FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

Y. BOT

fremsat den 24. oktober 2017 (1)

Sag C-210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

mod

Wirtschaftsakademie Schleswig-Holstein GmbH,

med deltagelse af:

Facebook Ireland Ltd.,

repræsentant for Forbundsrepublikkens interesser ved Bundesverwaltungsgericht

(anmodning om præjudiciel afgørelse indgivet af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland))

»Præjudiciel forelæggelse – direktiv 95/46/EF – artikel 2, 4 og 28 – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger – påbud om deaktivering af en fanside på Facebook – begrebet »den registeransvarlige« – en fansides administrators ansvar – fælles ansvar – gældende national ret – omfanget af de beføjelser, tilsynsmyndigheden i en medlemsstat har«

1.        Den foreliggende anmodning om præjudiciel afgørelse vedrører fortolkningen af artikel 2, litra d), artikel 4, stk. 1, artikel 17, stk. 2, og artikel 28, stk. 3 og 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (2), som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003 (3).

2.        Anmodningen blev indgivet i forbindelse med en tvist mellem Wirtschaftsakademie Schleswig-Holstein GmbH (herefter »Wirtschaftsakademie«), som er en privatretligt organiseret uddannelsesvirksomhed, og Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, den regionale databeskyttelsesmyndighed i Schleswig-Holstein (herefter »ULD«), om lovligheden af et databeskyttelsesretligt påbud fra sidstnævnte rettet til Wirtschaftsakademie om deaktivering af en »fanside« (Fanpage) på Facebook Ireland Ltd’s websted (herefter »Facebook Ireland«).

3.        Påbuddet kommer efter den angivelige overtrædelse af de tyske bestemmelser til gennemførelse af direktiv 95/46, navnlig som følge af, at brugere af en fanside ikke underrettes om, at deres personoplysninger indsamles af det sociale netværk Facebook (herefter »Facebook«) ved hjælp af cookies, som installeres på deres harddisk med det formål at udarbejde statistikker om brugerne til fansidens administrator og gøre det muligt at udsende målrettede reklamer på Facebook.

4.        Grundlaget for den foreliggende sag er fænomenet »webtracking«, som består i at observere og analysere internetbrugeres adfærd i kommercielt øjemed og med henblik på markedsføring. Denne webtracking gør det navnlig muligt at identificere internetbrugeres interesseområder på baggrund af observationer af deres adfærd på internettet. Her er der tale om adfærdsbaseret webtracking. Sidstnævnte foregår almindeligvis ved hjælp af cookies.

5.        Cookies er filer, der lagres på internetbrugerens computer, når vedkommende besøger et websted.

6.        Webtracking bruges især til at optimere og effektivisere konfigurationen af et websted. Webtracking gør det også muligt for annoncører at henvende sig direkte til forskellige målgrupper.

7.        Artikel 29-gruppen vedrørende databeskyttelse (4) har i udtalelse nr. 2/2010 af 22. juni 2010 om adfærdsbaseret annoncering på internettet (5) defineret adfærdsbaseret annoncering som »annoncering, der er baseret på registreringen af personers adfærd over tid. Formålet med adfærdsbaseret annoncering er at studere adfærdsmæssige karakteristika gennem personernes handlinger (gentagne besøg på websteder, interaktioner, nøgleord, fremstilling af onlineindhold osv.) med det formål at udvikle en specifik profil og derefter forsyne registrerede med skræddersyede annoncer, der svarer til netop deres udledte interesser« (6). For at nå frem til dette resultat skal oplysninger fra brugerens browser og terminaludstyr indsamles og udnyttes. Den sporingsteknologi, der primært bruges til at overvåge brugere på internettet, er baseret på »sporingscookies« (7). »Adfærdsbaseret annoncering anvender [således] oplysninger, der er indsamlet om en persons browsingadfærd på internettet, som f.eks. de sider, vedkommende har besøgt, eller de søgninger, vedkommende har foretaget, for at vælge, hvilke reklamer der skal vises for denne person« (8).

8.        Sporingen af adfærden på internettet gør det også muligt at tilbyde operatører af websteder statistikker over de personer, der besøger webstederne.

9.        Indsamlingen og udnyttelsen af personoplysninger til udarbejdelse af statistikker over brugere og levering af målrettede annoncer skal opfylde visse betingelser for at være i overensstemmelse med bestemmelserne om beskyttelse af personoplysninger i direktiv 95/46. Sådanne oplysninger må ikke behandles, uden at den pågældende på forhånd underrettes herom og giver samtykke hertil.

10.      Undersøgelsen af, hvorvidt bestemmelserne er overholdt, forudsætter dog, at man først afklarer flere spørgsmål i forbindelse med definitionen af en registeransvarlig og bestemmelsen af gældende national ret, og af, hvilken myndighed der har beføjelse til at gribe ind.

11.      Spørgsmålet om identificering af den registeransvarlige bliver særlig vanskeligt i en situation, hvor en erhvervsdrivende beslutter ikke at installere de nødvendige værktøjer til udarbejdelse af statistikker om brugerne og udsendelse af målrettede annoncer på sit eget websted, men anvender et socialt netværk som Facebook til at oprette en fanside for at få adgang til tilsvarende værktøjer.

12.      Spørgsmålene i forbindelse med bestemmelsen af gældende national ret og af den kompetente myndighed kompliceres også af, at den omhandlede behandling af personoplysninger omfatter flere enheder både i og uden for EU.

13.      På et tidspunkt, hvor flere medlemsstater i de seneste måneder har besluttet at pålægge Facebook bøder for overtrædelse af bestemmelserne om beskyttelse af brugernes personoplysninger (9), vil den foreliggende sag give Domstolen mulighed for at afklare omfanget af de beføjelser, en tilsynsmyndighed som ULD har til at gribe ind over for behandling af personoplysninger med deltagelse af flere aktører.

14.      For at forstå de retlige spørgsmål i den foreliggende sag bør de faktiske omstændigheder i tvisten i hovedsagen indledningsvis beskrives.

I.      De faktiske omstændigheder i hovedsagen og de præjudicielle spørgsmål

15.      Wirtschaftsakademie udbyder uddannelse via en fanside på det sociale netværk Facebook.

16.      Fansider er særlige brugerkonti, som kan konfigureres på Facebook af bl.a. privatpersoner og virksomheder. Administratoren af en fanside skal lade sig registrere hos Facebook og kan derefter benytte den platform, som Facebook driver, til at præsentere sig for brugerne af denne platform og placere udtalelser af enhver art bl.a. for at udvikle en kommerciel virksomhed.

17.      Administratorer af fansider hos Facebook kan ved hjælp af »Facebook-Insights«, et værktøj, som Facebook gratis stiller til rådighed som en ufravigelig del af udbyder/bruger-relationen, modtage statistiske oplysninger om brugerne. Statistikkerne udarbejdes af Facebook og tilpasses af administratoren af en fanside ved hjælp af forskellige kriterier, som denne kan vælge, f.eks. alder eller køn. Statistikkerne giver således anonyme oplysninger om kendetegn og vaner for de personer, der har besøgt fansiderne, hvilket gør det muligt for administratorerne af disse sider i højere grad at målrette deres kommunikation.

18.      For at kunne udarbejde sådanne brugerstatistikker gemmer Facebook mindst én cookie, som virker i to år, med et unikt ID-nummer på brugerens harddisk, når vedkommende besøger fansiden. ID-nummeret, som kan kædes sammen med forbindelsesdata for brugere, som er registreret på Facebook, indsamles og behandles, når Facebook-siderne åbnes.

19.      Ved afgørelse af 3. november 2011 gav ULD Wirtschaftsakademie et påbud i henhold til § 38, stk. 5, første punktum, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse, herefter »BDSG«) (10). Med dette påbud blev det pålagt Wirtschaftsakademie at deaktivere sin fanside hos Facebook (www.facebook.com/wirtschaftsakademie), idet manglende efterlevelse heraf inden den relevante frist ville medføre tvangsbod med den begrundelse, at hverken Wirtschaftsakademie eller Facebook underrettede de besøgende på fansiden om, at Facebook indsamlede deres personoplysninger ved hjælp af cookies og efterfølgende behandlede disse oplysninger. Wirtschaftsakademie påklagede afgørelsen og gjorde i klagen i det væsentlige gældende, at virksomheden, for så vidt angår den gældende lovgivning om beskyttelse af personoplysninger, hverken var ansvarlig for Facebooks behandling af de pågældende data eller dennes installation af cookies.

20.      ULD afviste klagen ved afgørelse af 16. december 2011 med henvisning til Wirtschaftsakademies ansvar som tjenesteudbyder etableret i henhold til § 3, stk. 3, nr. 4, og § 12, stk. 1, i Telemediengesetz (lov om elektroniske medier) (11). Ifølge ULD yder Wirtschaftsakademie, ved at oprette fansiden, et aktivt og frivilligt bidrag til Facebooks indsamling af personoplysninger, som det har gavn af gennem den brugerstatistik, som Facebook stiller til rådighed.

21.      Wirtschaftsakademie anlagde sag til prøvelse af afgørelsen ved Verwaltungsgericht (forvaltningsdomstol, Tyskland) og gjorde gældende, at Facebooks behandling af data ikke kunne tilskrives Wirtschaftsakademie, og at virksomheden heller ikke, efter betydningen i BDSG’s § 11 (12), havde pålagt Facebook at udføre en databehandling, som den kunne kontrollere eller påvirke. Wirtschaftsakademie fandt således, at ULD uberettiget havde rettet påbuddet mod Wirtschaftsakademie og ikke direkte mod Facebook.

22.      Ved dom af 9. oktober 2013 annullerede Verwaltungsgericht (forvaltningsdomstolen) den anfægtede afgørelse og gjorde i det væsentlige gældende, at administratoren af en fanside på Facebook ikke er et »ansvarligt organ« som omhandlet i BDSG’s § 3, stk. 7 (13), og at Wirtschaftsakademie således ikke kunne være adressat for en foranstaltning i henhold til BDSG’s § 38, stk. 5.

23.      Oberverwaltungsgericht (appeldomstol i forvaltningsretlige sager, Tyskland) forkastede ULD’s appel til prøvelse af denne dom som ugrundet, idet domstolen i det væsentlige anførte, at forbuddet mod databehandling i medfør af den anfægtede afgørelse var ulovligt, eftersom BDSG’s § 38, stk. 5, andet punktum, fastsætter en trinvis fremgangsmåde, hvis første fase udelukkende giver mulighed for at træffe foranstaltninger til afhjælpning af overtrædelser konstateret i forbindelse med databehandlingen. Et øjeblikkeligt forbud mod databehandling kan kun komme på tale, hvis proceduren for databehandling som helhed er ulovlig, og den angivelige overtrædelse kun kan bringes til ophør ved at indstille databehandlingen. Dette er dog ifølge Oberverwaltungsgericht (appeldomstol i forvaltningsretlige sager) ikke tilfældet i den foreliggende sag, idet ULD’s angivelige overtrædelser uden videre ville kunne bringes til ophør af Facebook.

24.      Påbuddet var ligeledes ulovligt, idet sagsøgeren ikke er et ansvarligt organ som omhandlet i BDSG’s § 3, stk. 7, med hensyn til de data, som Facebook har indsamlet ved driften af fansiden, og idet et påbud i henhold til BDSG’s § 38, stk. 5, kun kan rettes til et sådant organ. I den foreliggende sag var det udelukkende Facebook, der traf afgørelse om formålet med og hjælpemidlerne til indsamling og behandling af personoplysninger til »Facebook Insight«-funktionen. Sagsøgeren modtog kun anonymiserede statistiske oplysninger.

25.      BDSG’s § 38, stk. 5, giver ikke hjemmel til påbud over for tredjepart. Oberverwaltungsgericht anser ikke det »forstyrreransvar« (Störerhaftung) på internettet, der er udviklet i civilretten, for at kunne overføres til forvaltningsretlige påbud som det foreliggende. Selv om BDSG’s § 38, stk. 5, ikke udtrykkeligt nævner modtageren af påbuddet, følger det af opbygningen af, formålet med og ånden i lovgivningen samt dennes affattelse, at modtageren kun kan være det ansvarlige organ.

