ARREST VAN HET HOF (Vierde kamer)
7 maart 2024 (*)
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Normerende sectororganisatie die haar leden een standaard voor de verwerking van de toestemming van gebruikers aanbiedt – Artikel 4, punt 1 – Begrip ,persoonsgegevens’ – Letter- en tekenreeks die de voorkeuren van een internetgebruiker met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens op een gestructureerde en machine-leesbare manier registreert – Artikel 4, punt 7 – Begrip ,verwerkingsverantwoordelijke’ – Artikel 26, lid 1 – Begrip ,gezamenlijke verwerkingsverantwoordelijken’ – Organisatie die zelf geen toegang heeft tot de persoonsgegevens die door haar leden worden verwerkt – Verantwoordelijkheid van de organisatie die zich uitstrekt tot latere gegevensverwerkingen door derden”
In zaak C‑604/22,
betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het hof van beroep Brussel (België) bij beslissing van 7 september 2022, ingekomen bij het Hof op 19 september 2022, in de procedure
IAB Europe
tegen
Gegevensbeschermingsautoriteit,
in tegenwoordigheid van:
Jef Ausloos,
Pierre Dewitte,
Johnny Ryan,
Fundacja Panoptykon,
Stichting Bits of Freedom,
Ligue des droits humains VZW,
wijst
HET HOF (Vierde kamer),
samengesteld als volgt: C. Lycourgos, kamerpresident, O. Spineanu-Matei, J.‑C. Bonichot, S. Rodin en L. S. Rossi (rapporteur), rechters,
advocaat-generaal: T. Ćapeta,
griffier: A. Lamote, administrateur,
gezien de stukken en na de terechtzitting op 21 september 2023,
gelet op de opmerkingen van:
– IAB Europe, vertegenwoordigd door P. Craddock en K. Van Quathem, advocaten,
– de Gegevensbeschermingsautoriteit, vertegenwoordigd door E. Cloots, J. Roets en T. Roes, advocaten,
– Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom en Ligue des Droits Humains VZW, vertegenwoordigd door F. Debusseré en R. Roex, advocaten,
– de Oostenrijkse regering, vertegenwoordigd door J. Schmoll en C. Gabauer als gemachtigden,
– de Europese Commissie, vertegenwoordigd door A. Bouchagiar en H. Kranenborg als gemachtigden,
gelet op de beslissing, de advocaat-generaal gehoord, om de zaak zonder conclusie te berechten,
het navolgende
Arrest
1 Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 4, punten 1 en 7, en artikel 24, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1; hierna: „AVG”), gelezen in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”).
2 Dit verzoek is ingediend in het kader van een geding tussen IAB Europe en de Gegevensbeschermingsautoriteit (België) (hierna: „GBA”) over een beslissing die de geschillenkamer van de GBA tegen IAB Europe heeft genomen wegens vermeende schending van meerdere bepalingen van de AVG.
Toepasselijke bepalingen
Unierecht
3 In de overwegingen 1, 10, 26 en 30 van de AVG staat te lezen:
„(1) De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het [Handvest] en artikel 16, lid 1, [VWEU] heeft eenieder recht op bescherming van zijn persoonsgegevens.
[...]
(10) Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de [Europese] Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. [...]
[...]
(26) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.
[...]
(30) Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.”
4 Artikel 1 AVG, met als opschrift „Onderwerp en doelstellingen”, bepaalt in lid 2:
„Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.”
5 Artikel 4 van die verordening bepaalt:
„Voor de toepassing van deze verordening wordt verstaan onder:
1) ,persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (,de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
[...]
7) ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
[...]
11) ‚toestemming’ van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
[...]”
6 Artikel 6 AVG, met als opschrift „Rechtmatigheid van de verwerking”, is als volgt verwoord:
„1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
[...]
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
[...]”
7 Artikel 24 van deze verordening, met als opschrift, „Verantwoordelijkheid van de verwerkingsverantwoordelijke”, bepaalt in lid 1:
„Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”
8 Artikel 26 van die verordening, met als opschrift „Gezamenlijke verwerkingsverantwoordelijken”, bepaalt in lid 1:
„Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. [...]”
9 Hoofdstuk VI van de AVG („Onafhankelijke toezichthoudende autoriteiten”) omvat de artikelen 51 tot en met 59.
10 Artikel 51 van deze verordening, met als opschrift „Toezichthoudende autoriteit”, bepaalt in de leden 1 en 2:
„1. Elke lidstaat bepaalt dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken [...].
2. Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze verordening in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de [Europese] Commissie samen overeenkomstig hoofdstuk VII.”
11 Artikel 55 AVG, met als opschrift „Competentie”, bepaalt in leden 1 en 2:
„1. Elke toezichthoudende autoriteit heeft de competentie op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend.
2. In het geval van verwerking door overheidsinstanties of door particuliere organen die handelen op grond van artikel 6, lid 1, onder c) of e), is de toezichthoudende autoriteit van de lidstaat in kwestie competent. In dergelijke gevallen is artikel 56 niet van toepassing.”
12 Artikel 56 AVG, met als opschrift „Competentie van de leidende toezichthoudende autoriteit”, bepaalt in lid 1:
„Onverminderd artikel 55 is de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60.”
13 Artikel 57 AVG, met als opschrift „Taken”, bepaalt in lid 1:
„Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:
a) zij monitort en handhaaft de toepassing van deze verordening;
[...]
g) zij werkt samen met andere toezichthoudende autoriteiten, onder meer door informatie te delen en wederzijdse bijstand te bieden, teneinde de samenhang in de toepassing en de handhaving van deze verordening te waarborgen;
[...]”
