i en annan medlemsstat, i det fallet Weltimmo.

115. Med andra ord: om ungersk rätt enligt det villkor som uppställs i artikel 4.1 a i direktiv 95/46 kunde betraktas som tillämplig nationell rätt, hade den ungerska tillsynsmyndigheten behörighet att säkerställa att den ungerska lagstiftningen efterlevs vid en överträdelse av denna av den registeransvarige, trots att sistnämnda var registrerad i Slovakien. Till följd av denna bestämmelse i direktiv 95/46 kunde Weltimmo, trots att det var registrerat i Slovakien, även anses var etablerat i Ungern. Den omständigheten att den registeransvarige som utövade verksamhet inom ramen för vilken behandlingen utfördes hade ett etableringsställe i Ungern utgjorde således den förankringspunkt som krävdes för ett erkännande av att ungersk rätt var tillämplig och följaktligen av den ungerska tillsynsmyndighetens befogenhet att säkerställa att ungersk rätt efterlevs på ungerskt territorium.

116. Den andra delen av domstolens svar – inom ramen för vilken denna ansåg att det var nödvändigt att framhäva principen att varje tillsynsmyndighets befogenheter har territoriell tillämpning – anfördes enbart i andra hand, nämligen ”för det fall den ungerska tillsynsmyndigheten skulle anse att Weltimmo inte är etablerat, i den mening som avses i artikel 4.1 a i direktiv 95/46, i Ungern, utan i en annan medlemsstat, och utför verksamhet i vilken behandlingen av personuppgifter utförs som ett led.(66) Det rörde sig således om svaret på frågan om ”huruvida artikel 28.1, 28.3 och 28.6 i direktiv 95/46, om den ungerska tillsynsmyndigheten skulle finna att det inte är ungersk rätt utan en annan medlemsstats rättsordning som ska tillämpas på behandlingen av personuppgifter, ska tolkas så, att den ungerska tillsynsmyndigheten då endast skulle ha de befogenheter som följer av artikel 28.3 i direktiv 95/46 i enlighet med rättsordningen i den andra medlemsstaten och inte skulle kunna vidta sanktionsåtgärder.”(67)

117. I denna andra del av svaret preciserade domstolen följaktligen omfattningen, såväl den materiella som den territoriella, av de befogenheter som en tillsynsmyndighet kan utöva i en särskild situation, nämligen när lagstiftningen i den medlemsstat som tillsynsmyndigheten tillhör inte är tillämplig.

118. Vid ett sådant förhållande fann domstolen att ”tillsynsmyndighetens befogenheter … inte med nödvändighet [omfattar] samtliga befogenheter som den har enligt rättsordningen i den medlemsstat som den tillhör.(68) ”[Tillsynsmyndigheten] … kan … därför utöva sina undersökningsbefogenheter oavsett vilken lagstiftning som är tillämplig och innan den ens vet vilken nationell lagstiftning som är tillämplig på den aktuella behandlingen. Om den emellertid finner att en annan medlemsstats rättsordning är tillämplig kan den inte vidta sanktionsåtgärder utanför sin egen medlemsstat. Under sådana förhållanden ska den i enlighet med skyldigheten att samarbeta enligt artikel 28.6 i direktiv [95/46], anmoda tillsynsmyndigheten i den andra medlemsstaten att fastställa en eventuell överträdelse av rättsordningen i den staten och vidta sanktionsåtgärder om den rättsordningen tillåter det, i förekommande fall med stöd av de upplysningar som den andra myndigheten har vidarebefordrat.”(69)

119. Från domen av den 1 oktober 2015, Weltimmo(70) kan följande lärdomar dras för förevarande mål.

120. Till skillnad från den situation som domstolen byggde sitt resonemang på avseende tillsynsmyndighetens befogenheter i den andra delen av domen av den 1 oktober 2015 i målet Weltimmo(71) avser målet i detta fall en situation som är analog med den som avses i den första delen i den domen i vilken tillämplig rätt, såsom anges ovan, är lagstiftningen i den medlemsstat som den tillsynsmyndighet som utövar sina befogenheter att ingripa tillhör, detta på grund av att den registeransvarige, vars verksamhet har ett oupplösligt samband med behandlingen, har ett etableringsställe på den medlemsstatens territorium. Den omständigheten att etableringsstället är beläget i Tyskland utgör den förankringspunkt som krävs för att kunna tillämpa tysk rätt på behandlingen av de omtvistade personuppgifterna.