26.      Til støtte for sin revisionsanke, der er indbragt for Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland), har ULD bl.a. gjort gældende, at BDSG’s § 38, stk. 5, er blevet tilsidesat, og har påberåbt sig flere procedurefejl begået af appeldomstolen. ULD har gjort gældende, at Wirtschaftsakademies overtrædelse skyldes, at virksomheden har givet en uhensigtsmæssig leverandør – i den foreliggende sag Facebook Ireland – ansvar for at oprette, hoste og vedligeholde et websted på internettet, idet Facebook Ireland ikke overholder den gældende lovgivning om databeskyttelse. Påbuddet om deaktivering af fansiden skal således afhjælpe denne overtrædelse begået af Wirtschaftsakademie ved at forbyde dette fortsat at bruge Facebooks infrastruktur som teknisk base for sit websted på internettet.

27.      Den forelæggende ret er af den opfattelse, at Wirtschaftsakademie – for så vidt angår den indsamling og behandling af personoplysninger om besøgende på dets fanside, som Facebook Ireland, der er intervenient i hovedsagen, foretager – ikke er det »organ, der indsamler, behandler eller udnytter personoplysninger til sig selv eller overdrager til andre at udføre dette«, jf. BDSG’s § 3, stk. 7, eller det »organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«, jf. artikel 2, litra d), i direktiv 95/46. Ganske vist giver Wirtschaftsakademie ved sin beslutning om at oprette en fanside på den platform, der drives af Facebook Ireland eller dennes moderselskab (i det foreliggende tilfælde Facebook Inc., USA), objektivt set Facebook Ireland mulighed for at anbringe cookies på denne fanside, når den åbnes, og indsamle data ad den vej. Det følger imidlertid ikke af denne beslutning, at Wirtschaftsakademie kan påvirke, styre, udforme eller på anden vis kontrollere arten og omfanget af Facebook Irelands behandling af data om brugerne af Wirtschaftsakademies fanside. Heller ikke betingelserne for anvendelsen af fansiden giver for så vidt Wirtschaftsakademie ret til at påvirke eller kontrollere denne. De betingelser for anvendelsen, som Facebook Ireland ensidigt har fastsat, er ikke et resultat af en forhandlingsproces i hvert enkelt tilfælde og giver heller ikke Wirtschaftsakademie ret til at forbyde Facebook Ireland at indsamle og behandle data fra brugere af fansiden.

28.      Den forelæggende ret er af den opfattelse, at begrebet »den registeransvarlige« som fastsat i artikel 2, litra d), i direktiv 95/46 i princippet skal fortolkes bredt af hensyn til en effektiv beskyttelse af personoplysninger. Wirtschaftsakademie kan imidlertid ikke anses for at være registeransvarlig, eftersom virksomheden ikke har nogen retlig eller faktisk indflydelse på afgørelsen af, hvorledes personoplysninger behandles af Facebook Ireland under dennes ansvar og i fuld uafhængighed. I denne henseende er det forhold, at Wirtschaftsakademie objektivt set kan drage nytte af »Facebook Insights«-funktionen, som intervenienten i hovedsagen udnytter, utilstrækkeligt, eftersom Wirtschaftsakademie modtager anonymiserede data til anvendelse i forbindelse med sin fanside.

29.      Ifølge den forelæggende ret kan Wirtschaftsakademie heller ikke anses for at være ansvarlig for en registerførers behandling af oplysninger, jf. § 11 i BDSG, og artikel 2, litra e), og artikel 17, stk. 2 og 3, i direktiv 95/46.

30.      Den forelæggende ret ønsker oplyst, om og på hvilke betingelser de kontrol- og interventionsbeføjelser, som tilsynsmyndighederne for databeskyttelse har, udelukkende kan udøves over for den »registeransvarlige« i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46, eller om det er muligt at stille et organ, som ifølge samme bestemmelse ikke er ansvarligt for databehandlingen, til ansvar i kraft af dette organs valg af Facebook til sit informationsudbud.

31.      Med hensyn til sidstnævnte tilfælde anmoder den forelæggende ret Domstolen om at tage stilling til, om et sådant ansvar kan følge af en analog anvendelse af udvælgelses- og kontrolforpligtelserne i medfør af artikel 17, stk. 2, i direktiv 95/46, når databehandlingen sker ved en registerfører.

32.      For at kunne tage stilling til lovligheden af påbuddet i den foreliggende sag er den forelæggende ret af den opfattelse, at det ligeledes er nødvendigt at afklare visse spørgsmål vedrørende tilsynsmyndighedernes kompetence og omfanget af deres beføjelser til at gribe ind.

33.      Den forelæggende ret rejser nærmere bestemt spørgsmålet om fordelingen af kompetencer mellem tilsynsmyndighederne i en situation, hvor en moderkoncern, såsom Facebook Inc., på Unionens område har flere selskaber, og de opgaver, der er pålagt disse selskaber inden for koncernen, er forskellige opgaver.

34.      Den forelæggende ret minder i denne henseende om, at Domstolen i sin dom af 13. maj 2014 i sagen Google Spain og Google (14) fastslog, at »artikel 4, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at en behandling af personoplysninger foretages som led i aktiviteter, der inden for en medlemsstats område udføres af en registeransvarligs virksomhed eller organ som omhandlet i bestemmelsen, når en søgemaskineudbyder etablerer en filial eller et datterselskab i en medlemsstat, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og hvis aktivitet er rettet mod indbyggerne i denne medlemsstat« (15). Den forelæggende ret ønsker oplyst, om denne tilknytning til en virksomhed som Facebook Germany GmbH, der ifølge oplysningerne i anmodningen om præjudiciel afgørelse har ansvar for reklame og salg af reklame og øvrige marketingforanstaltninger rettet mod indbyggerne i Tyskland, med hensyn til anvendelsen af direktiv 95/46 og tilsynsmyndighedens kompetence også kan overføres på en situation, hvor et datterselskab, der er etableret i en anden medlemsstat (i det foreliggende tilfælde Irland), optræder som »den registeransvarlige« på hele Unionens område.

35.      For så vidt angår adressaterne for en foranstaltning truffet i henhold til artikel 28, stk. 3, i direktiv 95/46 har den forelæggende ret anført, at det påbud, der er rettet til Wirtschaftsakademie, kan udspringe af et urigtigt skøn og derfor er ulovligt, hvis de af ULD hævdede overtrædelser af reglerne om databeskyttelse ville kunne fjernes ved en indgriben direkte mod det i Tyskland etablerede datterselskab Facebook Germany, der har hjemsted i Tyskland.

36.      Den forelæggende ret bemærker desuden, at ULD ikke mener sig bundet af Data Protection Commissioners (den irske tilsynsmyndighed) vurdering og skøn, idet denne myndighed ifølge oplysninger fra Wirtschaftsakademie og intervenienten i hovedsagen ikke har anfægtet den i hovedsagen omhandlede behandling af personoplysninger. Den forelæggende ret ønsker således dels oplyst, om en sådan selvstændig vurdering foretaget af ULD er lovlig, dels, om artikel 28, stk. 6, andet punktum, i direktiv 95/46 forpligter ULD til – i lyset af de to tilsynsmyndigheders forskellige vurdering af, hvorvidt behandlingen af personoplysninger i hovedsagen er i overensstemmelse med bestemmelserne i direktiv 95/46 – at anmode Data Protection Commissioner om at udøve sine beføjelser over for Facebook Ireland.

37.      Under disse omstændigheder har Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Skal artikel 2, litra d), i direktiv 95/46 fortolkes således, at den endeligt og udtømmende regulerer ansvaret for brud på datasikkerheden, eller bliver der inden for rammerne af »de fornødne foranstaltninger« i henhold til artikel 24 i direktiv 95/46/EF og [af beføjelser til at kunne] »gribe effektivt ind« i henhold til artikel 28, stk. 3, andet led, i direktiv 95/46/EF i flertrins informationsudbyderforhold plads til et ansvar for et organ, som ikke er ansvarligt for databehandling i den betydning, hvori udtrykket er anvendt i artikel 2, litra d), i [nævnte direktiv] ved valget af en registerfører til dets informationsudbud?

2)      Kan det af medlemsstaternes forpligtelse i henhold til artikel 17, stk. 2, i direktiv 95/46 til at fastsætte i forbindelse med databehandling ved en registerfører, at »den registeransvarlige skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes«, omvendt sluttes, at der ved andre udbyder/bruger-relationer, som ikke er forbundet med databehandling ved en registerfører som omhandlet i artikel 2, litra e), i [dette direktiv], ikke består nogen forpligtelse til at foretage et omhyggeligt valg, og at det heller ikke kan begrundes efter national ret?

3)      Er en tilsynsmyndighed i en medlemsstat (i det foreliggende tilfælde Tyskland) i tilfælde, hvor en moderkoncern, som er hjemmehørende uden for Den Europæiske Union, driver juridisk selvstændige virksomheder (datterselskaber) i forskellige medlemsstater, kompetent i henhold til artikel 4, og artikel 28, stk. 6, i direktiv 95/46 til at udøve de beføjelser, der tillægges den i overensstemmelse med artikel 28, stk. 3, [heri] over for en virksomhed, der ligger på medlemsstatens eget område, også i det tilfælde, hvor denne virksomhed udelukkende har til opgave at [reklamere for og sælge reklameplads] og øvrige marketingforanstaltninger rettet mod indbyggerne i denne medlemsstat, mens den selvstændige virksomhed (det datterselskab), der ligger i en anden medlemsstat (i det foreliggende tilfælde Irland), ifølge koncernens interne opgavefordeling er eneansvarlig for indsamling og behandling af personoplysninger på hele EU’s område og dermed også i den anden medlemsstat (idet foreliggende tilfælde Tyskland), når afgørelsen om databehandling rent faktisk træffes af moderkoncernen?

4)      Skal artikel 4, stk. 1, og artikel 28, stk. 3, i direktiv 95/46 fortolkes således, at i tilfælde, hvor den registeransvarlige er ejer af en virksomhed på én medlemsstats område (i det foreliggende tilfælde Irland), og der findes en yderligere juridisk selvstændig virksomhed på en anden medlemsstats område (i det foreliggende tilfælde Tyskland), som bl.a. har til opgave at sælge reklameplads, og hvis aktivitet er rettet mod indbyggerne i denne stat, kan den kompetente tilsynsmyndighed i denne anden medlemsstat (i det foreliggende tilfælde Tyskland) også rette foranstaltninger og påbud til gennemførelse af reglerne om databeskyttelse mod den anden virksomhed, som ifølge den koncerninterne opgave- og ansvarsfordeling ikke er ansvarlig for databehandling (i det foreliggende tilfælde i Tyskland), eller kan der i så fald kun træffes foranstaltninger og gives påbud af tilsynsmyndigheden i den medlemsstat (i det foreliggende tilfælde Irland), på hvis område det koncerninterne ansvarlige organ har sit hjemsted?

5)      Skal artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46 fortolkes således, at i tilfælde, hvor tilsynsmyndigheden i en medlemsstat (i det foreliggende tilfælde Tyskland) i henhold til artikel 28, stk. 3, i direktiv 95/46 rejser krav mod en person eller et organ, som er aktiv(t) på denne stats område, på grund af manglende omhu ved valget af en tredjemand, som er involveret i databehandlingsprocessen (i det foreliggende tilfælde Facebook), fordi denne tredjemand overtræder reglerne om databeskyttelse, er den tilsynsmyndighed, der griber ind (i det foreliggende tilfælde Tyskland), da bundet til den databeskyttelsesretlige vurdering hos tilsynsmyndigheden i den anden medlemsstat, hvor den for databehandlingen ansvarlige tredjemand har sin virksomhed (i det foreliggende tilfælde Irland), i den forstand, at den ikke må foretage en herfra afvigende retlig vurdering, eller kan den indgribende tilsynsmyndighed (i det foreliggende tilfælde Tyskland) foretage en selvstændig undersøgelse af lovligheden af den databehandling, som udføres af den tredjemand, der er etableret i en anden medlemsstat (i det foreliggende tilfælde Irland), som et indledende spørgsmål vedrørende dens egen indgriben?