14 Hoofdstuk VII van de AVG („Samenwerking en coherentie”) bevat een afdeling 1, die als opschrift „Samenwerking” draagt en waarin de artikelen 60 tot en met 62 zijn opgenomen. Artikel 60 heeft betrekking op de „samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten” en bepaalt in lid 1 het volgende:
„De leidende toezichthoudende autoriteit werkt overeenkomstig dit artikel samen met de andere betrokken toezichthoudende autoriteiten teneinde tot een consensus proberen te komen. De leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten wisselen alle relevante informatie met elkaar uit.”
15 Artikel 61 AVG, met als opschrift „Wederzijdse bijstand”, bepaalt in lid 1:
„De toezichthoudende autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen, en nemen maatregelen om doeltreffend met elkaar samen te werken. De wederzijdse bijstand bestrijkt met name informatieverzoeken en toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemming en raadplegingen, inspecties en onderzoeken.”
16 Artikel 62 van deze verordening, met als opschrift „Gezamenlijke werkzaamheden van toezichthoudende autoriteiten”, bepaalt in de leden 1 en 2:
„1. In voorkomend geval voeren de toezichthoudende autoriteiten gezamenlijke werkzaamheden uit, waaronder gezamenlijke onderzoeken en gezamenlijke handhavingsmaatregelen, waarbij leden of personeelsleden van de toezichthoudende autoriteiten van andere lidstaten worden betrokken.
2. Indien de verwerkingsverantwoordelijke of de verwerker vestigingen heeft in meerdere lidstaten, of indien een significant aantal betrokkenen in meer dan één lidstaat waarschijnlijk wezenlijke gevolgen ondervindt van de verwerkingsactiviteiten, heeft van elk van die lidstaten één toezichthoudende autoriteit het recht om aan de gezamenlijke werkzaamheden deel te nemen. [...]”
17 Afdeling 2 („Coherentie”) van hoofdstuk VII van de AVG omvat de artikelen 63 tot en met 67. Artikel 63, met als opschrift „Coherentiemechanisme”, luidt:
„Teneinde bij te dragen aan de consequente toepassing van deze verordening in de gehele Unie werken de toezichthoudende autoriteiten met elkaar en waar passend samen met de Commissie in het kader van het in deze afdeling uiteengezette coherentiemechanisme.”
Belgisch recht
18 De wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (Belgisch Staatsblad van 10 januari 2018, blz. 989; hierna: „WOG”), bepaalt in artikel 100, § 1, 9°:
„De geschillenkamer heeft de bevoegdheid om:
[...]
9° te bevelen dat de verwerking in overeenstemming wordt gebracht”.
19 Artikel 101 WOG bepaalt:
„De geschillenkamer kan beslissen om een administratieve boete op te leggen aan de vervolgde partijen volgens de algemene voorwaarden bepaald in artikel 83 [AVG].”
Hoofdgeding en prejudiciële vragen
20 IAB Europe is een in België gevestigde vereniging zonder winstoogmerk die ondernemingen in de sector van digitale reclame en marketing vertegenwoordigt op Europees niveau. De leden van IAB Europe zijn zowel ondernemingen in deze sector – zoals uitgeverijen, e-commerce- en marketingbedrijven en tussenpersonen – als nationale verenigingen, waaronder de nationale IAB’s (Interactive Advertising Bureaus), waarbij ook weer ondernemingen in die sector zijn aangesloten. IAB Europe telt onder haar leden onder meer ondernemingen die aanzienlijke inkomsten hebben uit de verkoop van advertentieruimte op internetsites of applicaties.
21 IAB Europe heeft het Transparency & Consent Framework (raamwerk voor transparantie en toestemming) (hierna: „TCF”) ontwikkeld, een standaard die bestaat uit richtsnoeren, instructies, technische specificaties, protocollen en contractuele verplichtingen die zowel aanbieders van een internetsite of applicatie als gegevensmakelaars of reclameplatformen in staat stellen om rechtmatig persoonsgegevens van gebruikers van een internetsite of applicatie te verwerken.
22 Het TCF heeft met name tot doel de naleving van de AVG te bevorderen wanneer die ondernemingen gebruikmaken van het zogenoemde OpenRTB-protocol, een van de meest gehanteerde protocollen voor Real Time Bidding, dat wil zeggen een systeem voor de ogenblikkelijke geautomatiseerde online veiling van gebruikersprofielen voor het verkopen en aankopen van advertentieruimte op het internet (hierna: „RTB”). In het licht van bepaalde praktijken die leden van IAB Europe er in het kader van dit systeem voor de massale uitwisseling van persoonsgegevens met betrekking tot gebruikersprofielen op na houden, heeft IAB Europe het TCF voorgesteld als een mogelijke oplossing om dat veilingsysteem in overeenstemming te brengen met de AVG.
23 Met name kunnen advertentietechnologiebedrijven– waaronder gegevensmakelaars en reclameplatformen, die duizenden adverteerders vertegenwoordigen – blijkens het aan het Hof overgelegde dossier, vanuit technisch oogpunt, wanneer een gebruiker een website of een applicatie bezoekt die advertentieruimte bevat, ogenblikkelijk achter de schermen op die advertentieruimte bieden via een geautomatiseerd veilingsysteem dat algoritmes gebruikt, teneinde op die advertentieruimte gerichte reclame te laten zien die specifiek is afgestemd op het profiel van die gebruiker.
