CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

DOMSTOLENS DOM (Fjerde Afdeling)

7. marts 2024 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – regelgivende brancheorganisation, der for sine medlemmer opstiller bestemmelser for behandling af brugernes samtykke – artikel 4, nr. 1) – begrebet »personoplysninger« – bogstavs- og tegnrække, som på en struktureret og maskinlæsbar måde fanger en internetbrugers præferencer i forbindelse med behandlingen af dennes personoplysninger – artikel 4, nr. 7) – begrebet »dataansvarlig« – artikel 26, stk. 1 – begrebet »fælles dataansvarlige« – organisation, der ikke selv har adgang til de personoplysninger, som behandles af dens medlemmer – organisationens ansvar omfatter også tredjemands efterfølgende behandlinger af oplysninger«

I sag C-604/22,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien) ved afgørelse af 7. september 2022, indgået til Domstolen den 19. september 2022, i sagen

IAB Europe

mod

Gegevensbeschermingsautoriteit,

procesdeltagere:

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits Humains VZW,

har

DOMSTOLEN (Fjerde Afdeling),

sammensat af afdelingsformanden, C. Lycourgos, og dommerne O. Spineanu-Matei, J.-C. Bonichot, S. Rodin og L.S. Rossi (refererende dommer),

generaladvokat: T. Ćapeta,

justitssekretær: fuldmægtig A. Lamote,

på grundlag af den skriftlige forhandling og efter retsmødet den 21. september 2023,

efter at der er afgivet indlæg af:

– IAB Europe ved avocat P. Craddock og advocaat K. Van Quathem,

– Gegevensbeschermingsautoriteit ved advocaten E. Cloots, J. Roets og T. Roes,

– Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom og Ligue des Droits Humains VZW ved advocaten F. Debusseré og R. Roex,

– den østrigske regering ved J. Schmoll og C. Gabauer, som befuldmægtigede,

– Europa-Kommissionen ved A. Bouchagiar og H. Kranenborg, som befuldmægtigede,

og idet Domstolen efter at have hørt generaladvokaten har besluttet, at sagen skal pådømmes uden forslag til afgørelse,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 4, nr. 1) og 7), samt artikel 24, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«), sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).

2 Anmodningen er blevet indgivet i forbindelse med en tvist mellem IAB Europa og Gegevensbeschermingsautoriteit (databeskyttelsesmyndigheden, Belgien) (herefter »databeskyttelsesmyndigheden«) vedrørende en afgørelse, som databeskyttelsesmyndighedens tvistemålsafdeling har truffet over for IAB Europe med hensyn til en angivelig tilsidesættelse af flere af databeskyttelsesforordningens bestemmelser.

Retsforskrifter

EU-retten

3 1., 10., 26. og 30. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I [chartrets] artikel 8, stk. 1, [...] og i artikel 16, stk. 1, [TEUF] fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

[...]

(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for [Den Europæiske Union] bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. [...]

[...]

(26) Principperne for databeskyttelse bør gælde for enhver information om en identificeret eller identificerbar fysisk person. Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom omkostninger ved og tid, der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling. Databeskyttelsesprincipperne bør derfor ikke gælde for anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til statistiske eller forskningsmæssige formål.

[...]

(30) Fysiske personer kan tilknyttes online[-]identifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.«

4 Databeskyttelsesforordningens artikel 1 med overskriften »Genstand og formål« bestemmer i stk. 2:

»Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.«

5 Den nævnte forordnings artikel 4 fastsætter:

»I denne forordning forstås ved:

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online[-]identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[...]

7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

[...]

11) »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling

[...]«

6 Databeskyttelsesforordningens artikel 6 med overskriften »Lovlig behandling« har følgende ordlyd:

»1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

[...]

f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

[...]«

7 Denne forordnings artikel 24 med overskriften »Den dataansvarliges ansvar« bestemmer i stk. 1:

»Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.«

8 Databeskyttelsesforordningens artikel 26 med overskriften »Fælles dataansvarlige« fastsætter følgende i stk. 1:

»Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. [...]«

9 Databeskyttelsesforordningens kapitel VI vedrørende »Uafhængige tilsynsmyndigheder« indeholder forordningens artikel 51-59.