6)      For så vidt som den indgribende tilsynsmyndighed (i det foreliggende tilfælde Tyskland) kan foretage en selvstændig efterprøvelse: Skal artikel 28, stk. 6, andet punktum, i direktiv 95/46 fortolkes således, at denne tilsynsmyndighed først må udøve de beføjelser, som er tillagt den i henhold til artikel 28, stk. 3, i direktiv 95/46, til at gribe effektivt ind over for en person eller et organ, der er etableret på denne stats område, på grund af medansvar for brud på datasikkerheden, som er begået af en i en anden medlemsstat etableret tredjemand, når og kun når den på forhånd har anmodet tilsynsmyndigheden i denne anden medlemsstat (i det foreliggende tilfælde Irland) om at måtte udøve sine beføjelser?«

II.    Bedømmelse

38.      Det skal præciseres, at de præjudicielle spørgsmål fra den forelæggende ret ikke vedrører spørgsmålet om, hvorvidt den behandling af personoplysninger, som danner grundlag for ULD’s påstand, dvs. indsamlingen og udnyttelsen af oplysninger om brugere af fansiderne, uden at de pågældende personer er blevet underrettet herom, er i strid med bestemmelserne i direktiv 95/46.

39.      Ifølge den forelæggende rets forklaringer afhænger lovligheden af det påbud, retten skal tage stilling til, af nedenstående elementer. Ifølge den forelæggende ret skal den først og fremmest tage stilling til, om ULD havde ret til at gribe ind over for en person, som ikke var den registeransvarlige i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46. Dernæst er den forelæggende ret af den opfattelse, at lovligheden af påbuddet også afhænger af, hvorvidt ULD havde kompetence til at gribe ind over for den i hovedsagen omhandlede behandling af personoplysninger, hvorvidt det var et urigtigt skøn af ULD at rette sit påbud til Wirtschaftsakademie og ikke Facebook Germany, og endelig hvorvidt ULD har gjort sig skyldig i endnu et urigtigt skøn ved at pålægge Wirtschaftsakademie at lukke sin fanside i stedet for først at anmode Data Protection Commissioner om at udøve sine beføjelser over for Facebook Ireland.

A.      Det første og det andet præjudicielle spørgsmål

40.      Med det første og det andet præjudicielle spørgsmål, der efter min mening bør besvares samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 17, stk. 2, artikel 24 og artikel 28, stk. 3, andet led, i direktiv 95/46 skal fortolkes således, at bestemmelserne giver tilsynsmyndighederne mulighed for at gribe ind over for et organ, som ikke kan anses for at være den »registeransvarlige« i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i samme direktiv, men som ikke desto mindre kan holdes ansvarlig for overtrædelse af bestemmelserne om beskyttelse af personoplysninger som følge af dette organs beslutning om at anvende et socialt netværk som Facebook til sit informationsudbud.

41.      Spørgsmålene bygger på den antagelse, at Wirtschaftsakademie ikke er den »registeransvarlige« i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46. Den forelæggende ret ønsker derfor oplyst, om et påbud som det i hovedsagen omhandlede kan rettes til en person, der ikke opfylder betingelserne i denne bestemmelse.

42.      Jeg mener imidlertid, at denne præmis er forkert. Wirtschaftsakademie skal efter min mening anses for at være medansvarlig for den del af behandlingen, der består i Facebooks indsamling af personoplysninger.

43.      Ved »registeransvarlig« i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46, forstås »den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger« (16).

44.      Den registeransvarlige spiller en grundlæggende rolle i det system, der blev indført med direktiv 95/46, og det er således vigtigt at identificere den registeransvarlige. I henhold til direktivet er den registeransvarlige nemlig pålagt forpligtelser, der skal sikre beskyttelsen af personoplysninger (17). Domstolen fremhævede denne grundlæggende rolle i sin dom af 13. maj 2014 i sagen Google Spain og Google (18). Domstolen fastslog, at den registeransvarlige inden for rammerne af sit ansvar, sine kompetencer og sine muligheder skal sikre, at den omhandlede databehandling opfylder kravene i direktiv 95/46, således at de garantier, som direktivet fastsætter, kan opnå deres fulde virkning, og at en effektiv og fuldstændig beskyttelse af de berørte personer, bl.a. hvad angår deres ret til privatlivets fred, faktisk kan gennemføres (19).

45.      Det fremgår ligeledes af Domstolens praksis, at begrebet skal defineres bredt med henblik på at sikre en effektiv og fuldstændig beskyttelse af de berørte personer (20).

46.      Den registeransvarlige er det organ, der beslutter, hvorfor og hvordan personoplysningerne skal behandles. Som fastsat af Artikel 29-gruppen, »[er] begrebet den registeransvarlige […] et funktionelt begreb, som er beregnet på at tildele ansvar i forhold til den faktiske indflydelse, og det er således snarere baseret på en faktuel end en formel analyse« (21).

47.      Det er efter min mening ganske rigtigt Facebook Inc. og – i EU – Facebook Ireland, der i egenskab af udviklere af denne behandling hovedsageligt har fastsat formålet hermed og midlerne hertil.

48.      Nærmere bestemt har Facebook Inc. udviklet den generelle økonomiske model, der bevirker, at indsamlingen af personoplysninger fra brugere af fansider og den efterfølgende udnyttelse heraf kan bruges til dels at levere personligt tilpassede annoncer, dels til at udarbejde statistikker om brugerne til brug for disse siders administratorer.

49.      Det fremgår desuden af sagens akter, at Facebook Inc. har angivet Facebook Ireland som registeransvarlig i EU. Ifølge Facebook Irelands forklaringer kan der være tale om visse tilpasninger af Facebooks funktionsmåde i EU (22).

50.      Enhver, der har bopæl på Unionens område, og som ønsker at anvende Facebook, er ganske vist i forbindelse med sin registrering forpligtet til at indgå en aftale med Facebook Ireland, men det skal samtidig bemærkes, at personoplysningerne vedrørende Facebook-brugere, som har bopæl på Unionens område, helt eller delvist overføres til servere, der tilhører Facebook Inc., og som befinder sig i USA, hvor de er genstand for en behandling (23).

51.      Eftersom Facebook Inc., og i EU nærmere bestemt Facebook Ireland, medvirker til at træffe afgørelse om formålet med og hjælpemidlerne til den i hovedsagen omhandlede behandling af personoplysninger, skal disse to enheder, ud fra de dokumenter, som jeg er i besiddelse af, begge anses for at være registeransvarlige. Det skal i denne henseende bemærkes, at artikel 2, litra d), i direktiv 95/46 udtrykkeligt giver mulighed for et sådant fælles ansvar. Som den forelæggende ret selv nævner, påhviler det først og fremmest den forelæggende ret at fastslå beslutnings- og behandlingsstrukturerne internt i Facebook-koncernen med henblik på at slå fast, hvilken eller hvilke virksomheder der er registeransvarlig(e) i henhold til artikel 2, litra d), i direktiv 95/46 (24).

52.      Ud over Facebook Inc. og Facebook Irelands fælles ansvar skal det efter min mening, for så vidt angår den del af behandlingen, der vedrører Facebooks indsamling af personoplysninger (25), tilføjes, at også en administrator af en fanside som Wirtschaftsakademie er pålagt et ansvar.

53.      En administrator af en fanside er ganske vist først og fremmest bruger af Facebook, som den pågældende benytter for at kunne udnytte de indbyggede værktøjer og dermed øge sin synlighed. Denne konstatering udelukker imidlertid ikke, at administratoren også kan anses for at være ansvarlig for den i hovedsagen omtvistede fase i behandlingen af personoplysninger, nemlig Facebooks indsamling af sådanne data.

54.      Med hensyn til spørgsmålet om, hvorvidt administratoren af en fanside »træffer afgørelse« om formålet med og hjælpemidlerne til behandlingen, skal det undersøges, om administratoren har retlig eller faktisk indflydelse på disse formål og hjælpemidler. Dette element i definitionen gør det muligt at antage, at den registeransvarlige ikke er den, der behandler personoplysningerne, men den, der træffer afgørelse om formålet med og hjælpemidlerne til databehandlingen.

55.      Ved at bruge Facebook til sit informationsudbud accepterer administratoren af fansiden behandlingen af personoplysninger om brugerne af fansiden med henblik på udarbejdelse af statistikker om brugere (26). Selv om administratoren naturligvis ikke har udviklet »Facebook Insights«-værktøjet, deltager administratoren ved at anvende værktøjet i afgørelsen af formålet med og hjælpemidlerne til behandlingen af personoplysninger om brugerne af dennes side.

56.      Behandlingen kan nemlig dels ikke ske, uden at administratoren af en fanside beslutter at oprette og drive denne på Facebook. Ved at give tilladelse til behandlingen af personoplysninger om brugerne af en fanside tilslutter administratoren sig Facebooks system. Administratoren opnår på den måde større kendskab til profilen for brugerne af fansiden og gør det samtidig muligt for Facebook i højere grad at målrette sine annoncer. Ved at acceptere midlerne til og formålet med behandlingen af personoplysningerne, som fastsat på forhånd af Facebook, skal administratoren af fansiden betragtes som medansvarlig for afgørelsen heraf. Ligesom administratoren af en fanside således har afgørende indflydelse på indledningen af behandlingen af personoplysninger om brugere af fansiden, kan den pågældende også bringe behandlingen til ophør ved at lukke fansiden.

57.      Dels har administratoren af en fanside – om end formålet med og hjælpemidlerne til anvendelsen af »Facebook Insights«-værktøjet som sådan generelt fastsættes af Facebook Inc. sammen med Facebook Ireland – mulighed for at øve indflydelse på den konkrete anvendelse af værktøjet ved at fastsætte kriterierne for udarbejdelsen af statistikkerne om brugerne. Når Facebook opfordrer administratoren af en fanside til at oprette eller ændre målgruppen for sin side, underrettes administratoren om, at Facebook vil gøre sit bedste for at vise siden til de personer, der er vigtigst for administratoren. Administratoren af en fanside kan ved hjælp af filtre definere en tilpasset målgruppe, hvilket ikke blot giver administratoren mulighed for at tilpasse gruppen af personer, som skal modtage information om virksomhedens udbud, men også at træffe afgørelse om, hvilke kategorier af personer Facebook skal indsamle personoplysninger om. Ved at udpege målgruppen identificerer administratoren af en fanside samtidig, hvilken kategori af brugere der kan gøres til genstand for Facebooks indsamling af personoplysninger og efterfølgende udnyttelse af disse oplysninger. Ud over at være den udløsende faktor til behandling af sådanne data ved at oprette fansiden spiller administratoren således en afgørende rolle i Facebooks iværksættelse af behandlingen. Administratoren deltager således på sin vis i fastsættelsen af formålet med og hjælpemidlerne til behandlingen ved at øve en faktisk indflydelse herpå.

58.      Ud fra det foregående konkluderer jeg, at en administrator af en fanside på et socialt netværk som Facebook, under omstændigheder som de i hovedsagen omhandlede, skal anses for at være ansvarlig for den fase i behandlingen af personoplysninger, der består i det sociale netværks indsamling af data om brugere af siden.

59.      Denne konklusion underbygges af det forhold, at en administrator af en fanside som Wirtschaftsakademie, på den ene side, og tjenesteudbydere som Facebook Inc. og Facebook Ireland, på den anden side, hver især forfølger formål, der er tæt forbundne. Wirtschaftsakademie ønsker statistikker om brugerne med henblik på at reklamere for virksomhedens aktiviteter, og en behandling af personoplysninger er nødvendig herfor. Samme behandling gør det desuden muligt for Facebook i højere grad at målrette sine reklamer via netværket.

60.      En fortolkning, der udelukkende hentes fra bestemmelserne og vilkårene i den kontrakt, der er indgået mellem Wirtschaftsakademie og Facebook Ireland, bør således afvises. Fordelingen af opgaver i henhold til kontrakten kan da også kun betragtes som vejledende i forhold til de kontraherende parters reelle rolle i gennemførelsen af behandlingen af personoplysninger. Med andre ord kan parterne kunstigt tillægge en af parterne ansvaret for behandlingen. Det gælder så meget desto mere i en situation, hvor de almindelige vilkår på forhånd er udarbejdet af det sociale netværk og ikke er til forhandling. Det kan således ikke antages, at den, der udelukkende kan acceptere eller afvise kontrakten, ikke kan være registeransvarlig. Så længe den pågældende frivilligt har indgået kontrakten, kan vedkommende stadig være ansvarlig for behandlingen som følge af sin konkrete indflydelse på formålet med og hjælpemidlerne til denne behandling.