24 Om dergelijke gerichte reclame te laten zien, moet echter eerst de toestemming van die gebruiker worden verkregen. Wanneer de betrokken gebruiker voor het eerst een bepaalde website of applicatie bezoekt, zal dan ook in een pop-upvenster een toestemmingsbeheerplatform – een zogenoemd Consent Management Platform (hierna: „CMP”) – verschijnen dat hem in staat stelt om de aanbieder van de internetsite of applicatie toestemming te verlenen voor het verzamelen en verwerken van zijn persoonsgegevens voor vooraf vastgestelde doeleinden – zoals met name marketing of reclame – of voor het delen van die gegevens met bepaalde aanbieders, alsmede om bezwaar te maken tegen verschillende soorten van verwerking van die gegevens of tegen het delen ervan op grond van de door aanbieders ingeroepen gerechtvaardigde belangen in de zin van artikel 6, lid 1, onder f), AVG. Deze persoonsgegevens hebben met name betrekking op de locatie, de leeftijd, de zoekgeschiedenis en de recente aankopen van de gebruiker.
25 In dit verband biedt het TCF een kader voor de verwerking van persoonsgegevens op grote schaal en zorgt het ervoor dat de voorkeuren van de gebruikers door middel van het CMP gemakkelijker kunnen worden geregistreerd. Deze voorkeuren worden vervolgens gecodeerd en opgeslagen in een letter- en tekenreeks die IAB Europe de Transparency and Consent String (hierna: „TC-string”) noemt, die wordt gedeeld met makelaars in persoonsgegevens en reclameplatformen die deelnemen aan het OpenRTB-protocol, opdat deze weten waarvoor de gebruiker toestemming heeft verleend of waartegen hij bezwaar heeft gemaakt. Het CMP plaatst ook een cookie (euconsent-v2) op het apparaat van de gebruiker. In combinatie met elkaar kunnen de TC-string en de euconsent-v2-cookie worden gekoppeld aan het IP-adres van de gebruiker.
26 Het TCF speelt aldus een rol bij de werking van het OpenRTB-protocol, aangezien het de mogelijkheid biedt om de voorkeuren van de gebruiker over te schrijven teneinde deze mee te delen aan potentiële verkopers, alsmede om verschillende verwerkingsdoeleinden te bereiken, waaronder het aanbieden van advertenties op maat. Het TCF strekt er met name toe om makelaars in persoonsgegevens en reclameplatformen door middel van de TC-string te garanderen dat de AVG is nageleefd.
27 De GBA heeft sinds 2019 zowel vanuit België als vanuit derde landen verschillende klachten tegen IAB Europe ontvangen die betrekking hadden op de overeenstemming van het TCF met de AVG. De GBA heeft deze klachten onderzocht en heeft vervolgens – als leidende toezichthoudende autoriteit in de zin van artikel 56, lid 1, AVG – overeenkomstig de artikelen 60 tot en met 63 AVG het samenwerkings- en coherentiemechanisme in werking gesteld om tot een gezamenlijk besluit te komen dat is goedgekeurd door de 21 nationale toezichthoudende autoriteiten die bij dat mechanisme betrokken zijn. Zo heeft de geschillenkamer van de GBA bij beslissing van 2 februari 2022 (hierna: „beslissing van 2 februari 2022”) geoordeeld dat IAB Europe als verwerkingsverantwoordelijke optrad met betrekking tot de registratie van het toestemmingssignaal en van de bezwaren en de voorkeuren van de individuele gebruikers door middel van een TC-string, die volgens de geschillenkamer van de GBA gekoppeld is aan een identificeerbare gebruiker. Daarnaast heeft de geschillenkamer van de GBA IAB Europe bij die beslissing overeenkomstig artikel 100, § 1, 9°, WOG gelast om de verwerking van persoonsgegevens in het kader van het TCF in overeenstemming te brengen met de AVG, en haar meerdere corrigerende maatregelen alsook een administratieve geldboete opgelegd.
28 IAB Europe heeft tegen de beslissing van 2 februari 2022 hoger beroep ingesteld bij het hof van beroep Brussel (België), de verwijzende rechter. IAB Europe verzoekt de verwijzende rechter om deze beslissing te vernietigen. Zij komt onder meer op tegen het feit dat zij wordt geacht als verwerkingsverantwoordelijke te hebben gehandeld. Tevens betoogt zij dat die beslissing, voor zover daarin wordt vastgesteld dat TC-strings persoonsgegevens in de zin van artikel 4, punt 1, AVG zijn, onvoldoende genuanceerd en gemotiveerd is en dat die beslissing hoe dan ook onjuist is. Met name onderstreept IAB Europe dat enkel de overige deelnemers aan het TCF de TC-string met een IP-adres kunnen combineren om er een persoonsgegeven van te maken, dat de TC-string niet uniek voor een gebruiker is en dat zijzelf geen toegang heeft tot de gegevens die in dit verband door haar leden worden verwerkt.
29 De GBA, die in de nationale procedure wordt ondersteund door Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom en Ligue des Droits Humains VZW, voert onder meer aan dat TC-strings wel degelijk persoonsgegevens vormen aangezien de CMP’s TC-strings kunnen koppelen aan IP-adressen, de deelnemers aan het TCF de gebruikers bovendien ook op basis van andere gegevens kunnen identificeren, IAB Europe toegang heeft tot daarvoor benodigde informatie, en de identificatie van de gebruiker juist het doel is van de TC-string, waarmee wordt beoogd de verkoop van gerichte reclame te vergemakkelijken. Voorts betoogt de GBA onder meer dat uit de beslissende rol die IAB Europe speelt bij de verwerking van TC-strings, volgt dat zij dient te worden beschouwd als een verwerkingsverantwoordelijke in de zin van de AVG. De GBA voegt daaraan toe dat die organisatie de doeleinden van en middelen voor de verwerking vaststelt, alsmede bepaalt hoe de TC-strings worden gegenereerd, aangepast en uitgelezen, hoe en waar de noodzakelijke cookies worden opgeslagen, wie de persoonsgegevens ontvangt en op basis van welke criteria de bewaartermijnen voor de TC-strings kunnen worden vastgelegd.