121. När detta villkor väl är uppfyllt ska den tyska tillsynsmyndigheten anses ha behörighet att säkerställa att bestämmelserna om skydd av personuppgifter efterlevs på det tyska territoriet genom att utöva de befogenheter som den har enligt de tyska bestämmelser, varigenom artikel 28.3 i direktiv 95/46 har införlivats, fullt ut. Sådana befogenheter kan omfatta ett föreläggande som består i ett tillfälligt eller slutligt förbud mot en behandling.

122. Vad gäller frågan om den enhet till vilken en sådan åtgärd ska riktas finns två möjliga lösningar.

123. Enligt den första lösningen ska det anses att tillsynsmyndigheterna, enligt en strikt tolkning av det territoriella tillämpningsområdet för de befogenheter att ingripa som dessa myndigheter har, enbart kan utöva dessa befogenheter i förhållande till det etableringsställe som innehas av den registeransvarige och som befinner sig i den medlemsstat som de tillhör. Om, såsom är fallet i förevarande mål, etableringsstället – i förevarande fall Facebook Germany – inte är registeransvarigt och således inte själv kan efterkomma en begäran från tillsynsmyndigheten om att en behandling av uppgifter ska upphöra, ska det vidarebefordra begäran till den registeransvarige för verkställighet.

124. Enligt den andra lösningen ska det däremot anses att eftersom den registeransvarige själv utövar ett avgörande inflytande över behandlingen av aktuella uppgifter, ska ett föreläggande att upphöra med en sådan behandling direkt riktas mot honom.

125. Enligt min mening ska den andra lösningen ges företräde, eftersom den är förenlig med den grundläggande roll som den registeransvarige har inom ramen för det system som inrättats genom direktiv 95/46.(72) Genom att undvika att gå via en mellanhand som det etableringsställe som utövar verksamhet inom ramen för vilken en behandling utförs utgör, säkerställer en sådan lösning en omedelbar och effektiv tillämpning av de nationella bestämmelserna om skydd av personuppgifter. Den tillsynsmyndighet som direkt riktar ett föreläggande om att upphöra med en behandling till en registeransvarig som inte är etablerad i den medlemsstat som tillsynsmyndigheten tillhör – såsom Facebook Inc. eller Facebook Ireland – överskrider inte sin behörighet som består i att säkerställa att behandlingen är förenlig med rättsordningen i den staten på dess territorium. Det har i detta avseende föga betydelse att den eller de registeransvariga är etablerade i en annan medlemsstat eller i ett tredjeland.

126. Jag preciserar även, i linje med mitt förslag till svar på den första och den andra tolkningsfrågan, att – med beaktande av syftet att säkerställa största möjliga skydd för rättigheterna för dem som besöker en fanpage – Landeszentrums möjlighet att utöva sina befogenheter att ingripa mot Facebook Inc. och Facebook Ireland ingalunda innebär att det är uteslutet att vidta åtgärder gentemot Wirtschaftsakademie och därmed inte i sig kan påverka lagenligheten av sistnämnda åtgärder.(73)

127. Av det ovan anförda följer att artikel 4.1 a i direktiv 95/46 ska tolkas så, att en sådan behandling av personuppgifter som den som det rör sig om i det nationella målet utförs som ett led i verksamheterna vid ett etableringsställe tillhörande den registeransvarige på en medlemsstats territorium, i den mening som avses i denna bestämmelse, när ett företag som driver ett socialt nätverk bildar en filial i den medlemsstaten för att marknadsföra och sälja reklamutrymme hos det företaget och filialens verksamhet är riktad mot invånarna i den medlemsstaten.