10 Denne forordnings artikel 51 med overskriften »Tilsynsmyndighed« fastsætter følgende i stk. 1 og 2:

»1. Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen [...].

2. Hver enkelt tilsynsmyndighed bidrager til ensartet anvendelse af denne forordning i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med [Europa-]Kommissionen i henhold til kapitel VII.«

11 Databeskyttelsesforordningens artikel 55 med overskriften »Kompetence« bestemmer følgende i stk. 1 og 2:

»1. Hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.

2. Hvis behandling foretages af offentlige myndigheder eller af private organer, der handler på grundlag af artikel 6, stk. 1, litra c) eller e), er tilsynsmyndigheden i den pågældende medlemsstat kompetent. I så fald finder artikel 56 ikke anvendelse.«

12 Denne forordnings artikel 56 med overskriften »Den ledende tilsynsmyndigheds kompetence« fastsætter følgende i stk. 1:

»Uden at det berører artikel 55, er tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering kompetent til at fungere som ledende tilsynsmyndighed for den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler efter proceduren i artikel 60.«

13 Forordningens artikel 57 med overskriften »Opgaver« bestemmer følgende i stk. 1:

»Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:

a) føre tilsyn med og håndhæve anvendelsen af denne forordning

[...]

g) samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning

[...]«

14 Afdeling 1 med overskriften »Samarbejde« i denne forordnings kapitel VII med overskriften »Samarbejde og sammenhæng« indeholder forordningens artikel 60-62. Artikel 60 vedrørende »Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder« fastsætter følgende i stk. 1:

»Den ledende tilsynsmyndighed samarbejder i henhold til denne artikel med de andre berørte tilsynsmyndigheder med henblik på at nå til enighed. Den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder udveksler alle relevante oplysninger med hinanden.«

15 Databeskyttelsesforordningens artikel 61 med overskriften »Gensidig bistand« fastsætter i stk. 1:

»Tilsynsmyndighederne udveksler relevante oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelser og høringer, inspektioner og undersøgelser.«

16 Forordningens artikel 62 med overskriften »Tilsynsmyndigheders fælles aktiviteter« fastsætter følgende i stk. 1 og 2:

»1. Hvis det er hensigtsmæssigt, gennemfører tilsynsmyndighederne fælles aktiviteter, herunder fælles undersøgelses- og håndhævelsesforanstaltninger, som medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i.

2. Hvis den dataansvarlige eller databehandleren har etableringer i flere medlemsstater, eller hvor et betydeligt antal registrerede i mere end én medlemsstat sandsynligvis påvirkes i væsentlig grad af behandlingsaktiviteter, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles aktiviteter. [...]«

17 Databeskyttelsesforordningens afdeling 2 med overskriften »Sammenhæng« i kapitel VII indeholder forordningens artikel 63-67. Artikel 63 med overskriften »Sammenhængsmekanisme« har følgende ordlyd:

»Med henblik på at bidrage til en ensartet anvendelse af denne forordning i hele Unionen samarbejder tilsynsmyndighederne med hinanden og, hvis det er relevant, med Kommissionen gennem den sammenhængsmekanisme, der er omhandlet i denne afdeling.«

Belgisk ret

18 Wet tot oprichting van de Gegevensbeschermingsautoriteit (lov om oprettelse af databeskyttelsesmyndigheden) af 3. december 2017 (Belgisch Staatsblad af 10.1.2018, s. 989, herefter »loven om oprettelse af databeskyttelsesmyndigheden«) bestemmer i artikel 100, stk. 1, punkt 9:

»Tvistemålsafdelingen har beføjelse til at:

[...]