30 De verwijzende rechter twijfelt of een TC-string, al dan niet in combinatie met een IP-adres, een persoonsgegeven is en, zo ja, of IAB Europe ten aanzien van de verwerking van persoonsgegevens binnen het TCF, in het bijzonder ten aanzien van de verwerking van de TC-string, als verwerkingsverantwoordelijke moet worden aangemerkt. Dienaangaande merkt de verwijzende rechter op dat de beslissing van 2 februari 2022 weliswaar het gemeenschappelijke standpunt van de verschillende in casu betrokken nationale toezichthoudende autoriteiten weerspiegelt, maar dat het Hof nog niet de gelegenheid heeft gehad om zich uit te spreken over de TC-string als nieuwe en ingrijpende technologie.
31 In deze omstandigheden heeft het hof van beroep Brussel de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
„1) a) Moet artikel 4.1 [AVG], gelezen in samenhang met de artikelen 7 en 8 van het [Handvest], in die zin uitgelegd worden dat een tekenreeks die de voorkeuren van een internetgebruiker in verband met de verwerking van zijn persoonsgegevens op gestructureerde en machine-leesbare manier capteert, een persoonsgegeven in de zin van de voormelde bepaling vormt ten aanzien van (1) een sectororganisatie die aan haar leden een standaard ter beschikking stelt waarbij zij [hun] voorschrijft op welke wijze die tekenreeks praktisch en technisch gegenereerd, opgeslagen en/of verspreid moet worden, en (2) de partijen die op hun websites of in hun apps die standaard geïmplementeerd hebben en op die manier dus toegang hebben tot die tekenreeks?
b) Maakt het daarbij een verschil uit als de implementatie van de standaard inhoudt dat deze tekenreeks samen met een IP-adres beschikbaar is?
c) Leidt het antwoord op vraag a) + b) tot een andere conclusie indien deze normerende sectororganisatie zelf geen wettelijke toegang heeft tot de persoonsgegevens die binnen deze standaard door haar leden worden verwerkt?
2) a) Moeten de artikelen 4.7) en 24.1) AVG, gelezen in samenhang met de artikelen 7 en 8 van het [Handvest], aldus worden uitgelegd dat een normerende sectororganisatie als verwerkingsverantwoordelijke moet worden gekwalificeerd, wanneer zij aan haar leden een standaard voor het beheer van toestemming aanbiedt die naast een bindend technisch kader voorschriften bevat waarin gedetailleerd wordt bepaald hoe deze toestemmingsgegevens, die persoonsgegevens uitmaken, opgeslagen en verspreid moeten worden?
b) Leidt het antwoord op vraag a) tot een andere conclusie indien deze sectororganisatie zelf geen wettelijke toegang heeft tot de persoonsgegevens die binnen deze standaard door haar leden worden verwerkt?
c) Indien de normerende sectororganisatie als verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijke voor de verwerking van de voorkeuren van Internetgebruikers moet worden aangeduid, strekt die (gezamenlijke) verantwoordelijkheid van de normerende sectororganisatie zich dan ook automatisch uit naar de daaropvolgende verwerkingen door derden waarvoor de voorkeuren van de internetgebruikers [werden] bekomen, zoals gerichte online reclame door uitgevers en vendors?”
Eerste prejudiciële vraag
32 Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 4, punt 1, AVG aldus moet worden uitgelegd dat een letter- en tekenreeks – zoals de TC-string – die de voorkeuren van een internetgebruiker of een gebruiker van een applicatie bevat met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens door aanbieders van internetsites of applicaties alsook door makelaars in persoonsgegevens en reclameplatformen, een persoonsgegeven in de zin van die bepaling is wanneer een sectororganisatie een standaard voor het genereren, opslaan en verspreiden van deze tekenreeks heeft opgesteld en de leden van die organisatie deze standaard hebben geïmplementeerd en op die manier toegang hebben tot die tekenreeks. Tevens wenst de verwijzende rechter te vernemen of het voor het antwoord op deze vraag van belang is of ten eerste die tekenreeks wordt gekoppeld aan een identificator, zoals met name het IP-adres van het toestel van de betrokken gebruiker, zodat deze kan worden geïdentificeerd, en ten tweede of een dergelijke sectororganisatie het recht heeft om rechtstreeks toegang te hebben tot de persoonsgegevens die haar leden binnen de door haar opgestelde standaard verwerken.
33 Om te beginnen zij eraan herinnerd dat de rechtspraak van het Hof over richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31) in beginsel ook geldt voor de AVG, aangezien deze richtlijn is ingetrokken bij en vervangen door de AVG, waarvan de relevante bepalingen in wezen dezelfde draagwijdte hebben als de relevante bepalingen van die richtlijn (arrest van 17 juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punt 107).
34 Tevens zij eraan herinnerd dat volgens vaste rechtspraak bij de uitlegging van een Unierechtelijke bepaling niet alleen rekening moet worden gehouden met haar bewoordingen, maar ook met de context ervan en met de doelstellingen en het oogmerk van de regeling waarvan zij deel uitmaakt (arrest van 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punt 38 en aldaar aangehaalde rechtspraak).
35 Dienaangaande zij opgemerkt dat in artikel 4, punt 1, AVG is bepaald dat onder persoonsgegevens dient te worden verstaan „alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”, en dat in die bepaling wordt verduidelijkt dat „als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.
36 Het gebruik van de uitdrukking „alle informatie” in de definitie die in artikel 4, punt 1, AVG wordt gegeven van het begrip „persoonsgegevens”, wijst op de bedoeling van de Uniewetgever om een ruime betekenis toe te kennen aan dit begrip, dat zich potentieel uitstrekt tot elk soort informatie – zowel objectieve als subjectieve informatie – in de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene „betreft” (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 23 en aldaar aangehaalde rechtspraak).