128. I en sådan situation som den i det nationella målet, där tillämplig nationell rätt på den berörda behandlingen av personuppgifter är rättsordningen i den medlemsstat som en tillsynsmyndighet tillhör, ska artikel 28.1, 28.3 och 28.6 i direktiv 95/46 tolkas så, att den tillsynsmyndigheten kan utöva de effektiva befogenheter att ingripa som tilldelats den enligt artikel 28.3 i det direktivet fullt ut mot den registeransvarige, inbegripet när denne är etablerad i en annan medlemsstat eller i ett tredjeland.

C.      Den femte och den sjätte tolkningsfrågan

129. Med den femte och den sjätte frågan, som enligt min mening ska prövas tillsammans, önskar den hänskjutande domstolen att domstolen ska slå fast huruvida artikel 28.1, 28.3 och 28.6 i direktiv 95/46 ska tolkas så, att den tillsynsmyndighet som tillhör den medlemsstat i vilken den registeransvariges etableringsställe (Facebook Germany) är beläget under sådana omständigheter som de som är aktuella i det nationella målet har rätt att utöva sina befogenheter att ingripa självständigt utan att vara tvungen att i ett tidigare skede anmoda tillsynsmyndigheten i den medlemsstat där den registeransvarige (Facebook Ireland) är etablerad att utöva sina befogenheter.

130. Bundesverwaltungsgericht (Federala högsta förvaltningsdomstolen) har i sitt beslut om hänskjutande förklarat sambandet mellan de båda frågorna och den kontroll av lagenligheten hos föreläggandet som den ska genomföra inom ramen för det nationella målet. Den hänskjutande domstolen har även anfört att ett föreläggande som utfärdats mot Wirtschaftsakademie kan anses vara föremål för en oriktig bedömning från Landeszentrums sida om artikel 28.6 i direktiv 95/46 ska tolkas så, att det föreskrivs en skyldighet för en sådan tillsynsmyndighet som Landeszentrum under sådana förhållanden som de som föreligger i målet vid den nationella domstolen att anmoda en tillsynsmyndighet i en annan medlemsstat, i förevarande fall tillsynsmyndigheten i dataskyddsfrågor, att utöva sina befogenheter för det fall att dessa två myndigheter gör olika bedömningar om huruvida den behandling av uppgifter som Facebook Ireland utför är förenlig med bestämmelserna i direktiv 95/46.

131. Såsom domstolen slog fast i domen av den 1 oktober 2015 i målet Weltimmo(74) för det fall det inte är den rättsordningen i den medlemsstat som den tillsynsmyndighet som önskar utöva sina befogenheter att ingripa tillhör utan en annan medlemsstats rättsordning som ska tillämpas på behandlingen av de aktuella personuppgifterna, ska artikel 28.1, 28.3 och 28.6 i direktiv 95/46 tolkas så, att den tillsynsmyndigheten inte får vidta sanktionsåtgärder på grundval av rättsordningen i den medlemsstat som den tillhör mot en registeransvarig som inte är etablerad i denna medlemsstat, utan bör – med tillämpning av artikel 28.6 i samma direktiv – i stället anmoda tillsynsmyndigheten i den medlemsstat vars rättsordning är tillämplig att ingripa.(75)

132. I en sådan situation förlorar tillsynsmyndigheten i den första medlemsstaten sin befogenhet att vidta sanktionsåtgärder mot en registeransvarig som är etablerad i en annan medlemsstat. Den ska således i enlighet med skyldigheten att samarbeta enligt artikel 28.6 i samma direktiv, anmoda tillsynsmyndigheten i den andra medlemsstaten att fastställa en eventuell överträdelse av rättsordningen i den staten och vidta sanktionsåtgärder om den rättsordningen tillåter det, i förekommande fall med stöd av de upplysningar som den andra myndigheten har vidarebefordrat.(76)

133. Såsom redan anförts ovan förhåller det sig annorlunda i förevarande fall, eftersom tillämplig rätt är rättsordningen i den medlemsstat som den tillsynsmyndighet som önskar utöva sina befogenheter att ingripa tillhör. I den situationen ska artikel 28.6 i direktiv 95/46 tolkas så, att tillsynsmyndigheten inte är skyldig att anmoda tillsynsmyndigheten som tillhör den medlemsstat i vilken den registeransvarige är etablerad att utöva sina befogenheter att ingripa mot sistnämnda.