61.      Det forhold, at kontrakten og dens forretningsbetingelser udarbejdes af en tjenesteudbyder, og at den operatør, der udnytter udbyderens tjenester, ikke har adgang til dataene, udelukker ikke, at operatøren kan anses for at være en registeransvarlig, for så vidt som vedkommende frivilligt har accepteret kontraktbestemmelserne og således påtager sig det fulde ansvar for dem (27). I lighed med Artikel 29-gruppen skal det ligeledes anerkendes, at et skævt styrkeforhold mellem udbyderen og brugeren af tjenesten ikke er til hinder for, at sidstnævnte kan betragtes som registeransvarlig (28).

62.      Det er således ikke nødvendigt, at en person har fuld kontrol over alle aspekter af behandlingen for at kunne anses for at være registeransvarlig i henhold til artikel 2, litra d), i direktiv 95/46. Som den belgiske regering nævnte i retsmødet, er der i praksis sjældnere og sjældnere tale om en sådan kontrol. Behandlingerne bliver mere og mere komplekse i den forstand, at det drejer sig om flere særskilte behandlinger, som omfatter flere parter, der udøver forskellige grader af kontrol. En fortolkning, hvor det antages, at der skal være tale om fuld kontrol over alle aspekter af behandlingen, kan give anledning til alvorlige trusler mod beskyttelsen af personoplysninger.

63.      De omstændigheder, der lå til grund for dom af 13. maj 2014 i sagen Google Spain og Google (29), illustrerer dette. I denne sag var der tale om en situation, der involverede informationsudbydere i flere trin, hvor forskellige parter hver især havde indflydelse på behandlingen. I den nævnte sag afviste Domstolen at fortolke begrebet »registeransvarlig« indskrænkende. Domstolen fastslog, at søgemaskineudbyderen »i sin egenskab af den person, som afgør formålet med aktiviteten og hjælpemidlerne hertil, inden for rammerne af sit ansvar, sine kompetencer og sine muligheder [skal] sikre, at den opfylder kravene i direktiv 95/46« (30). Domstolen fremhævede i øvrigt muligheden for et fælles ansvar for søgemaskineudbyderen og websideudgiverne (31).

64.      Ligesom den belgiske regering mener jeg, at den brede fortolkning af begrebet »registeransvarlig« i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46, der efter min mening skal finde anvendelse i den foreliggende sag, forhindrer misbrug. Ellers ville en virksomhed kunne anvende en tredjeparts tjenester med henblik på at fralægge sig sit ansvar for beskyttelsen af personoplysninger. Med andre ord skal der efter min mening ikke skelnes mellem en virksomhed, der forsyner sit websted med værktøjer svarende til Facebooks værktøjer, og en virksomhed, der bruger Facebook for at udnytte det sociale netværks værktøjer. Det skal således sikres, at erhvervsdrivende, der får hostet deres websted, ikke kan fralægge sig deres ansvar ved at acceptere en tjenesteudbyders standardbetingelser. Som den belgiske regering anførte i retsmødet, er det ikke urimeligt at forvente, at virksomheder udviser omhu, når de vælger tjenesteudbyder.

65.      Jeg mener således ikke, at det forhold, at administratoren af en fanside bruger Facebooks platform og udnytter de tjenesteydelser, der knytter sig hertil, fritager administratoren for vedkommendes forpligtelser med hensyn til beskyttelse af personoplysninger. I denne henseende bemærker jeg, at hvis Wirtschaftsakademie havde åbnet et websted på internettet uden for Facebook og anvendt et værktøj, der svarer til »Facebook Insights«, til udarbejdelse af brugerstatistikker, ville virksomheden være blevet betragtet som registeransvarlig i forbindelse med udarbejdelsen af disse statistikker. Efter min mening må en erhvervsdrivende ikke kunne fritages for at overholde bestemmelserne om beskyttelse af personoplysninger i direktiv 95/46, blot fordi den pågældende bruger Facebooks platform til at promovere sine aktiviteter. Som den forelæggende ret med rette bemærker, skal en udbyder af information ikke kunne unddrage sig databeskyttelsesretlige forpligtelser – som han ville skulle opfylde, hvis det blot drejede sig om en indholdsudbyder – over for brugerne af hans informationsudbud ved at vælge en bestemt infrastrukturleverandør (32). Den modsatte fortolkning ville give anledning til en risiko for overtrædelse af bestemmelserne om beskyttelse af personoplysninger.

66.      Der bør ligeledes efter min mening heller ikke opstilles en kunstig sondring mellem situationen i den foreliggende sag og den i sag C-40/17, Fashion-ID, omhandlede situation (33).

67.      Sidstnævnte sag vedrører en situation, hvor operatøren af et websted har integreret et såkaldt »socialt modul« (i den foreliggende sag Facebooks »synes godt om«/»like«-funktion) fra en tredjepart (dvs. Facebook), som indebærer en overførsel af personoplysninger fra den besøgendes computer til den eksterne leverandør.

68.      Inden for rammerne af den tvist, der ligger til grund for den nævnte sag, beskylder en forbrugerbeskyttelsesorganisation virksomheden Fashion-ID for – ved på sit websted at have indsat Facebooks »synes godt om«-modul – at have givet Facebook adgang til personoplysninger om brugerne af dette websted uden deres samtykke og i strid med forpligtelserne til underretning i medfør af bestemmelserne om beskyttelse af personoplysninger. Spørgsmålet er dernæst, om Fashion-ID – idet selskabet giver Facebook adgang til personoplysninger om brugerne af sit websted – kan eller ikke kan betragtes som »registeransvarlig« i henhold til artikel 2, litra d), i direktiv 95/46.

69.      I denne henseende ser jeg ikke nogen grundlæggende forskel mellem en situation, hvor der er tale om en administrator af en fanside, og en situation, hvor en operatør af et websted integrerer en webtracking-udbyders kode på sit websted og dermed uden internetbrugerens vidende giver anledning til overførsel af data, installation af cookies og indsamling af data til fordel for udbyderen af webtracking-tjenesterne.

70.      Sociale plugins giver operatører af websteder mulighed for at bruge visse af de sociale netværks tjenester på deres egne websteder for at øge disses synlighed, f.eks. ved at integrere Facebooks »synes godt om«-knap. Ligesom administratorer af fansider kan operatører af websteder, der indsætter sociale plugins, bruge »Facebook Insights«-tjenesten til at indhente nøjagtige statistiske oplysninger om brugerne af deres websted.

71.      I lighed med det, der sker i forbindelse med besøg på en fanside, udløser besøg på et websted med en social plugin en overførsel af personoplysninger til den pågældende udbyder.

72.      I en sådan sammenhæng og i lighed med administratoren af en fanside skal en operatør af et websted med en social plugin – såfremt han har faktisk indflydelse på den del af behandlingen, der vedrører overførsel af personoplysninger til Facebook – efter min mening anses for at være »registeransvarlig« som omhandlet i artikel 2, litra d), i direktiv 95/46 (34).

73.      Det skal, som den belgiske regering med rette har gjort opmærksom på, bemærkes, at det forhold, at Wirtschaftsakademie fungerer som medansvarlig for behandlingen, når virksomheden beslutter at bruge Facebooks tjenester til sit informationsudbud, ikke på nogen måde fritager Facebook Inc. og Facebook Ireland for deres forpligtelser som registeransvarlige. Det er da også indlysende, at disse to enheder har afgørende indflydelse på formålet med og hjælpemidlerne til behandlingen af personoplysninger i forbindelse med besøg på en fanside, og at de også anvender dataene til deres egne formål og interesser.

74.      Anerkendelsen af, at administratorerne af fansider har et medansvar for den del af behandlingen, der består i Facebooks indsamling af personoplysninger, bidrager imidlertid til at sikre en mere fuldstændig beskyttelse af de rettigheder, som brugere af sådanne sider har. Ved aktivt at forpligte administratorer af fansider til at overholde reglerne om beskyttelse af personoplysninger ved at udpege dem som registeransvarlige vil Facebook blive motiveret til selv til at overholde reglerne.

75.      Det skal desuden præciseres, at tilstedeværelsen af et fælles ansvar ikke indebærer et ansvar på lige fod. De forskellige registeransvarlige kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang (35).

76.      Ifølge Artikel 29-gruppen »[imødekommer] muligheden for pluralistisk kontrol […] det stigende antal situationer, hvor forskellige parter handler som registeransvarlige. Vurderingen af denne fælles kontrol skal afspejle vurderingen af den »enkelte« kontrol, ved at der anlægges en selvstændig og funktionel tilgang, idet der fokuseres på, hvorvidt formålene og de væsentlige elementer ved hjælpemidlerne fastlægges af mere end én part. Parternes deltagelse i fastlæggelsen af formål og hjælpemidler ved behandlingen kan i forbindelse med fælles kontrol antage forskellige former og behøver ikke være ligeligt fordelt« (36). »Hvis der er flere aktører, kan de have et meget tæt forhold (og f.eks. dele alle formål og hjælpemidler ved en behandling) eller et mere løst forhold (og f.eks. kun dele formål eller hjælpemidler eller en del heraf). Derfor skal der tages højde for en bred vifte af typologier for fælles kontrol, og deres juridiske konsekvenser skal vurderes, hvilket giver mulighed for fleksibilitet med henblik på at imødekomme den øgede kompleksitet i forbindelse med databehandling i den aktuelle virkelighed« (37).

77.      Det følger efter min mening af det foregående, at administratoren af en fanside på Facebook skal betragtes som registeransvarlig, sammen med Facebook Inc. og Facebook Ireland, for behandlingen af personoplysninger med henblik på udarbejdelse af statistikker om brugerne af siden.

B.      Det tredje og det fjerde præjudicielle spørgsmål

78.      Med det tredje og det fjerde præjudicielle spørgsmål, der efter min mening skal behandles samlet, ønsker den forelæggende ret oplyst, hvordan artikel 4, stk. 1, litra a), og artikel 28, stk. 1, 3 og 6, i direktiv 95/46 skal fortolkes i en situation, hvor en moderkoncern, som er hjemmehørende uden for Den Europæiske Union, såsom Facebook Inc., udbyder tjenester vedrørende et socialt netværk på EU’s område via flere selskaber. Det ene af disse selskaber er af moderkoncernen udpeget som ansvarlig for behandlingen af personoplysninger på EU’s område (Facebook Ireland), mens det andet har ansvar for at reklamere for og sælge reklameplads og øvrige marketingforanstaltninger rettet mod indbyggerne i Tyskland (Facebook Germany). I dette tilfælde ønsker den forelæggende ret dels oplyst, om den tyske tilsynsmyndighed har kompetence til at udøve de beføjelser, den er tillagt, til at afbryde den omtvistede behandling af personoplysninger, dels, over for hvilket selskab sådanne beføjelser kan udøves.

79.      Som svar på ULD’s og den italienske regerings spørgsmål om, hvorvidt det tredje og det fjerde præjudicielle spørgsmål kan antages til behandling, skal det bemærkes, at Bundesverwaltungsgericht) (forbundsdomstol i forvaltningsretlige sager) i sin anmodning om præjudiciel afgørelse har forklaret, at den ønsker disse spørgsmål afklaret med henblik på at kunne afsige dom om lovligheden af det i hovedsagen omhandlede påbud. Den forelæggende ret har navnlig anført, at påbuddet mod Wirtschaftsakademie kan udspringe af et urigtigt skøn og derfor være ulovligt, såfremt de overtrædelser af reglerne om databeskyttelse som ULD hævder har fundet sted, kunne have været fjernet ved en indgriben direkte mod den i Tyskland etablerede virksomhed Facebook Germany (38). Den forelæggende rets overvejelser forklarer efter min mening, hvorfor den stiller Domstolen det tredje og det fjerde præjudicielle spørgsmål. Eftersom der i forbindelse med anmodninger om præjudiciel afgørelse gælder en formodning om, at de af den forelæggende ret stillede spørgsmål er relevante (39), foreslår jeg Domstolen at besvare spørgsmålene.