37 In zoverre heeft het Hof geoordeeld dat informatie betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon wanneer zij wegens haar inhoud, doel of gevolg verband houdt met een identificeerbare persoon (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 24 en aldaar aangehaalde rechtspraak).
38 Wat de identificeerbaarheid van een persoon betreft, blijkt uit de bewoordingen van artikel 4, punt 1, AVG dat een persoon niet alleen als identificeerbaar wordt beschouwd wanneer hij direct kan worden geïdentificeerd, maar ook wanneer hij indirect kan worden geïdentificeerd.
39 Zoals het Hof reeds heeft geoordeeld, kan uit het feit dat de Uniewetgever de uitdrukking „indirect” gebruikt, worden afgeleid dat het voor de kwalificatie van informatie als persoonsgegeven niet nodig is dat dit gegeven het op zichzelf mogelijk maakt de betrokken persoon te identificeren (zie naar analogie arrest van 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punt 41). Integendeel, uit artikel 4, punt 5, AVG, gelezen in samenhang met overweging 26 van deze verordening, vloeit voort dat persoonsgegevens die door het gebruik van aanvullende informatie kunnen worden gekoppeld aan een natuurlijke persoon, moeten worden beschouwd als gegevens over een identificeerbare natuurlijke persoon (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 58).
40 Daarnaast staat in die overweging 26 te lezen dat bij de vaststelling of een natuurlijke persoon „identificeerbaar” is, rekening moet worden gehouden met „alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken”. Deze bewoordingen wijzen erop dat voor de kwalificatie van een gegeven als „persoonsgegeven” in de zin van artikel 4, punt 1, AVG niet vereist is dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust (zie naar analogie arrest van 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punt 43).
41 Hieruit volgt dat het begrip „persoonsgegevens” zich niet alleen uitstrekt tot de door de verwerkingsverantwoordelijke verzamelde en bewaarde gegevens, maar ook tot alle informatie die voortvloeit uit een verwerking van persoonsgegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon (arrest van 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punt 45).
42 In de onderhavige zaak zij opgemerkt dat een letter- en tekenreeks als de TC-string de voorkeuren van een internetgebruiker of een gebruiker van een applicatie bevat met betrekking tot zijn toestemming voor de verwerking door derden van zijn persoonsgegevens of van gegevens over het bezwaar dat hij eventueel heeft gemaakt tegen de verwerking van zijn persoonsgegevens voor een vermeend gerechtvaardigd belang als bedoeld in artikel 6, lid 1, onder f), AVG.
43 Zelfs indien een TC-string op zichzelf geen gegevens zou bevatten aan de hand waarvan de betrokkene direct kan worden geïdentificeerd, bevat zij om te beginnen de persoonlijke voorkeuren van een specifieke gebruiker met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens, waarbij het gaat om informatie „over een [...] natuurlijke persoon” in de zin van artikel 4, punt 1, AVG.
44 Daarnaast staat het tevens vast dat de koppeling van de in een TC-string vervatte informatie aan een identificator zoals met name het IP-adres van het toestel van de betrokken gebruiker het mogelijk kan maken om een profiel van deze gebruiker op te stellen en om de persoon waar die informatie specifiek betrekking op heeft, daadwerkelijk te identificeren.
45 Aangezien een gebruiker kan worden geïdentificeerd door een letter- en tekenreeks als de TC-string te koppelen aan aanvullende gegevens, zoals met name het IP-adres van het toestel van deze gebruiker of andere identificatoren, dient te worden geoordeeld dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven in de zin van artikel 4, punt 1, AVG is, hetgeen wordt bevestigd door overweging 30 van de AVG, waarin uitdrukkelijk wordt verwezen naar een dergelijke situatie.
46 Aan deze uitlegging wordt niet afgedaan door de enkele omstandigheid dat IAB Europe niet zelf de TC-string aan het IP-adres van het toestel van een gebruiker zou kunnen koppelen en geen rechtstreekse toegang heeft tot de gegevens die binnen het TCF door haar leden worden verwerkt.
47 Zoals blijkt uit de in punt 40 van dit arrest in herinnering gebrachte rechtspraak, staat die omstandigheid er namelijk niet aan in de weg dat een TC-string wordt aangemerkt als een „persoonsgegeven” in de zin van artikel 4, punt 1, AVG.
48 Overigens blijkt uit het dossier waarover het Hof beschikt – en met name uit de beslissing van 2 februari 2022 – dat de leden van IAB Europe verplicht zijn om deze organisatie op haar verzoek alle informatie te verstrekken waarmee zij gebruikers kan identificeren van wie de gegevens zijn opgeslagen in een TC-string.
49 Onder voorbehoud van de verificaties die de verwijzende rechter in dit verband dient te verrichten, lijkt IAB Europe dus – dankzij de informatie die haar leden en andere aan het TCF deelnemende organisaties haar moeten verstrekken – over de in overweging 26 van de AVG bedoelde redelijke middelen te beschikken om een bepaalde natuurlijke persoon te identificeren aan de hand van een TC-string.
50 Uit het voorgaande volgt dat een TC-string een persoonsgegeven in de zin van artikel 4, punt 1, AVG vormt. Het is daarbij niet relevant dat een dergelijke sectororganisatie zonder externe medewerking, die zij kan eisen, geen toegang heeft tot de gegevens die haar leden binnen de door haar opgestelde standaard verwerken, noch de TC-string kan koppelen aan andere identificatoren zoals met name het IP-adres van het toestel van een gebruiker.