134. I enlighet med vad som föreskrivs i artikel 28.1 andra meningen i direktiv 95/46 ska den tillsynsmyndighet som har befogenhet att utöva sina befogenheter att ingripa mot en registeransvarig som är etablerad i en annan medlemsstat än den som tillsynsmyndigheten tillhör utöva de uppgifter som åläggs dem fullständigt oberoende.

135. Såsom framgår av vad som anförts ovan föreskrivs i direktiv 95/46 varken principen om ursprungsland eller ett system med en enda kontaktpunkt såsom i förordning 2016/679. En registeransvarig som har etableringsställen i flera medlemsstater är följaktligen underkastad flera tillsynsmyndigheters kontroll när rättsordningarna i de medlemsstater som dessa myndigheter tillhör är tillämpliga. Det är visserligen önskvärt att tillsynsmyndigheterna samråder och samarbetar med varandra, men en tillsynsmyndighet vars behörighet har erkänts har ingen skyldighet att anpassa sin ståndpunkt till den som antagits av en annan tillsynsmyndighet.

136. Mot bakgrund av vad som anförts ovan kan slutsatsen dras att artikel 28.1, 28.3 och 28.6 i direktiv 95/46 ska tolkas så, att den tillsynsmyndighet som tillhör den medlemsstat i vilken den registeransvariges etableringsställe är beläget, under sådana omständigheter som de som är aktuella i det nationella målet, har rätt att utöva sina befogenheter att ingripa självständigt mot den registeransvarige utan att vara tvungen att i ett tidigare skede anmoda tillsynsmyndigheten i den medlemsstat där den registeransvarige är belägen att utöva sina befogenheter.

III. Förslag till avgörande

137. Mot bakgrund av ovanstående omständigheter föreslår jag att domstolen besvarar de frågor som ställts av Bundesverwaltungsgericht (Federala högsta förvaltningsdomstolen, Tyskland) på följande sätt:

1)      Artikel 2 d i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, i dess lydelse enligt Europaparlamentets och rådets förordning (EG) nr 1882/2003 av den 29 september 2003, ska tolkas så, att den som driver en fanpage i ett sådant socialt nätverk som Facebook är registeransvarig i den mening som avses i denna bestämmelse för det skede i behandlingen av personuppgifter som består av det sociala nätverkets insamling av personuppgifter avseende de personer som besöker fanpagen för att upprätta användarstatistik avseende nämnda fanpage.

2)      Artikel 4.1 a i direktiv 95/46, i dess lydelse enligt förordning nr 1882/2003, ska tolkas så, att en behandling av personuppgifter som den som det rör sig om i det nationella målet utförs som ett led i verksamheterna vid ett etableringsställe tillhörande den registeransvarige på en medlemsstats territorium, i den mening som avses i denna bestämmelse, när ett företag som driver ett socialt nätverk bildar en filial i den medlemsstaten för att marknadsföra och sälja reklamutrymme hos det företaget och filialens verksamhet är riktad mot invånarna i den medlemsstaten.

3)      I en sådan situation som den i det nationella målet, där tillämplig nationell rätt på den berörda behandlingen av personuppgifter är rättsordningen i den medlemsstat som en tillsynsmyndighet tillhör, ska artikel 28.1, 28.3 och 28.6 i direktiv 95/46, i dess lydelse enligt förordning nr 1882/2003, tolkas så, att den tillsynsmyndigheten kan utöva de effektiva befogenheter att ingripa som tilldelats den enligt artikel 28.3 i det direktivet fullt ut mot den registeransvarige, inbegripet när denne är etablerad i en annan medlemsstat eller i ett tredjeland.