80.      Artikel 4 i direktiv 95/46 med overskriften »Gældende national ret« har følgende ordlyd:

»1.      Medlemsstaterne anvender de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger:

a)      der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret; en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning

[…]«

81.      I sin udtalelse nr. 8/2010 af 16. december 2010 om den lovgivning, der finder anvendelse (40), henviser Artikel 29-gruppen til anvendelsen af artikel 4, stk. 1, litra a), i direktiv 95/46 i følgende tilfælde: »En platform for socialt netværk har sit hovedkontor i et tredjeland og et etableringssted i en medlemsstat. På etableringsstedet opstilles og gennemføres retningslinjerne for behandlingen af personoplysninger om personer med bopæl i EU. Det sociale netværk henvender sig specielt til personer med bopæl i EU-medlemsstaterne, og disse udgør en væsentlig del af dets kunder og tegner sig for en stor del af dets indtægter. Det installerer også cookies på EU-brugernes computere. I dette tilfælde vil gældende ret i henhold til artikel 4, stk. 1, litra a), [i direktiv 95/46] være databeskyttelsesreglerne i den medlemsstat, hvor virksomheden eller organet er etableret i EU. Spørgsmålet, om det sociale netværk anvender midler, der befinder sig i andre medlemsstater, er irrelevant, eftersom al databehandling finder sted som led i aktiviteterne på det eneste etableringssted, og direktivet udelukker, at artikel 4, stk. 1, litra a), og artikel 4, stk. 1, litra c), [i direktiv 95/46] kan finde samtidig anvendelse« (41). Artikel 29-gruppen præciserer desuden, at »tilsynsmyndigheden i den medlemsstat, hvor det sociale netværk er etableret i EU, […] imidlertid i henhold til artikel 28, stk. 6, [i direktivet vil] have pligt til at samarbejde med andre tilsynsmyndigheder, f.eks. for at behandle anmodninger eller klager fra personer med bopæl i andre EU-lande« (42).

82.      Eksemplet i ovenstående punkt giver ikke anledning til problemer med at fastslå gældende national ret. I dette tilfælde har moderselskabet da også kun én virksomhed eller ét organ i EU, og det er derfor lovgivningen i den medlemsstat, hvor virksomheden er beliggende, der finder anvendelse på den omhandlede behandling af personoplysninger.

83.      Situationen bliver mere kompleks, når der – i et tilfælde som i den foreliggende sag – er tale om en virksomhed eller et organ, som er etableret i et tredjeland, såsom Facebook Inc., og som udøver sine aktiviteter i EU dels via en virksomhed eller et organ, der af moderkoncernen er udpeget som eneansvarlig for indsamling og behandling af personoplysninger i Facebook-koncernen på hele EU’s område (Facebook Ireland), dels via andre virksomheder eller organer, hvoraf en er beliggende i Tyskland (Facebook Germany) og, ifølge oplysningerne i anmodningen om præjudiciel afgørelse, er ansvarlig for at reklamere for og sælge reklameplads og øvrige marketingforanstaltninger rettet mod indbyggerne i denne medlemsstat (43).

84.      Har den tyske tilsynsmyndighed i et sådant tilfælde kompetence til at gribe ind med henblik på at bringe den behandling af personoplysninger, som Facebook Inc. og Facebook Ireland har fælles ansvar for, til ophør?

85.      For at besvare dette spørgsmål skal det afgøres, om den tyske tilsynsmyndighed har ret til at anvende sin egen nationale ret på en sådan behandling.

86.      Det følger i denne henseende af artikel 4, stk. 1, litra a), i direktiv 95/46, at medlemsstaterne anvender deres nationale ret på behandling af personoplysninger, der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den pågældende virksomhed eller det pågældende organ er etableret.

87.      Domstolen har allerede slået fast, at henset til, at formålet med dette direktiv er at sikre en effektiv og fuldstændig beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, kan udtrykket »som led i en virksomheds eller et organs aktiviteter« i artikel 4, stk. 1, litra a), i forbindelse med behandling af personoplysninger ikke fortolkes indskrænkende (44).

88.      Anvendeligheden af en medlemsstats gennemførelseslovgivning på behandling af personoplysninger forudsætter, at to betingelser er opfyldt. For det første skal den registeransvarlige have »en virksomhed« eller »et organ« i den pågældende medlemsstat. For det andet skal behandlingen finde sted »som led i [virksomhedens eller organets] aktiviteter«.

89.      Hvad for det første angår begrebet »en virksomhed eller et organ« som omhandlet i artikel 4, stk. 1, litra a), i direktiv 95/46, har Domstolen allerede ved en bred og fleksibel fortolkning af begrebet præciseret, at det omfatter enhver, selv minimal, reel og faktisk aktivitet, der udøves via en permanent struktur (45), og har dermed udelukket enhver formel tilgang (46).

90.      I denne henseende bør der foretages en vurdering af, i hvor høj grad strukturen er permanent, og i hvilken grad der faktisk udøves aktiviteter i den pågældende medlemsstat (47), idet der i den forbindelse skal tages hensyn til den specifikke karakter af de pågældende økonomiske aktiviteter og de pågældende tjenesteydelser (48). I denne henseende bestrides det ikke, at Facebook Germany, som har hjemsted i Hamborg (Tyskland), udøver en reel og faktisk aktivitet via en permanent struktur i Tyskland. Facebook Germany udgør således »en virksomhed eller et organ« som omhandlet i artikel 4, stk. 1, litra a), i direktiv 95/46.

91.      Hvad dernæst angår spørgsmålet om, hvorvidt den pågældende behandling af personoplysninger er foretaget »som led i« denne virksomheds eller dette organs aktiviteter som omhandlet i artikel 4, stk. 1, litra a), i direktiv 95/46, har Domstolen allerede fastslået, at denne bestemmelse ikke kræver, at den pågældende behandling af personoplysninger foretages »af« selve den berørte virksomhed eller organ, men udelukkende, at behandlingen foretages »som led i [virksomhedens eller organets] aktiviteter« (49).

92.      Som det fremgår af udtalelse nr. 8/2010, »er begrebet »som led i […] aktiviteter« – og ikke oplysningernes beliggenhed – en afgørende faktor ved bestemmelsen af, hvad der er gældende ret. [Dette begreb] indebærer ikke, at gældende ret er loven i den medlemsstat, hvor den registeransvarlige er etableret, men hvor den registeransvarliges virksomhed eller organ er involveret i aktiviteter vedrørende [behandling af personoplysninger]. Den grad, hvori etableringsstedet eller ‑stederne er involveret i de aktiviteter, som personoplysningerne behandles som led i, er af stor betydning. Derudover bør der tages hensyn til, hvilken type aktiviteter etableringsstederne udfører, og til, at der skal sikres en effektiv beskyttelse af individets rettigheder. Ved undersøgelsen af disse kriterier bør der anlægges en funktionel tilgang: Snarere end parternes teoretiske tilkendegivelse af gældende ret er det deres adfærd i praksis og deres indbyrdes handlemåde, der bør være afgørende« (50).

93.      I dom af 13. maj 2014 i sagen Google Spain og Google (51) skulle Domstolen tage stilling til, om denne betingelse var opfyldt. Domstolen anlagde en bred fortolkning og fastslog, at en behandling af personoplysninger, der foretages for en søgemaskine som Google Search, som udbydes af en virksomhed med hjemsted i et tredjeland, der dog råder over en virksomhed eller et organ i en medlemsstat, foretages »som led i aktiviteter«, der foretages af denne virksomhed eller dette organ, hvis denne virksomhed eller dette organ i denne medlemsstat skal sørge for reklame og salg af reklameplads, der udbydes af søgemaskinen, hvilket medvirker til at gøre den ydelse, som søgemaskinen tilbyder, rentabel (52). Domstolen fastslog, at »[u]nder sådanne omstændigheder er søgemaskineudbyderens aktiviteter og de aktiviteter, der foretages af søgemaskineudbyderens virksomhed eller organ i den omhandlede medlemsstat, nemlig uløseligt forbundne, eftersom aktiviteterne vedrørende reklameplads udgør midlet, der gør den omhandlede søgemaskine økonomisk rentabel, og denne søgemaskine samtidig er det middel, der gør det muligt at gennemføre aktiviteterne« (53). Domstolen tilføjede som støtte for sin fortolkning, at da visningen af personoplysninger på en resultatliste »ledsages af reklamer, der er knyttet til søgeordene, bemærkes, at den pågældende behandling af personoplysninger foretages inden for rammerne af de reklame- og forretningsaktiviteter, der foretages af den registeransvarliges virksomhed eller organ inden for en medlemsstats område, i det foreliggende tilfælde det spanske område« (54).

94.      Ifølge oplysningerne i forelæggelsesafgørelsen har Facebook Germany til opgave at reklamere for og sælge reklameplads og øvrige marketingforanstaltninger rettet mod indbyggerne i Tyskland. Eftersom den i hovedsagen omhandlede behandling af personoplysninger, som består i indsamling af sådanne oplysninger ved hjælp af cookies, som installeres på fansidebesøgendes computer, navnlig har til formål at gøre det muligt for Facebook i højere grad at målrette sine annoncer, skal en sådan behandling antages at finde sted som led i Facebook Germanys aktiviteter i Tyskland. I denne henseende kan det, eftersom et socialt netværk som Facebook genererer størstedelen af sin indtjening fra de reklamer, der lægges op på de oprettede websider, og som brugerne kan klikke sig ind på (55), antages, at de aktiviteter, som de i fællesskab registeransvarlige Facebook Inc. og Facebook Irelands driver, er uløseligt forbundet med aktiviteterne i en virksomhed som Facebook Germany. Efter den behandling af personoplysninger, som muliggøres ved installationen af en cookie på computeren hos en person, der går ind på en side, som tilhører domænenavnet Facebook.com, ledsages besøget på en Facebook-side i øvrigt af visningen, på den samme webside, af annoncer inden for denne besøgendes interesseområder. Det kan udledes heraf, at den omhandlede behandling af personoplysninger sker inden for rammerne af de reklame- og forretningsaktiviteter, der foretages af den registeransvarlige inden for en medlemsstats område, i det foreliggende tilfælde det tyske område.

95.      Det forhold, at Facebook-koncernen, til forskel fra det, der var tilfældet i den sag, som gav anledning til dom af 13. maj 2014 i sagen Google Spain og Google (56), har etableret et hjemsted i Europa, her Irland, er ikke til hinder for, at Domstolens fortolkning af artikel 4, stk. 1, litra a), i direktiv 95/46 i denne dom kan overføres til den foreliggende sag. I den nævnte dom gav Domstolen udtryk for, at det ikke kan accepteres, at en behandling af personoplysninger falder uden for de forpligtelser og garantier, der er fastsat i direktiv 95/46. Det er inden for rammerne af den foreliggende sag gjort gældende, at der ikke er tale om en omgåelse af bestemmelserne, eftersom den registeransvarlige er etableret i en medlemsstat, her Irland. Artikel 4, stk. 1, litra a), i nævnte direktiv skal dermed fortolkes således, at den registeransvarlige i henhold til denne bestemmelse kun skal overholde én medlemsstats lovgivning og udelukkende er underlagt én enkelt tilsynsmyndigheds kontrol, nemlig irsk ret og den irske tilsynsmyndighed.

96.      En sådan fortolkning er imidlertid i strid med ordlyden af artikel 4, stk. 1, litra a), i direktiv 95/46 samt denne bestemmelses tilblivelseshistorie. Som den belgiske regering med rette påpegede i retsmødet, indfører direktivet hverken en one-stop-shop-mekanisme eller et oprindelseslandsprincip (57). I denne henseende må der ikke ske en forveksling mellem det, der var Europa-Kommissionens politiske formål med forslaget til direktiv, og den løsning, der i sidste ende blev godkendt af Rådet for Den Europæiske Union. I nævnte direktiv valgte EU-lovgiver at undlade at prioritere anvendelsen af den nationale ret i den medlemsstat, hvor den registeransvarliges hovedkontor er beliggende. Den situation, der blev indført med direktiv 95/46, er et udtryk for medlemsstaternes ønske om at sikre, at håndhævelsen stadig hører under medlemsstaternes kompetenceområde. Ved ikke at indføre oprindelseslandsprincippet gav EU-lovgiveren hver enkelt medlemsstat beføjelser til at anvende sin nationale lovgivning og gav dermed mulighed for samtidig anvendelse af flere nationale lovgivninger (58).

97.      Med nævnte direktivs artikel 4, stk. 1, litra a), har EU-lovgiver – i tilfælde af, at en registeransvarlig har flere virksomheder eller organer i EU – bevidst valgt at tillade, at flere nationale lovgivninger om beskyttelse af personoplysninger kan finde anvendelse på behandlingen af personoplysninger om indbyggere i de pågældende medlemsstater med henblik på at sikre en effektiv beskyttelse af disse borgere i disse medlemsstater.