51 Gelet op een en ander dient op de eerste prejudiciële vraag te worden geantwoord dat artikel 4, punt 1, AVG aldus moet worden uitgelegd dat een letter- en tekenreeks als de TC-string, die de voorkeuren van een internetgebruiker of een gebruiker van een applicatie bevat met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens door aanbieders van internetsites of applicaties alsook door makelaars in persoonsgegevens en reclameplatformen, een persoonsgegeven in de zin van die bepaling is aangezien deze tekenreeks het mogelijk maakt om de betrokken gebruiker te identificeren wanneer zij met redelijke middelen kan worden gekoppeld aan een identificator zoals met name het IP-adres van het toestel van die gebruiker. Dat een sectororganisatie die in het bezit is van deze tekenreeks, zonder externe medewerking geen toegang heeft tot de gegevens die haar leden binnen de door haar opgestelde standaard verwerken, en dat zij die tekenreeks evenmin kan koppelen aan andere gegevens, staat er dan ook niet aan in de weg dat die tekenreeks een persoonsgegeven in de zin van voornoemde bepaling is.
Tweede prejudiciële vraag
52 Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 4, punt 7, AVG aldus moet worden uitgelegd dat:
– een sectororganisatie die haar leden een door haar opgestelde standaard aanbiedt die betrekking heeft op de toestemming voor de verwerking van persoonsgegevens en die behalve bindende technische regels ook voorschriften bevat waarbij gedetailleerd is bepaald hoe de persoonsgegevens met betrekking tot die toestemming moeten worden opgeslagen en verspreid, dient te worden aangemerkt als „verwerkingsverantwoordelijke” in de zin van die bepaling, en of het voor het antwoord op deze vraag van belang is of die sectororganisatie zelf rechtstreeks toegang heeft tot de persoonsgegevens die haar leden binnen die standaard verwerken;
– de eventuele gezamenlijke verantwoordelijkheid van die sectororganisatie zich automatisch uitstrekt tot latere verwerkingen van persoonsgegevens door derden – zoals aanbieders van internetsites of applicaties – wat de voorkeuren van gebruikers met het oog op gerichte online reclame betreft.
53 Om te beginnen zij eraan herinnerd dat het doel van de AVG – zoals dat blijkt uit artikel 1 alsook uit de overwegingen 1 en 10 van deze verordening – met name bestaat in het waarborgen van een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen, in het bijzonder van hun in artikel 8, lid 1, van het Handvest en artikel 16, lid 1, VWEU erkende recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens [arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C‑60/22, EU:C:2023:373, punt 64].
54 In overeenstemming met deze doelstelling geeft artikel 4, punt 7, AVG een ruime definitie van het begrip „verwerkingsverantwoordelijke”, waarmee wordt gedoeld op een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
55 Zoals het Hof reeds heeft geoordeeld, strekt die bepaling er namelijk toe om middels die ruime definitie van het begrip „verantwoordelijke” een doeltreffende en volledige bescherming van de betrokkenen te waarborgen (zie naar analogie arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 28).
56 Aangezien het begrip „verwerkingsverantwoordelijke” – zoals in artikel 4, punt 7, AVG uitdrukkelijk is bepaald – ziet op het orgaan dat „alleen of samen met anderen” het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, verwijst dat begrip bovendien niet noodzakelijk naar één orgaan en kan het betrekking hebben op meerdere deelnemers aan deze verwerking, die dan ieder onder de bepalingen op het gebied van gegevensbescherming vallen (zie naar analogie arresten van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 29, en 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 65).
57 Het Hof heeft tevens geoordeeld dat een natuurlijke persoon of een rechtspersoon die voor eigen doeleinden invloed uitoefent op de verwerking van persoonsgegevens en daardoor betrokken is bij de vaststelling van het doel van en de middelen voor de verwerking, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG kan worden beschouwd (zie naar analogie arrest van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 68). Volgens artikel 26, lid 1, AVG is er dan ook sprake van „gezamenlijke verwerkingsverantwoordelijken” wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 40).
58 In zoverre moet elk van de gezamenlijke verwerkingsverantwoordelijken weliswaar afzonderlijk beantwoorden aan het in artikel 4, punt 7, AVG gebezigde begrip „verwerkingsverantwoordelijke”, maar leidt het bestaan van een gezamenlijke verantwoordelijkheid niet noodzakelijk tot een gelijkwaardige verantwoordelijkheid van de verschillende deelnemers aan een en dezelfde verwerking van persoonsgegevens. Integendeel, deze deelnemers kunnen in verschillende stadia en in verschillende mate bij deze verwerking betrokken zijn, zodat het niveau van verantwoordelijkheid van ieder van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval. Bovendien onderstelt de gezamenlijke verantwoordelijkheid van verschillende deelnemers aan een en dezelfde verwerking, niet dat ieder van hen toegang heeft tot de persoonsgegevens in kwestie (zie naar analogie arrest van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punten 66 en 69 en aldaar aangehaalde rechtspraak).
59 De betrokkenheid bij de vaststelling van het doel van en de middelen voor de verwerking kan verschillende vormen aannemen en zowel resulteren uit een gezamenlijk besluit van twee of meer entiteiten als uit convergerende besluiten van die entiteiten. In dat laatste geval moeten die besluiten elkaar aanvullen, zodat elk ervan een concreet effect heeft op de vaststelling van het doel van en de middelen voor de verwerking. Daarentegen kan niet worden verlangd dat er tussen deze verwerkingsverantwoordelijken een formele overeenkomst bestaat over dat doel en die middelen (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punten 43 en 44).
60 Gelet op het voorgaande moet worden aangenomen dat het eerste deel van de tweede prejudiciële vraag ertoe strekt dat wordt vastgesteld of een sectororganisatie als IAB Europe kan worden aangemerkt als een gezamenlijke verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, en artikel 26, lid 1, AVG.