4)      Artikel 28.1, 28.3 och 28.6 i direktiv 95/46, i dess lydelse enligt förordning nr 1882/2003, ska tolkas så, att den tillsynsmyndighet som tillhör den medlemsstat i vilken den registeransvariges etableringsställe är beläget, under sådana omständigheter som de som är aktuella i det nationella målet, har rätt att utöva sina befogenheter att ingripa självständigt mot den registeransvarige utan att vara tvungen att i ett tidigare skede anmoda tillsynsmyndigheten i den medlemsstat där den registeransvarige är belägen att utöva sina befogenheter.


1      Originalspråk: franska.


2      EGT L 281, 1995, s. 31.


3      EUT L 284, 2003, s. 1, nedan kallat direktiv 95/46.


4      Nedan kallad artikel 29-arbetsgruppen.


5      Nedan kallat yttrande 2/2010.


6      Yttrande 2/2010, s. 5.


7      Yttrande 2/2010, s. 7. Enligt de förklaringar som artikel 29-arbetsgruppen lämnat i detta yttrande ˮfungerar denna teknik i allmänhet på följande sätt. Annonsnätverket placerar normalt en cookie på den berörda personens terminalutrustning … när han eller hon första gången besöker en webbplats som innehåller reklam i samma nätverk. En cookie är en kort alfanumerisk kombination som lagras (och senare hämtas) på den berörda personens terminalutrustning av nätverket … . Inom ramen för beteendestyrd annonsering kommer cookien att göra det möjligt för sistnämnda att känna igen en tidigare besökare som återvänder till webbplatsen eller besöker en webbplats som är en partner till annonsnätverket. Sådana upprepade besök kommer att göra det möjligt för annonsnätverket att skapa en profil över besökaren.”


8      Yttrande 1/2010 från artikel 29-arbetsgruppen lämnat den 16 februari 2010 om begreppen registeransvarig och underleverantör, nedan kallat yttrande 1/2010, s. 25.


9      Agencia española de protección de datos (spanska myndigheten för skydd av personuppgifter) meddelade den 11 september 2017 att den hade ålagt Facebook Inc böter om 1,2 miljoner euro. Tidigare beslutade Commission nationale de l’informatique et des libertés (CNIL) (datainspektionen, Frankrike) den 27 april 2017 att ålägga bolagen Facebook Inc. och Facebook Ireland som hölls solidariskt betalningsansvariga en straffavgift om 150 000 euro.


10      I 38 § femte stycket BDSG föreskrivs följande:


      ”För att säkerställa efterlevnaden av denna lag och andra bestämmelser om skydd för uppgifter kan tillsynsmyndigheten förordna om åtgärder för att avhjälpa konstaterade överträdelser vid insamling, bearbetning eller användning av personuppgifter eller tekniska eller organisatoriska brister. Vid allvarliga överträdelser eller brister, särskilt sådana som utgör en särskild risk för intrång i privatlivet, kan den förbjuda insamling, bearbetning eller användning eller vissa förfaranden när överträdelserna eller bristerna inte åtgärdas inom rimlig tid i strid med föreläggandet i första meningen trots att vite utdömts. Den kan även begära att ombudsmannen för dataskydd ska avsättas om vederbörande saknar det yrkeskunnande och den tillförlitlighet som krävs för att fullgöra sina uppgifter.”


11      I 12 § lagen om elektronisk media föreskrivs följande:


”1.      Tjänsteleverantören får samla in och behandla personuppgifter för att tillhandahålla elektroniska informations- eller kommunikationstjänster endast om detta är tillåtet enligt denna lag eller annan föreskrift som uttryckligen avser sådana tjänster, eller om användaren har gett sitt samtycke.



3.      Om inte annat föreskrivs ska gällande bestämmelser om skydd för personuppgifter tillämpas även när uppgifterna inte behandlas genom automatisk databehandling.”


12      Denna bestämmelse avser behandling av personuppgifter för den registeransvariges räkning.


13      Enligt denna bestämmelse ”avses med ett ansvarigt organ en person eller ett organ som samlar in, behandlar eller använder personuppgifter för egen räkning eller ger i uppdrag åt en annan att göra det”.