9° påbyde, at behandlingen bringes i overensstemmelse.«

19 Artikel 101 i loven om oprettelse af databeskyttelsesmyndigheden fastsætter:

»Tvistemålsafdelingen kan beslutte at pålægge parter, der anses for ansvarlige for overtrædelser af denne lov, en administrativ bøde i overensstemmelse med de generelle principper i [databeskyttelsesforordningens] artikel 83.«

Tvisten i hovedsagen og de præjudicielle spørgsmål

20 IAB Europe er en almennyttig forening med hjemsted i Belgien, der på europæisk plan repræsenterer virksomheder i sektoren for digital reklame og markedsføring. IAB Europes medlemmer er såvel virksomheder inden for denne sektor, såsom forlæggere, e-handelsvirksomheder og marketingselskaber, mellemmænd, som nationale foreninger, herunder nationale IAB’ere (Interactive Advertising Bureau), hvis egne medlemmer bl.a. består af virksomheder inden for denne sektor. Blandt medlemmerne af IAB Europe findes bl.a. virksomheder, der genererer betydelige indtægter gennem salg af reklameplads på websteder eller applikationer.

21 IAB Europe har udarbejdet »Transparency & Consent Framework« (ramme for gennemsigtighed og samtykke) (herefter »TCF«), der er en ramme bestående af retningslinjer, instrukser, tekniske specifikationer, protokoller og kontraktlige forpligtelser, der gør det muligt for såvel en udbyder af et websted eller en applikation som datamæglere eller reklameplatforme lovligt at behandle personoplysninger om en bruger af et websted eller en applikation.

22 Formålet med TCF er bl.a. at fremme overholdelsen af databeskyttelsesforordningen, når de nævnte operatører anvender »OpenRTB«-protokollen, der er en af de mest anvendte protokoller til Real Time Bidding, som er en auktionsordning til øjeblikkelig og automatiseret online[-]salg af brugerprofiler med henblik på salg og køb af reklameplads på internettet. I lyset af visse former for praksis, der anvendes af IAB Europes medlemmer inden for rammerne af denne ordning for masseudveksling af personoplysninger om brugerprofiler, har IAB Europes indført TCF som en løsning, der skal bringe det nævnte auktionssystem i overensstemmelse med databeskyttelsesforordningen.

23 Det fremgår navnlig af de sagsakter, der er fremlagt for Domstolen, at når en bruger besøger et websted eller en applikation, der indeholder en reklameplads, kan reklameteknologivirksomheder, heriblandt datamæglere og reklameplatforme, der repræsenterer tusinder af annoncører, anonymt afgive bud i realtid med henblik på at erhverve den pågældende reklameplads via et automatiseret auktionssystem, der anvender algoritmer med henblik på at vise målrettede reklamer på den omhandlede plads, der specifikt er tilpasset en sådan brugers profil.

24 Før at kunne vise sådanne målrettede reklamer, skal den nævnte brugers forudgående samtykke imidlertid indhentes. Når en bruger besøger et websted eller en applikation for første gang, vises en platform til forvaltning af samtykke kaldet »Consent Management Platform« (herefter »CMP«) i et pop-up-vindue, der gør det muligt for den pågældende bruger dels at give sit samtykke til udbyderen af webstedet eller applikationen med henblik på indsamling og behandling af denne brugers personoplysninger til på forhånd fastsatte formål, såsom markedsføring eller reklame eller med henblik på at dele disse oplysninger med visse udbydere, dels at modsætte sig forskellige former for behandling af oplysninger eller deling heraf, som udbyderne påberåber sig med henvisning til legitime interesser som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra f). Disse personoplysninger vedrører navnlig brugerens område, alder, søgninger og seneste indkøb.

25 I denne forbindelse tilvejebringer TCF en ramme for omfattende behandling af personoplysninger og letter registreringen af brugerpræferencer gennem CMP. Derefter kodes og lagres disse præferencer i en bogstavs- og tegnrække, som IAB Europe kalder »Transparency and Consent String« (herefter »TC String«), der deles med de persondatamæglere og reklameplatforme, som deltager i »OpenRTB-protokollen«, således at sidstnævnte får kendskab til, hvad brugeren har givet samtykke til eller modsat sig. CMP placerer ligeledes en cookie (eukonsent-v2) på brugerens apparat. Hvis TC String og eukonsent-v2-cookie’en kombineres, kan de forbindes med den pågældende brugers IP-adresse.