61 Daartoe moet dus worden beoordeeld of die organisatie – gelet op de bijzondere omstandigheden van het geval – voor eigen doeleinden invloed uitoefent op de verwerking van persoonsgegevens zoals de TC-string en samen met anderen het doel van en de middelen voor die verwerking vaststelt.
62 Wat in de eerste plaats het doel van die verwerking van persoonsgegevens betreft, blijkt – onder voorbehoud van de door de verwijzende rechter te verrichten verificaties – uit het dossier waarover het Hof beschikt, zoals in de punten 21 en 22 van dit arrest in herinnering is gebracht, dat het door IAB Europe opgestelde TCF een standaard is die ertoe strekt te waarborgen dat de AVG wordt nageleefd wanneer de persoonsgegevens van gebruikers van een internetsite of applicatie worden verwerkt door bepaalde ondernemingen die deelnemen aan de online veiling van advertentieruimte.
63 Het TCF is er dan ook in wezen op gericht om de verkoop en aankoop van advertentieruimte op het internet door die ondernemingen te bevorderen en mogelijk te maken.
64 Derhalve kan – onder voorbehoud van de verificaties die de verwijzende rechter dient te verrichten – worden aangenomen dat IAB Europe voor eigen doeleinden invloed uitoefent op de verwerkingen van persoonsgegevens die in het hoofdgeding aan de orde zijn en daardoor samen met haar leden het doel van die verwerkingen vaststelt.
65 Wat in de tweede plaats de middelen betreft die voor een dergelijke verwerking van persoonsgegevens worden gebruikt, blijkt – onder voorbehoud van de door de verwijzende rechter te verrichten verificaties – uit het dossier waarover het Hof beschikt, dat het TCF een standaard is die de leden van IAB Europe worden geacht te aanvaarden wanneer zij zich bij deze vereniging willen aansluiten. Met name kan IAB Europe – zoals zij ter terechtzitting voor het Hof heeft bevestigd – ten aanzien van een van haar leden dat de regels van het TCF niet naleeft, een besluit tot schorsing wegens niet-conformiteit nemen dat ertoe kan leiden dat het betrokken lid wordt uitgesloten van het TCF en zich bijgevolg voor de verwerking van persoonsgegevens die het verricht door middel van TC-strings, niet kan beroepen op de AVG-conformiteitswaarborg die dit systeem wordt geacht te bieden.
66 Daarnaast bevat het door IAB Europe opgestelde TCF vanuit praktisch oogpunt – zoals in punt 21 van dit arrest is vermeld – technische specificaties voor de verwerking van de TC-string. In het bijzonder lijken die specificaties precies te beschrijven hoe de CMP’s de voorkeuren die de gebruikers hebben met betrekking tot de verwerking van hun persoonsgegevens moeten registreren, en hoe die voorkeuren moeten worden verwerkt teneinde een TC-string te genereren. Voorts worden er ook precieze regels opgesteld over de inhoud van de TC-string alsook over de opslag en het delen van die string.
67 Zo blijkt uit de beslissing van 2 februari 2022 dat IAB Europe in die regels onder meer voorschrijft op welke gestandaardiseerde wijze de verschillende bij het TCF betrokken partijen de in de TC-string opgeslagen voorkeuren, bezwaren en toestemmingen kunnen raadplegen.
68 Derhalve dient – onder voorbehoud van de door de verwijzende rechter te verrichten verificaties – te worden aangenomen dat een sectororganisatie als IAB Europe voor eigen doeleinden invloed uitoefent op de in het hoofdgeding aan de orde zijnde verwerkingen van persoonsgegevens en aldus samen met haar leden de middelen voor die verwerkingen vaststelt. Hieruit volgt dat zij overeenkomstig de in punt 57 van dit arrest in herinnering gebrachte rechtspraak moet worden aangemerkt als een „gezamenlijke verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, en artikel 26, lid 1, AVG.
69 De door de verwijzende rechter vermelde omstandigheid dat een dergelijke sectororganisatie niet zelf rechtstreeks toegang heeft tot de TC-strings en bijgevolg tot de persoonsgegevens die binnen voornoemde standaard door haar leden – met wie zij samen het doel van en de middelen voor de verwerking van die gegevens bepaalt – worden verwerkt, staat er – overeenkomstig de in punt 58 van dit arrest in herinnering gebrachte rechtspraak – niet aan in de weg dat zij wordt aangemerkt als „verwerkingsverantwoordelijke” in de zin van die bepaling.
70 Daarnaast moet in antwoord op de twijfels van de verwijzende rechter worden geoordeeld dat de eventuele gezamenlijke verantwoordelijkheid van die sectororganisatie zich niet automatisch uitstrekt tot de latere verwerkingen van persoonsgegevens door derden, zoals aanbieders van internetsites of applicaties, wat de voorkeuren van gebruikers met het oog op gerichte online reclame betreft.
71 Dienaangaande zij ten eerste opgemerkt dat de „verwerking” van persoonsgegevens in artikel 4, punt 2, AVG wordt gedefinieerd als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.
72 Uit deze definitie blijkt dat de verwerking van persoonsgegevens kan bestaan uit een of meerdere bewerkingen, die elk betrekking hebben op een andere fase van die verwerking.
73 Ten tweede volgt uit artikel 4, punt 7, en artikel 26, lid 1, AVG – zoals het Hof reeds heeft geoordeeld – dat een natuurlijke of rechtspersoon slechts als gezamenlijke verantwoordelijke voor de verwerking van persoonsgegevens kan worden aangemerkt indien hij samen met anderen het doel van en de middelen voor die verwerking vaststelt. Derhalve kan die natuurlijke of rechtspersoon – onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht in dit verband voorziet – niet worden geacht in de zin van die bepalingen verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt (zie naar analogie arrest van 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punt 74).