14      C-131/12, EU:C:2014:317.


15      Punkt 60 i nämnda dom.


16      Enligt de definitioner som används i yttrande 1/2010 avses med begreppet ändamål ett ”förväntat resultat som eftersträvas eller som ligger till grund för de åtgärder som föreskrivs” och begreppet medel ”det sätt på vilket ett resultat ska uppnås eller ett mål ska nås” (s. 13).


17      Exempelvis åligger det enligt artikel 6.2 i det direktivet den registeransvarige att säkerställa att de principer om uppgifternas kvalitet som anges i artikel 6.1 i nämnda direktiv efterlevs. Enligt artiklarna 10 och 11 i direktiv 95/46 ska den registeransvarige ge den person som berörs av behandlingen av personuppgifter information. Enligt artikel 12 i direktivet ska rätten till tillgång till uppgifter för berörda personer utövas hos den registeransvarige. Detsamma gäller med avseende på rätten att göra invändningar som föreskrivs i artikel 14 i nämnda direktiv. Enligt artikel 23.1 i direktiv 95/46 ska medlemsstaterna föreskriva att ”var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.” Slutligen ska tillsynsmyndigheternas effektiva befogenheter att ingripa som föreskrivs i artikel 28.3 i direktivet utövas mot registeransvariga.


18      C‑131/12, EU:C:2014:317.


19      Se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkterna 38 och 83).


20      Se, särskilt, dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkt 34).


21      Yttrande 1/2010, s. 109.


22      Facebook Ireland har således förklarat att den regelbundet har infört funktioner som enbart ställs till de berörda personernas förfogande inom unionen och som är anpassade för dessa personer. I övriga fall väljer Facebook Ireland att inte erbjuda sådana produkter inom unionen som Facebook Inc. ställt till förfogande i Förenta staterna.


23      Se dom av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punkt 27).


24      Se beslutet om hänskjutande, punkt 39.


25      Avgörande i förevarande mål är inte att bestämma de ändamål och medel för behandling som sker efter överföringen till Facebook av personuppgifter för de personer som besöker en fanpage. Fokus ska läggas på det skede i behandlingen som det rör sig om här, nämligen det skede där uppgifter insamlas avseende de personer som besöker en fanpage, utan att sistnämnda har underrättats om detta och utan att samtycke har erhållits från dem i vederbörlig ordning.


26      Av användarvillkoren för Facebook framgår att användarstatistiken möjliggör för den som driver en fanpage att ta del av information om sina användare för att kunna skapa ett innehåll som är mer relevant för dessa. Användarstatistiken ger den som driver en fanpage tillgång till demografiska uppgifter avseende dess målgrupp, särskilt om tendenser i fråga om målgruppens ålder, kön, kärleks- och yrkessituationer, information om livsstil och intressen, och information om målgruppens inköp, särskilt dess köpbeteende online, de kategorier av varor och tjänster som intresserar den mest och de geografiska uppgifter som möjliggör för den som driver fanpagen att få kännedom om eller genomföra särskild marknadsföring och anordna evenemang.


27      Se, för ett liknande resonemang, yttrande 1/2010, s. 28.


28      Ibidem, s. 28: ”en obetydlig aktör som ansvarar för behandlingen får inte åberopa det begränsade inflytande som vederbörande har i avtalet i förhållande till viktiga tjänsteleverantörer som motivering för att godta avtalsbestämmelser och avtalsvillkor som strider mot lagstiftningen om skydd av uppgifter”.


29      C‑131/12, EU:C:2014:317.


30      Dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkt 38, och, för ett liknande resonemang, punkt 83).


31      Dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkt 40).


32      Se beslutet om hänskjutande, punkt 35.


33      Målet är fortfarande anhängigt vid domstolen.


34      Såsom den schweiziska dataskyddsmyndigheten anfört: ”Trots att registreringen och analysen av uppgifter i egentlig mening i de flesta fall genomförs av tjänsteleverantören av webtrackingmed diskretion, är även det företag som driver webbplatsen ansvarigt. Det integrerar webtrackingleverantörens kod på sin webbplats och främjar således, utan Internetanvändarens vetskap, överföring av uppgifter, skapande av cookies och insamling av uppgifter till förmån för webtrackingleverantören”. Se ”Explications concernant le webtracking” som lämnats av Préposé fédéral à la protection des données et à la transparence (PFPDT), tillgängliga på följande webbplats: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr.