98.      Dette bekræftes i 19. betragtning til direktiv 95/46, hvori det præciseres, at »en registeransvarlig, som er etableret på flere medlemsstaters område, især i form af datterselskaber, […] navnlig for at undgå omgåelse, [skal] sikre sig, at hver enkelt struktur opfylder kravene i den gældende nationale lovgivning«.

99.      Ud fra artikel 4, stk. 1, litra a), i direktiv 95/46, hvis andet punktum – i tråd med 19. betragtning til direktivet – præciserer, at en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning, konkluderer jeg, at det forhold, at en koncern er kendetegnet ved tilstedeværelse af registeransvarlige i flere medlemsstater, ikke må føre til, at koncernen kan omgå lovgivningen i den medlemsstat, hvori koncernens enkelte virksomheder eller organer er beliggende.

100. Det skal tilføjes, at en fortolkning i retning af udelukkende at anvende retten i den medlemsstat, hvori en international koncerns hjemsted i Europa er beliggende, efter min mening heller ikke kan forsvares efter dom af 28. juli 2016 i sagen Verein für Konsumenteninformation (59). I den nævnte dom fastslog Domstolen, at behandling af personoplysninger, der foretages af en virksomhed, der driver elektronisk handel, reguleres af loven i den medlemsstat, som denne virksomheds aktiviteter tager sigte på, hvis det viser sig, at denne virksomhed foretager behandling af de pågældende oplysninger som led i aktiviteterne for en virksomhed, der er beliggende i denne medlemsstat. Domstolen traf denne afgørelse til trods for, at Amazon, ligesom Facebook, er en virksomhed, der ikke blot har europæisk hjemsted i én medlemsstat, men også er fysisk til stede i flere EU-medlemsstater. Under disse omstændigheder bør det også undersøges, om behandlingen af personoplysninger finder sted som led i aktiviteterne for en virksomhed eller et organ i en anden medlemsstat end den, hvori den registeransvarliges europæiske hjemsted er beliggende.

101. Som den belgiske regering har påpeget, er det således meget vel muligt, at en anden virksomhed eller et andet organ end det europæiske hovedsæde er relevant for anvendelsen af artikel 4, stk. 1, litra a), i direktiv 95/46.

102. Som led i det system, der er indført med direktivet, er hverken det sted, hvor behandlingen foregår, eller det sted, hvor den registeransvarlige har etableret sit hjemsted i EU – hvis den registeransvarlige er etableret flere steder i EU – således afgørende i forbindelse med bestemmelsen af, hvilken national ret der finder anvendelse på behandlingen af personoplysninger og en tilsynsmyndigheds beføjelser til at gribe ind.

103. I denne henseende bør Domstolen efter min mening ikke foregribe den ordning, der indføres med den generelle forordning om databeskyttelse (60), som finder anvendelse fra den 25. maj 2018. Som led i denne ordning indføres der en one-stop-shop-mekanisme. Det betyder, at en registeransvarlig, der foretager grænseoverskridende behandlinger af personoplysninger, såsom Facebook, kun får én enkelt tilsynsmyndighed som kontakt, nemlig den ledende tilsynsmyndighed, som er tilsynsmyndigheden på det sted, hvor den registeransvarliges hovedvirksomhed er beliggende. Denne ordning og den sofistikerede samarbejdsmekanisme, der indføres hermed, finder dog endnu ikke anvendelse.

104. Eftersom Facebook har valgt at have sit europæiske hovedkontor i Irland, vil denne medlemsstats tilsynsmyndighed komme til at spille en vigtig rolle i at kontrollere, at Facebook overholder bestemmelserne i direktiv 95/46. Som denne tilsynsmyndighed selv erkender, betyder det imidlertid ikke, at den som led i det aktuelle system i medfør af direktivet har enekompetence med hensyn til Facebooks aktiviteter i EU (61).

105. Samtlige disse overvejelser får mig til – ligesom den belgiske regering, den nederlandske regering og ULD – at konkludere, at Domstolens fortolkning af artikel 4, stk. 1, litra a), i direktiv 95/46 i dom af 13. maj 2014 i sagen Google Spain og Google (62) også finder anvendelse i en situation som den i hovedsagen omhandlede, hvor en registeransvarlig er etableret i en EU-medlemsstat og har flere virksomheder eller organer i EU.

106. Dermed kan det, ud fra den forelæggende rets oplysninger om arten af Facebook Germanys aktiviteter, konstateres, at den omtvistede behandling af personoplysninger sker som led i denne virksomheds aktiviteter, og at artikel 4, stk. 1, litra a), i direktiv 95/46 i en situation som den i hovedsagen omhandlede giver mulighed for anvendelse af den tyske lovgivning om beskyttelse af personoplysninger (63).

107. Den tyske tilsynsmyndighed har således kompetence til at anvende sin nationale lovgivning på den i hovedsagen omhandlede behandling af personoplysninger.

108. Det følger af artikel 28, stk. 1, i dette direktiv, at hver medlemsstats udpegede tilsynsmyndighed på medlemsstatens område påser overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af direktivet.

109. I henhold til artikel 28, stk. 3, i direktiv 95/46 har disse myndigheder navnlig undersøgelsesbeføjelser, såsom beføjelser til at indsamle alle oplysninger, der er nødvendige for at varetage deres tilsynsopgaver, og beføjelser til at gribe effektivt ind, såsom beføjelser til at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige. Disse beføjelser til at gribe ind kan omfatte beføjelsen til at sanktionere den registeransvarlige ved i givet fald at pålægge denne en bøde (64).

110. Artikel 28, stk. 6, i direktiv 95/46 har følgende ordlyd:

»Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.

Tilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle nyttige oplysninger.«

111. Eftersom medlemsstatens lovgivning finder anvendelse på den i hovedsagen omhandlede behandling af personoplysninger, kan den tyske tilsynsmyndighed udøve alle sine beføjelser til at gribe ind for at sikre, at Facebook anvender og overholder den tyske lovgivning på det tyske område. Denne konklusion følger af dommen af 1. oktober 2015 i Weltimmo-sagen (65), hvori rækkevidden af artikel 28, stk. 1, 3 og 6, i direktiv 95/46 præciseres.

112. Det væsentligste spørgsmål i denne sag vedrørte den ungarske tilsynsmyndigheds kompetence til at pålægge en tjenesteudbyder, som var etableret i en anden medlemsstat, nemlig Slovakiet, en bøde. Der skulle tages stilling til denne kompetence med udgangspunkt i en forudgående undersøgelse af, hvorvidt den ungarske lovgivning, i henhold til kriterierne i artikel 4, stk. 1, litra a), i direktiv 95/46, fandt anvendelse eller ej.

113. I den første del af sit svar gav Domstolen den forelæggende ret en række oplysninger, som skulle gøre det muligt for sidstnævnte at fastslå, om den registeransvarlige var etableret i Ungarn. Domstolen bemærkede desuden, at behandlingen var sket som led i denne virksomheds aktiviteter, og at artikel 4, stk. 1, litra a), i direktiv 95/46, i en situation som den i den pågældende sag omhandlede gav mulighed for anvendelse af den ungarske lovgivning om beskyttelse af personoplysninger.

114. Den første del af Domstolens svar bekræftede således den ungarske tilsynsmyndigheds kompetence til, i henhold til ungarsk lovgivning, at pålægge en tjenesteudbyder, som var etableret i en anden medlemsstat, her Weltimmo, en bøde.

115. Med andre ord havde den ungarske tilsynsmyndighed fra det tidspunkt, hvor ungarsk ret i henhold til kriterierne i artikel 4, stk. 1, litra a), i direktiv 95/46 kunne anses for at være den gældende nationale ret, kompetence til at sikre overholdelse af denne lovgivning i tilfælde af en registeransvarligs overtrædelse heraf, selv om den registeransvarlige var registreret i Slovakiet. I henhold til denne bestemmelse i direktiv 95/46 kunne Weltimmo, selv om selskabet havde hjemsted i Slovakiet, antages også at være etableret i Ungarn. Tilstedeværelsen i Ungarn af den registeransvarliges virksomhed eller organ, som udøvede aktiviteter, som led i hvilke behandlingen foregik, udgjorde således det nødvendige udgangspunkt for anerkendelsen af den ungarske rets anvendelighed og dermed den ungarske tilsynsmyndigheds kompetence til at sikre overholdelsen af denne lovgivning på det ungarske område.

116. Den anden del af Domstolens svar, hvori Domstolen fremhæver princippet om territorial anvendelse af hver tilsynsmyndigheds beføjelser, blev blot udtalt subsidiært, dvs. »for det tilfælde, at den ungarske tilsynsmyndighed skulle være af den opfattelse, at Weltimmo er etableret ikke i Ungarn, men i en anden medlemsstat, i den forstand, hvori udtrykket anvendes i artikel 4, stk. 1, litra a), i direktiv 95/46, og udøver aktiviteter, som led i hvilke der foretages en behandling af de berørte personoplysninger« (66). Det handlede således om at besvare spørgsmålet om, hvorvidt »artikel 28, stk. 1, 3 og 6, [i direktiv 95/46] i et tilfælde, hvor den ungarske tilsynsmyndighed når frem til en konklusion om, at den ret, der finder anvendelse på behandlingen af personoplysninger, ikke er ungarsk ret, men en anden medlemsstats ret, skal fortolkes således, at denne tilsynsmyndighed alene kan udøve de beføjelser, der er fastsat i direktivets artikel 28, stk. 3, i overensstemmelse med denne anden medlemsstats ret, og ikke kan pålægge sanktioner« (67).

117. I denne anden del af svaret præciserede Domstolen dermed både den materielle og den territoriale rækkevidde af de beføjelser, som en tilsynsmyndighed kan udøve i en given situation, nemlig når lovgivningen i den medlemsstat, hvor tilsynsmyndigheden er beliggende, ikke er den gældende ret.

118. I et sådant tilfælde fandt Domstolen, at »denne myndigheds beføjelser imidlertid ikke nødvendigvis [omfatter] alle dem, den er blevet tillagt i henhold til retten i den medlemsstat, som den henhører under« (68). »Denne myndighed [kan] således udøve sin beføjelse til at iværksætte undersøgelser uafhængigt af, hvilken ret der finder anvendelse, og inden det er afklaret, hvilken ret der finder anvendelse på den omhandlede behandling. Såfremt tilsynsmyndigheden når til den konklusion, at en anden medlemsstats ret finder anvendelse, kan den imidlertid ikke pålægge sanktioner uden for området for den medlemsstat, som den henhører under. I en sådan situation tilkommer det tilsynsmyndigheden, idet den udøver den forpligtelse til samarbejde, der er fastsat i artikel 28, stk. 6, [i direktiv 95/46], at anmode tilsynsmyndigheden i den anden medlemsstat om at fastslå en eventuel overtrædelse af denne ret og pålægge sanktioner, hvis der deri er hjemmel til det, i givet fald med støtte i de oplysninger, som den førstnævnte tilsynsmyndighed har overført til tilsynsmyndigheden i den anden medlemsstat« (69).

119. Dommen af 1. oktober 2015 i Weltimmo-sagen (70), giver følgende oplysninger af relevans for den foreliggende sag.

120. Til forskel for den hypotese, der lå til grund for Domstolens argumentation vedrørende tilsynsmyndighedernes beføjelser i anden del af dommen af 1. oktober 2015 i Weltimmo-sagen (71), er der i den foreliggende sag tale om en situation, der svarer til situationen i den første del af dommen, hvori den gældende nationale ret, som allerede angivet, er lovgivningen i den medlemsstat, hvis tilsynsmyndighed udøver sine beføjelser til at gribe ind som følge af tilstedeværelsen på den pågældende medlemsstats område af en af den registeransvarliges virksomheder, hvis aktiviteter er uløseligt forbundet med behandlingen. Denne virksomheds tilstedeværelse i Tyskland udgør det nødvendige udgangspunkt for anvendelsen af den tyske lovgivning på den omtvistede behandling af personoplysninger.