74 In casu moet een onderscheid worden gemaakt tussen enerzijds de verwerking van persoonsgegevens door de leden van IAB Europe – te weten aanbieders van internetsites of applicaties en gegevensmakelaars of reclameplatforms – bij de opslag van de toestemmingsvoorkeuren van de betrokken gebruikers in een TC-string volgens de in het TCF opgestelde standaard en anderzijds de verwerking van persoonsgegevens die deze ondernemingen en derden later op basis van die voorkeuren verrichten, bijvoorbeeld door doorzending van die gegevens aan derden of gepersonaliseerde reclameaanbiedingen aan die gebruikers.
75 Onder voorbehoud van de verificaties die de verwijzende rechter dient te verrichten, lijkt IAB Europe namelijk niet bij die latere verwerking betrokken te zijn, zodat moet worden geoordeeld dat een dergelijke organisatie niet automatisch samen met die ondernemingen en derden verantwoordelijk is voor de verwerking van de persoonsgegevens op basis van de in een TC-string opgeslagen voorkeursgegevens van de betrokken gebruikers.
76 Een sectororganisatie als IAB Europe kan dan ook slechts worden geacht verantwoordelijk te zijn voor dergelijke latere verwerkingen indien vaststaat dat zij invloed uitoefent op de vaststelling van het doel van die verwerkingen en van de wijze waarop deze worden verricht, wat de verwijzende rechter dient na te gaan in het licht van alle relevante omstandigheden van het hoofdgeding.
77 Gelet op een en ander dient op de tweede prejudiciële vraag te worden geantwoord dat artikel 4, punt 7, en artikel 26, lid 1, AVG aldus moeten worden uitgelegd dat:
– een sectororganisatie die haar leden een door haar opgestelde standaard aanbiedt die betrekking heeft op de toestemming voor de verwerking van persoonsgegevens en die behalve bindende technische regels ook voorschriften bevat waarbij gedetailleerd is bepaald hoe de persoonsgegevens met betrekking tot die toestemming moeten worden opgeslagen en verspreid, dient te worden aangemerkt als „gezamenlijke verwerkingsverantwoordelijke” in de zin van die bepalingen indien zij gelet op de specifieke omstandigheden van het geval voor eigen doeleinden invloed uitoefent op de betreffende verwerking van persoonsgegevens en aldus samen met haar leden het doel van en de middelen voor die verwerking vaststelt. Dat een dergelijke sectororganisatie niet zelf rechtstreeks toegang heeft tot de persoonsgegevens die haar leden binnen die standaard verwerken, staat er niet aan in de weg dat zij de hoedanigheid van gezamenlijke verwerkingsverantwoordelijke in de zin van voornoemde bepalingen heeft;
– de gezamenlijke verantwoordelijkheid van die sectororganisatie zich niet automatisch uitstrekt tot latere verwerkingen van persoonsgegevens door derden – zoals aanbieders van internetsites of applicaties – wat de voorkeuren van gebruikers met het oog op gerichte online reclame betreft.
Kosten
78 Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.
Het Hof (Vierde kamer) verklaart voor recht:
1) Artikel 4, punt 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)
moet aldus worden uitgelegd dat
een letter- en tekenreeks als de TC-string (Transparency and Consent String), die de voorkeuren van een internetgebruiker of een gebruiker van een applicatie bevat met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens door aanbieders van internetsites of applicaties alsook door makelaars in persoonsgegevens en reclameplatformen, een persoonsgegeven in de zin van die bepaling is aangezien deze tekenreeks het mogelijk maakt om de betrokken gebruiker te identificeren wanneer zij met redelijke middelen kan worden gekoppeld aan een identificator zoals met name het IP-adres van het toestel van die gebruiker. Dat een sectororganisatie die in het bezit is van deze tekenreeks, zonder externe medewerking geen toegang heeft tot de gegevens die haar leden binnen de door haar opgestelde standaard verwerken, en dat zij die tekenreeks evenmin kan koppelen aan andere gegevens, staat er dan ook niet aan in de weg dat die tekenreeks een persoonsgegeven in de zin van voornoemde bepaling is.
2) Artikel 4, punt 7, en artikel 26, lid 1, van verordening 2016/679
moeten aldus worden uitgelegd dat
– een sectororganisatie die haar leden een door haar opgestelde standaard aanbiedt die betrekking heeft op de toestemming voor de verwerking van persoonsgegevens en die behalve bindende technische regels ook voorschriften bevat waarbij gedetailleerd is bepaald hoe de persoonsgegevens met betrekking tot die toestemming moeten worden opgeslagen en verspreid, dient te worden aangemerkt als „gezamenlijke verwerkingsverantwoordelijke” in de zin van die bepalingen, indien zij gelet op de specifieke omstandigheden van het geval voor eigen doeleinden invloed uitoefent op de betreffende verwerking van persoonsgegevens en aldus samen met haar leden het doel van en de middelen voor die verwerking vaststelt. Dat een dergelijke sectororganisatie niet zelf rechtstreeks toegang heeft tot de persoonsgegevens die haar leden binnen die standaard verwerken, staat er niet aan in de weg dat zij de hoedanigheid van gezamenlijke verwerkingsverantwoordelijke in de zin van voornoemde bepalingen heeft;
– de gezamenlijke verantwoordelijkheid van die sectororganisatie zich niet automatisch uitstrekt tot latere verwerkingen van persoonsgegevens door derden – zoals aanbieders van internetsites of applicaties – wat de voorkeuren van gebruikers met het oog op gerichte online reclame betreft.
Lycourgos | Spineanu-Matei | Bonichot |
Uitgesproken ter openbare terechtzitting te Luxemburg op 7 maart 2024.
De griffier | | De kamerpresident |
A. Calot Escobar | | C. Lycourgos |