35      Se, för ett liknande resonemang, yttrande 1/2010, s. 24.


36      Yttrande 1/2010, s. 35.


37      Yttrande 1/2010, sidorna 20 och 21.


38      Se beslutet om hänskjutande, punkt 40.


39      Se, särskilt, dom av den 31 januari 2017, Lounani (C‑573/14, EU:C:2017:71, punkt 56 och där angiven rättspraxis).


40      Nedan kallat yttrande 8/2010.


41      Sidan 31 i yttrandet.


42      Sidan 32 i yttrandet.


43      Den struktur som antagits av sådana grupper som Google och Facebook för att utveckla deras verksamhet världen över gör det svårt att fastställa tillämplig nationell rätt och det etableringsställe mot vilket enskilda som har lidit skada och tillsynsmyndigheter kan vidta åtgärder. Se avseende dessa frågor Svantesson D., ˮEnforcing Privacy Across Different Jurisdictions, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin 2016, s. 195–222, särskilt sidorna 216–218.


44      Se, bland annat, dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 25 och där angiven rättspraxis).


45      Se, bland annat, dom av den 28 juli 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punkt 75 och där angiven rättspraxis).


46      Se dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 29).


47      Se, bland annat, dom av den 28 juli 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punkt 77 och där angiven rättspraxis).


48      Se dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 29).


49      Se, bland annat, dom av den 28 juli 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punkt 78 och där angiven rättspraxis).


50      Sidan 33 i yttrande 8/2010. Se även, för ett liknande resonemang, s. 15 i yttrandet..


51      C‑131/12, EU:C:2014:317.


52      Punkt 55 i domen.


53      Punkt 56 i domen.


54      Punkt 57 i domen.


55      Se, för ett liknande resonemang, artikel 29-arbetsgruppens yttrande 5/2009 av den 12 juni 2008 om sociala nätverk, s. 5.


56      C‑131/12, EU:C:2014:317.


57      Se, bland annat, artikel 29-arbetsgruppens Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain, av den 16 december 2015, s. 6 och 7.


58      Se, avseende en eventuell tillämpning av flera nationella lagstiftningar, yttrande 8/2010. ”Hänvisningen till ʼett’ etableringsställe innebär att den omständigheten att förekomsten av ett etableringsställe tillhörande den registeransvarige på en medlemsstats territorium innebär att lagstiftningen i den medlemsstaten kommer att vara tillämplig och att förekomsten av andra etableringsställen tillhörande den registeransvarige på andra medlemsstats territorium kan innebära att lagstiftningen i dessa medlemsstater kommer att bli tillämplig” (s. 33).


59      C‑191/15, EU:C:2016:612.


60      Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46 (EUT L 119, 2016, s. 1).


61      Se i detta avseende Hawkes B., ˮThe Irish DPA and Its Approach to Data Protectionˮ, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin 2016, sidorna 441-454, särskilt sidan 450, fotnot 11. Författaren har anfört att ”[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase «the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: ”it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this «should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU.”


62      C‑131/12, EU:C:2014:317.


63      Se, enligt en jämförbar logik, Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, där dessa myndigheter anförde följande: ”… the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice …, the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are ʼinextricably linked’ to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC”.


64      Se dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 49).


65      C‑230/14, EU:C:2015:639.


66      Se dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 42).


67      Se dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 43).


68      Se dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 55).


69      Se dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 57).


70      C‑230/14, EU:C:2015:639.


71      C‑230/14, EU:C:2015:639.


72      Se, i detta avseende, punkt 44 i förevarande förslag till avgörande.


73      Se även punkterna 73–77 i detta förslag till avgörande.


74      C‑230/14, EU:C:2015:639.


75      Dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 60).


76      Dom av den 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 57).