121. Når denne forudgående betingelse er opfyldt, skal den tyske tilsynsmyndighed anses for at være kompetent til at sikre overholdelse på det tyske område af reglerne om beskyttelse af personoplysninger med alle de beføjelser, som den pågældende myndighed råder over i henhold til de tyske bestemmelser til gennemførelse af artikel 28, stk. 3, i direktiv 95/46. Disse beføjelser kan omfatte et påbud i form af et midlertidigt eller endeligt forbud mod en behandling.

122. For så vidt angår spørgsmålet om, hvilken enhed en sådan foranstaltning kan rettes til, er der to løsninger.

123. Den første løsning består i en restriktiv fortolkning af det territoriale anvendelsesområde for de beføjelser, som tilsynsmyndighederne har til at gribe ind, hvorefter disse udelukkende kan udøve disse beføjelser over for den registeransvarliges virksomhed i den medlemsstat, hvor tilsynsmyndigheden er beliggende. Hvis denne virksomhed, her Facebook Germany, som det er tilfældet i den foreliggende sag, ikke er ansvarlig for behandlingen og dermed ikke selv kan efterkomme et påbud fra tilsynsmyndigheden om at bringe databehandlingen til ophør, skal virksomheden overdrage påbuddet til den registeransvarlige med henblik på dennes udførelse heraf.

124. Den anden løsning består til gengæld i, at det lægges til grund, at det, fordi den registeransvarlige er den eneste, der har afgørende indflydelse på den omhandlede behandling, er den registeransvarlige, som et påbud om at bringe behandlingen til ophør skal rettes til.

125. Efter min mening bør den anden løsning foretrækkes, eftersom den stemmer overens med den afgørende rolle, som den registeransvarlige spiller i det system, der blev indført med direktiv 95/46 (72). En sådan løsning garanterer, ved at fjerne den obligatoriske henvendelse til mellemleddet i form af den virksomhed eller det organ, der udøver de aktiviteter, som led i hvilke behandlingen sker, en umiddelbar og effektiv anvendelse af de nationale regler om beskyttelse af personoplysninger. Den tilsynsmyndighed, der direkte til en registeransvarlig, som ikke er etableret på dens medlemsstats område, såsom Facebook Inc. eller Facebook Ireland, retter et påbud om at bringe en databehandling til ophør, handler i øvrigt inden for sine beføjelser, som består i at sikre, at behandlingen sker i overensstemmelse med medlemsstatens lovgivning på medlemsstatens område. Det er i denne henseende ikke vigtigt, om den eller de registeransvarlige er etableret i en anden medlemsstat eller i et tredjeland.

126. Jeg vil ligeledes understrege, at i tråd med mit forslag til besvarelse af det første og det andet præjudicielle spørgsmål, som – henset til formålet om at sikre en så omfattende beskyttelse som muligt af de rettigheder som personer, der besøger fansider, er tillagt – udelukker den mulighed, som ULD har for at udøve sin beføjelse til at gribe ind over for Facebook Inc. og Facebook Ireland, efter min mening på ingen måde, at der kan træffes foranstaltninger over for Wirtschaftsakademie, og er således som sådan uden betydning for lovligheden af disse foranstaltninger (73).

127. Det følger af det ovenstående, at artikel 4, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at en behandling af personoplysninger som den i hovedsagen omtvistede foretages som led i aktiviteter, der inden for en medlemsstats område udføres af en registeransvarligs virksomhed eller organ som omhandlet i bestemmelsen, når en virksomhed, som driver et socialt netværk, i den pågældende medlemsstat stifter et datterselskab, som skal reklamere for og sælge reklameplads udbudt af denne virksomhed, og hvis aktiviteter er rettet mod indbyggerne i den pågældende medlemsstat.

128. I en situation som den i hovedsagen omhandlede, hvor den gældende nationale ret i forhold til den omhandlede behandling af personoplysninger er lovgivningen i den medlemsstat, hvor tilsynsmyndigheden er beliggende, skal artikel 28, stk. 1, 3 og 6, i direktiv 95/46 fortolkes således, at tilsynsmyndigheden må udøve samtlige effektive beføjelser til at gribe ind, som denne råder over i henhold til direktivets artikel 28, stk. 3, over for denne ansvarlige, også når den registeransvarlige er etableret i en anden medlemsstat eller et tredjeland.

C.      Det femte og det sjette præjudicielle spørgsmål

129. Med det femte og det sjette præjudicielle spørgsmål, der efter min mening bør besvares samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 28, stk. 1, 3 og 6, i direktiv 95/46 skal fortolkes således, at tilsynsmyndigheden i den medlemsstat, hvori den registeransvarliges virksomhed eller organ (Facebook Germany) er etableret, under omstændigheder som de i hovedsagen omhandlede har kompetence til at udøve sine beføjelser til selvstændigt at gribe ind over for den registeransvarlige og uden at skulle anmode tilsynsmyndigheden i den medlemsstat, hvor den registeransvarlige (Facebook Ireland) er hjemmehørende, om at udøve sine beføjelser.

130. I sin anmodning om præjudiciel afgørelse har Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager) redegjort for forbindelsen mellem disse to præjudicielle spørgsmål og vurderingen af lovligheden af påbuddet, som den forelæggende ret skal tage stilling til som led i tvisten i hovedsagen. Den forelæggende ret har således nærmere bestemt anført, at udstedelse af et påbud rettet til Wirtschaftsakademie kan bygge på et urigtigt skøn fra ULD’s side, hvis artikel 28, stk. 6, i direktiv 95/46 skal fortolkes således, at bestemmelsen, under omstændigheder som de i hovedsagen omhandlede, fastsætter en forpligtelse for en tilsynsmyndighed som ULD til at anmode tilsynsmyndigheden i en anden medlemsstat, her Data Protection Commissioner, om at udøve sine beføjelser i tilfælde af, at de to tilsynsmyndigheder anlægger forskellige vurderinger af, hvorvidt Facebook Irelands behandling af personoplysninger er i overensstemmelse med bestemmelserne i direktiv 95/46.

131. Som Domstolen fastslog i dommen af 1. oktober 2015 i Weltimmo-sagen (74), skal artikel 28, stk. 1, 3 og 6, i direktiv 95/46 i en situation, hvor den lovgivning, der finder anvendelse på den omhandlede behandling af personoplysninger, ikke er lovgivningen i den medlemsstat, hvor den tilsynsmyndighed, der ønsker at udøve sine beføjelser til at gribe ind, er beliggende, men en anden medlemsstat, fortolkes således, at den pågældende tilsynsmyndighed ikke må rette sanktioner i medfør af lovgivningen i denne medlemsstat til en registeransvarlig, der ikke er etableret på tilsynsmyndighedens medlemsstats område, men i henhold til artikel 28, stk. 6, i samme direktiv skal anmode tilsynsmyndigheden i den medlemsstat, hvis lovgivning der gælder, om at gribe ind (75).

132. I en sådan situation mister den første medlemsstats tilsynsmyndighed sin kompetence til at udøve sine sanktionsbeføjelser over for en registeransvarlig, der er etableret i en anden medlemsstat. Tilsynsmyndigheden skal, idet den udøver den forpligtelse til samarbejde, der er fastsat i artikel 28, stk. 6, i direktiv 95/46, anmode tilsynsmyndigheden i den anden medlemsstat om at fastslå en eventuel overtrædelse af denne ret og pålægge sanktioner, hvis der er hjemmel til det i denne ret, i givet fald med støtte i de oplysninger, som den førstnævnte tilsynsmyndighed har overført til tilsynsmyndigheden i den anden medlemsstat (76).

133. Som allerede bemærket er situationen i den foreliggende sag en helt anden, eftersom den gældende ret er lovgivningen i den medlemsstat, hvor den tilsynsmyndighed, der ønsker at udøve sine beføjelser til at gribe ind, er beliggende. I denne situation skal artikel 28, stk. 6, i direktiv 95/46 fortolkes således, at bestemmelsen ikke forpligter denne tilsynsmyndighed til at anmode tilsynsmyndigheden i den medlemsstat, hvori den registeransvarlige er etableret, om at udøve sine beføjelser til at gribe ind over for sidstnævnte.

134. Det skal i overensstemmelse med bestemmelserne i artikel 28, stk. 1, andet punktum, i direktiv 95/46 tilføjes, at den tilsynsmyndighed, der er kompetent til at udøve sine beføjelser til at gribe ind over for en registeransvarlig i en anden medlemsstat end den, hvor tilsynsmyndigheden er beliggende, varetager de opgaver, den er pålagt, i fuld uafhængighed.

135. Som det fremgår af det ovenstående, fastsætter direktiv 95/46 hverken et oprindelseslandsprincip eller en one-stop-shop-mekanisme som den, der er fastsat i forordning 2016/679. En registeransvarlig, der har virksomheder eller organer i flere medlemsstater, er således fuldt ud underkastet flere tilsynsmyndigheders kontrol, når de pågældende tilsynsmyndigheders medlemsstaters lovgivning finder anvendelse. Det er naturligvis ønskeligt, at disse tilsynsmyndigheder samarbejder, men intet forpligter en tilsynsmyndighed, hvis kompetence er anerkendt, til at tilpasse sin holdning efter en anden tilsynsmyndigheds holdning.

136. På grundlag af det ovenstående konkluderer jeg, at artikel 28, stk. 1, 3 og 6, i direktiv 95/46 skal fortolkes således, at tilsynsmyndigheden i den medlemsstat, hvor den registeransvarliges virksomhed eller organ er etableret, under omstændigheder som de i hovedsagen omhandlede har kompetence til at udøve sine beføjelser til at gribe ind over for denne ansvarlige selvstændigt og uden at skulle anmode tilsynsmyndigheden i det land, hvor den registeransvarlige har hjemsted, om at udøve sine beføjelser.

III. Forslag til afgørelse

137. I lyset af det ovenstående foreslår jeg, at Domstolen besvarer de af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) forelagte præjudicielle spørgsmål som følger:

»1)      Artikel 2, litra d), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003, skal fortolkes således, at en administrator af en fanside på et socialt netværk som Facebook skal anses for at være registeransvarlig som omhandlet i denne bestemmelse for så vidt angår den fase i behandlingen af personoplysninger, der består i det sociale netværks indsamling af data om personer, der besøger siden, med henblik på udarbejdelse af statistikker om brugerne af denne side.

2)      Artikel 4, stk. 1, litra a), i direktiv 95/46, som ændret ved forordning nr. 1882/2003, skal fortolkes således, at behandling af personoplysninger som den i hovedsagen omhandlede foretages som led i aktiviteter, der inden for en medlemsstats område udføres af en registeransvarligs virksomhed eller organ som omhandlet i denne bestemmelse, når en virksomhed, som driver et socialt netværk, i den pågældende medlemsstat stifter et datterselskab, som skal reklamere for og sælge reklameplads udbudt af denne virksomhed, og hvis aktiviteter er rettet mod indbyggerne i den pågældende medlemsstat.

3)      I en situation som den i hovedsagen omhandlede, hvor den gældende nationale ret i forhold til den omhandlede behandling af personoplysninger er lovgivningen i den medlemsstat, hvor tilsynsmyndigheden er beliggende, skal artikel 28, stk. 1, 3 og 6, i direktiv 95/46, som ændret ved forordning nr. 1882/2003, fortolkes således, at denne tilsynsmyndighed må udøve samtlige effektive beføjelser til at gribe ind, som den råder over i overensstemmelse med dette direktivs artikel 28, stk. 3, over for den registeransvarlige, herunder når den registeransvarlige er etableret i en anden medlemsstat eller et tredjeland.

4)      Artikel 28, stk. 1, 3 og 6, i direktiv 95/46, som ændret ved forordning nr. 1882/2003, skal fortolkes således, at tilsynsmyndigheden i den medlemsstat, hvor den registeransvarliges virksomhed eller organ er etableret, under omstændigheder som de i hovedsagen omhandlede har kompetence til at udøve sine beføjelser til selvstændigt at gribe ind over for denne ansvarlige, uden at skulle anmode tilsynsmyndigheden i den medlemsstat, hvor den registeransvarlige har hjemsted, om at udøve sine beføjelser.«

---

1 –      Originalsprog: fransk.

---

2 –      EFT 1995, L 281, s. 31.

---

3 –      EUT 2003, L 284, s. 1 (herefter »direktiv 95/46«).

---

4 –      Herefter »Artikel 29-gruppen«.

---

5 –      Herefter »udtalelse nr. 2/2010«.

---

6 –      Udtalelse nr. 2/2010, s. 5.