26 TCF spiller således en rolle i OpenRTB-protokollens funktion, eftersom den gør det muligt at gengive brugerens præferencer med henblik på at kommunikere med potentielle sælgere og nå forskellige behandlingsmål, herunder forslag til skræddersyet reklame. TCF har bl.a. til formål at sikre, at persondatamæglere og reklameplatforme gennem anvendelsen af TC String overholder databeskyttelsesforordningen.

27 Siden 2019 har databeskyttelsesmyndigheden modtaget flere klager over IAB Europe fra både Belgien og tredjelande vedrørende TCF’s overensstemmelse med databeskyttelsesforordningen. Efter at have undersøgt disse klager udløste databeskyttelsesmyndigheden i sin egenskab af ledende tilsynsmyndighed som omhandlet i databeskyttelsesforordningens artikel 56, stk. 1, sammenhængsmekanismen i overensstemmelse med denne forordnings artikel 60-63 med henblik på at nå frem til en fælles afgørelse, der blev godkendt i fællesskab af alle de 21 nationale tilsynsmyndigheder, der medvirkede i denne mekanisme. Databeskyttelsesmyndighedens tvistemålsafdeling fastslog ved afgørelse af 2. februar 2022 (herefter »afgørelsen af 2. februar 2022«), at IAB Europe handlede som ansvarlig for behandlingen af personoplysninger i forbindelse med registreringen af individuelle brugeres samtykkesignal, indsigelser og præferencer ved hjælp af en TC String, der ifølge databeskyttelsesmyndighedens tvistemålsafdeling er knyttet til en identificerbar bruger. I denne afgørelse pålagde databeskyttelsesmyndighedens tvistemålsafdeling i overensstemmelse med artikel 100, stk. 1, punkt 9°, i loven om oprettelse af databeskyttelsesmyndigheden endvidere IAB Europe at bringe den behandling af personoplysninger, der foretages i henhold til TCF i overensstemmelse med databeskyttelsesforordningens bestemmelser, og pålagde IAB Europe flere afhjælpende foranstaltninger samt en administrativ bøde.

28 IAB Europe har anlagt sag til prøvelse af denne afgørelse ved hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien), der er den forelæggende ret. IAB Europe har for denne ret nedlagt påstand om annullation af afgørelsen af 2. februar 2022. IAB Europe har bl.a. bestridt, at foreningen har handlet som dataansvarlig. IAB Europe har ligeledes gjort gældende, at for så vidt som denne afgørelse fastslår, at TC String udgør en personoplysning som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), er den unuanceret og ikke tilstrækkeligt begrundet, og at den under alle omstændigheder er fejlagtig. IAB Europe har navnlig fremhævet, at det kun er de øvrige brugere af TCF, der kan kombinere TC String med en IP-adresse med henblik på at omdanne denne streng til en personoplysning, at TC String ikke er brugerspecifik, og at IAB Europe ikke selv har mulighed for at få adgang til de oplysninger, der i denne sammenhæng behandles af foreningens medlemmer.

29 Databeskyttelsesmyndigheden, der inden for rammerne af den nationale sag støttes af Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom og Ligue des droits Humains VZW, har bl.a. gjort gældende, at TC String udgør personoplysninger, for så vidt som platformene til forvaltning af samtykke kan binde TC String til IP-adresser, at brugerne af TCF derudover ligeledes kan identificere brugere på baggrund af andre data, at IAB Europe har adgang til de nødvendige oplysninger med henblik herpå, og at denne identifikation af en bruger netop er formålet med TC String, der er beregnet til at fremme salget af målrettede reklamer. Databeskyttelsesmyndigheden har endvidere bl.a. gjort gældende, at den omstændighed, at IAB Europe skal anses for dataansvarlig som omhandlet i databeskyttelsesforordningen, fremgår af foreningens afgørende rolle i behandlingen af TC String. Databeskyttelsesmyndigheden har tilføjet, at denne forening fastsætter henholdsvis formålene med og hjælpemidlerne til behandlingen, den måde, hvorpå TC String genereres, ændres og læses, hvordan og hvor de nødvendige cookies lagres, hvem der modtager personoplysningerne, og de kriterier, der ligger til grund for opbevaring af TC String.