---

7 –      Udtalelse nr. 2/2010, s. 7. Ifølge Artikel 29-gruppens forklaringer i udtalelsen »fungerer [det] typisk på følgende måde: Reklameudbyderen gemmer en sporingscookie på den registreredes terminaludstyr, første gang han/hun besøger et websted, som viser en annonce fra det pågældende reklamenet. Cookien er en kort alfanumerisk tekst, der lagres (og senere hentes) på den registreredes terminaludstyr af en reklameudbyder. I forbindelse med adfærdsbaseret annoncering vil cookien sætte reklameudbyderen i stand til at genkende en tidligere besøgende, der vender tilbage til det pågældende websted eller besøger et partnerwebsted for reklamenettet. Ved hjælp af sådanne gentagne besøg kan reklameudbyderen opbygge en profil over den besøgende, som kan bruges til at levere personligt tilpassede annoncer.«

---

8 –      Udtalelse nr. 1/2010 fra Artikel 29-gruppen af 16.2.2010 vedrørende begrebet »en registeransvarlig« og »en registerfører«, s. 25.

---

9 –      Agencia española de protección de datos (det spanske agentur for beskyttelse af personoplysninger) meddelte således den 11.9.2017, at agenturet havde pålagt Facebook Inc. en bøde på 1,2 mio. EUR. Tidligere har Commission Nationale de l’Informatique et des Libertés (CNIL, Frankrig) ved afgørelse af 27.4.2017 besluttet at pålægge selskaberne Facebook Inc. og Facebook Ireland, som hæfter solidarisk, en bøde på 150 000 EUR.

---

10 –      BDGS’s § 38, stk. 5, har følgende ordlyd:

---

      »Med henblik på overholdelse af nærværende lov og andre bestemmelser om databeskyttelse kan tilsynsmyndigheden iværksætte foranstaltninger til at afhjælpe overtrædelser konstateret i forbindelse med indsamling, behandling eller brug af personoplysninger eller tekniske eller organisatoriske overtrædelser. I tilfælde af alvorlige overtrædelser, navnlig når disse udgør en specifik risiko for retten til privatlivets fred, kan tilsynsmyndigheden forbyde indsamling, behandling eller brug, eller endda indlede visse procedurer, når overtrædelserne ikke afhjælpes rettidigt i strid med det i første punktum nævnte påbud og trods anvendelsen af en bødestraf. Tilsynsmyndigheden kan henvise sagen til databeskyttelsesagenturet, hvis den ikke har den fornødne ekspertise til at udføre disse opgaver.«

---

11 –      Artikel 12 i lov om elektroniske medier har følgende ordlyd:

---

      »1)      Tjenesteudbyderen må udelukkende indsamle og udnytte personoplysninger med henblik på tilrådighedsstillelse for elektroniske medier, hvis nærværende lov eller andre retlige bestemmelser, der specifikt omhandler elektroniske medier, giver tilladelse hertil, eller hvis brugeren har givet samtykke hertil.

---

      […]

---

      3)      Medmindre andet er fastsat, finder den gældende lovgivning om personoplysninger anvendelse, selv om de pågældende data ikke behandles elektronisk.«

---

12 –      Denne bestemmelse omhandler behandling af personoplysninger ved en registerfører.

---

13 –      I medfør af denne bestemmelse »forstås ved ansvarligt organ enhver person eller ethvert organ, der selv eller via tredjepart som registerfører indsamler, behandler eller bruger personoplysninger«.

---

14 –      C-131/12, EU:C:2014:317.

---

15 –      Den nævnte doms præmis 60.

---

16 –      Ifølge Artikel 29-gruppen-definitionerne i udtalelse nr. 1/2010 defineres »formål« som »et forventet resultat, der er tilsigtet, eller som er styrende for planlagte handlinger«, og »hjælpemidler« som »hvordan et resultat opnås, eller et mål nås« (s. 13).

---

17 –      I henhold til artikel 6, stk. 2, i samme direktiv påhviler det således f.eks. den registeransvarlige at sikre, at principperne om datakvalitet i artikel 6, stk. 1, i direktivet overholdes. I henhold til artikel 10 og 11 i direktiv 95/46 har den registeransvarlige oplysningspligt over for personer, som er genstand for en behandling af personoplysninger. I henhold til artikel 12 i samme direktiv udøves den registreredes ret til indsigt over for den registeransvarlige. Det samme gælder indsigelsesretten i henhold til direktivets artikel 14. I henhold til artikel 23, stk. 1, i direktiv 95/46 skal medlemsstaterne fastsætte bestemmelser om, at »enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige«. Endelig udøves tilsynsmyndighedernes reelle beføjelser til at gribe ind, som fastsat i direktivets artikel 28, stk. 3, over for den registeransvarlige.

---

18 –      C-131/12, EU:C:2014:317.

---

19 –      Jf. i denne retning dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 38 og 83).

---

20 –      Jf. navnlig dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 34).

---

21 –      Udtalelse nr. 1/2010, s. 10.

---

22 –      Facebook Ireland forklarer således, at Facebook løbende indfører funktioner, der udelukkende er til rådighed for registrerede i EU, og som er tilpasset til disse personer. I andre tilfælde vælger Facebook Ireland at undlade at udbyde produkter, som udbydes i USA af Facebook Inc.

---

23 –      Dom af 6.10.2015, Schrems (C-362/14, EU:C:2015:650, præmis 27).

---

24 –      Jf. anmodningen om præjudiciel afgørelse, præmis 39.

---

25 –      Det vigtige i den foreliggende sag er ikke, hvem der træffer afgørelse om formålet med og hjælpemidlerne til behandlingen efter overførslen til Facebook af personoplysninger om brugere af en fanside. Der skal i stedet fokuseres på den her omhandlede del af behandlingen, nemlig indsamlingen af personoplysninger om brugere af en fanside, uden at de pågældende er blevet underrettet herom, og uden at der er indhentet behørigt samtykke fra disse.

---

26 –      Det fremgår af Facebooks betingelser for anvendelsen af fansiden, at statistikker om brugerne af en fanside giver en administrator oplysninger om fansidens målgruppe for at kunne oprette indhold, der er mere relevant for målgruppen. Statistikker om brugerne giver administratoren af en fanside demografiske oplysninger om målgruppen, bl.a. tendenser for så vidt angår alder, køn, forholdsstatus og arbejde, oplysninger om livsstil og interesseområder og oplysninger om målgruppens køb, bl.a. købsadfærd online, kategorier af varer eller tjenesteydelser, der interesserer målgruppen mest, og demografiske oplysninger, som gør det muligt for sidens administrator at foretage specifikke salgsfremstød eller arrangere begivenheder.

---

27 –      Jf. i denne retning udtalelse nr. 1/2010, s. 28.

---

28 –      Ibidem, s. 28: »[M]isforholdet mellem en lille registeransvarligs kontraktlige beføjelser og store tjenesteudbydere [skal] ikke anses for at berettige den registeransvarlige til at acceptere vilkår og betingelser i kontrakter, som ikke er i overensstemmelse med databeskyttelseslovgivningen.«

---

29 –      C-131/12, EU:C:2014:317.

---

30 –      Dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 38 og i denne retning præmis 83).

---

31 –      Dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 40).

---

32 –      Jf. forelæggelsesafgørelsen, punkt 35.

---

33 –      Verserende sag for Domstolen.

---

34 –      Som den schweiziske databeskyttelsesmyndighed påpeger: »Selv om registreringen og den egentlige analyse af dataene i de fleste tilfælde foretages i fortrolighed af udbyderen af webtracking-tjenesten, er operatøren af webstedet nøjagtigt lige så ansvarlig. Operatøren integrerer tjenesteudbyderens webtracking-kode på sit websted og giver dermed uden internetbrugerens vidende anledning til overførsel af data, installation af cookies og indsamling af data til fordel for udbyderen af webtracking-tjenesterne«: jf. »Explications concernant le webtracking« fra Préposé fédéral à la protection des données et à la transparence (PFPDT – den føderale ansvarlige for databeskyttelse og gennemsigtighed) på: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr

---

35 –      Jf. i denne retning udtalelse nr. 1/2010, s. 24.

---

36 –      Udtalelse nr. 1/2010, s. 35.

---

37 –      Udtalelse nr. 1/2010, s. 20 og 21.

---

38 –      Jf. forelæggelsesafgørelsen, punkt 40.

---

39 –      Jf. navnlig dom af 31.1.2017, Lounani (C-573/14, EU:C:2017:71, præmis 56 og den deri nævnte retspraksis).

---

40 –      Herefter »udtalelse nr. 8/2010«.

---

41 –      S. 31 i denne udtalelse.

---

42 –      S. 32 i denne udtalelse.

---

43 –      Den struktur, som koncerner som Google og Facebook bruger for at udøve deres aktiviteter i hele verden, gør det vanskeligt at fastslå gældende national ret og identificere, hvilke virksomheder de krænkede personer og tilsynsmyndighederne kan anlægge sag imod. Jf. om disse spørgsmål D. Svantesson, »Enforcing Privacy Across Different Jurisdictions«, »Enforcing Privacy: Regulatory, Legal and Technological Approaches«, Springer, Berlin, 2016, s. 195-222, navnlig s. 216-218.

---

44 –      Jf. navnlig dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 25 og den deri nævnte retspraksis).

---

45 –      Jf. navnlig dom af 28.7.2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, præmis 75 og den deri nævnte retspraksis).

---

46 –      Jf. dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 29).

---

47 –      Jf. navnlig dom af 28.7.2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, præmis 77 og den deri nævnte retspraksis).

---

48 –      Jf. dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 29).

---

49 –      Jf. navnlig dom af 28.7.2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, præmis 78 og den deri nævnte retspraksis).

---

50 –      S. 33 i udtalelse nr. 8/2010. Jf. ligeledes i denne retning s. 15 i denne udtalelse.

---

51 –      C-131/12, EU:C:2014:317.

---

52 –      Den nævnte doms præmis 55.

---

53 –      Den nævnte doms præmis 56.

---

54 –      Jf. den nævnte doms præmis 57.

---

55 –      Jf. i denne retning udtalelse nr. 5/2009 af 12.6.2009 fra Artikel 29-gruppen, s. 5.

---

56 –      C-131/12, EU:C:2014:317.

---

57 –      Jf. bl.a. »Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain«, fra Artikel 29-gruppen af 16.12.2015, s. 6 og 7.

---

58 –      Jf. med hensyn til den potentielle anvendelse af flere nationale lovgivninger udtalelse nr. 8/2010 fra Artikel 29-gruppen om gældende ret: »Ordvalget »en« virksomhed eller »et« organ [medfører], at en medlemsstats ret skal anvendes, hvis den registeransvarlige har en virksomhed eller et organ i den pågældende medlemsstat, og andre medlemsstaters ret eventuelt skal anvendes, hvis den samme registeransvarlige har andre virksomheder eller organer i de pågældende medlemsstater« (s. 33).

---

59 –      C-191/15, EU:C:2016:612.

---

60 –      Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (EUT 2016, L 119, s. 1).

---

61 –      Jf. i denne henseende B. Hawkes, »The Irish DPA and its Approach to Data Protection«, »Enforcing Privacy: Regulatory, Legal and Technological Approaches«, Springer, Berlin, 2016, s. 441-454, navnlig på s. 450, fodnote 11. Forfatteren anfører således, at »[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase »the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State«. The DPC, in its audit report, stated that: »it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland« but that this »should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU««.

---

62 –      C-131/12, EU:C:2014:317.

---

63 –      Jf. tilsvarende Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, hvori de pågældende myndigheder udtaler sig således: »[…] the DPAs united in the Contact group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice […], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are »inextricably linked« to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC.«

---

64 –      Jf. dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 49).

---

65 –      C-230/14, EU:C:2015:639.

---

66 –      Jf. dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 42).

---

67 –      Jf. dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 43).

---

68 –      Jf. dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 55).

---

69 –      Jf. dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 57).

---

70 –      C-230/14, EU:C:2015:639.

---

71 –      C-230/14, EU:C:2015:639.

---

72 –      Jf. i denne henseende punkt 44 i dette forslag til afgørelse.

---

73 –      Jf. i denne henseende punkt 73-77 i dette forslag til afgørelse.

---

74 –      C-230/14, EU:C:2015:639.

---

75 –      Dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 60).

---

76 –      Dom af 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, præmis 57).