30 Den forelæggende ret er i tvivl om, hvorvidt en TC String, uanset om den kombineres med en IP-adresse eller ej, udgør en personoplysning, og i bekræftende fald, om IAB Europe skal anses for ansvarlig for behandling af personoplysninger inden for rammerne af TCF, navnlig med hensyn til behandlingen af en TC String. I denne henseende har den forelæggende ret påpeget, at selv om det er korrekt, at afgørelsen af 2. februar 2022 afspejler den fælles holdning, som de forskellige nationale tilsynsmyndigheder, der er berørt i det foreliggende tilfælde, har vedtaget i fællesskab, har domstolen imidlertid endnu ikke haft mulighed for at udtale sig om den nye indgribende teknologi, som en TC String repræsenterer.

31 På denne baggrund har hof van beroep te Brussel (appeldomstolen i Bruxelles) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) a) Skal [databeskyttelsesforordningens] artikel 4, nr. 1[)], [...], sammenholdt med [chartrets] artikel 7 og 8 [...], fortolkes således, at en tegnrække, som på en struktureret og maskinlæsbar måde fanger en internetbrugers præferencer i forbindelse med behandlingen af dennes personoplysninger, udgør en personoplysning som omhandlet i førnævnte bestemmelse i forhold til (1) en brancheorganisation, der stiller en standard til rådighed for sine medlemmer, hvormed den oplyser disse om, hvorledes den førnævnte tegnrække skal genereres, lagres og/eller distribueres, og (2) de parter, der har implementeret denne standard på deres websites eller i deres [applikationer], og på denne måde får adgang til denne tegnrække?

b) Har det herved nogen betydning, at implementeringen af standarden medfører, at denne tegnrække er til rådighed sammen med en IP-adresse?

c) Skal [det første spørgsmåls delspørgsmål] a) + b) besvares anderledes, såfremt denne regelgivende brancheorganisation ikke selv har nogen lovmæssig adgang til de personoplysninger, som inden for denne standard behandles af dens medlemmer?

2) a) Skal [databeskyttelsesforordningens] artikel 4, nr. 7), og artikel 24, nr.1), [...], sammenholdt med [chartrets] artikel 7 og 8 [...], fortolkes således, at en regelgivende brancheorganisation må kvalificeres som dataansvarlig, såfremt den til sine medlemmer tilbyder en standard til administrationen af samtykker, som ud over en bindende teknisk ramme indeholder forskrifter, hvori det detaljeret fastsættes, hvorledes oplysninger om disse personers samtykke, som indeholder personoplysninger, skal lagres og distribueres?

b) Skal [det andet spørgsmåls delspørgsmål] a) besvares anderledes, såfremt denne brancheorganisation ikke selv har nogen lovmæssig adgang til de personoplysninger, som inden for denne standard behandles af dens medlemmer?

c) Såfremt den regelgivende brancheorganisation skal angives som dataansvarlig eller fælles dataansvarlig ved behandlingen af internetbrugeres præferencer, omfatter den regelgivende brancheorganisations (fælles) ansvar [da] også automatisk tredjemands [efter]følgende behandlinger, hvortil internetbrugernes præferencer blev erhvervet, såsom målrettet online[-]annoncering fra udgivere og leverandører?«

Om det første spørgsmål

32 Med sit første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 1), skal fortolkes således, at en bogstavs- og tegnrække, såsom TC String, der indeholder en internet- eller applikationsbrugers præferencer vedrørende den pågældende brugers samtykke til, at udbydere af internetsider eller ‑applikationer og datamæglere samt reklameplatforme kan behandle personoplysninger om vedkommende, udgør en personoplysning som omhandlet i denne bestemmelse, når en sektororganisation har fastlagt rammerne for de regler, i henhold til hvilke denne række skal genereres, lagres eller formidles, og medlemmerne af en sådan organisation har gennemført de omhandlede regler og dermed har adgang til den nævnte række. Den forelæggende ret ønsker ligeledes oplyst, om det med henblik på besvarelsen af dette spørgsmål for det første er afgørende, om den nævnte kæde er forbundet med en identifikator, såsom bl.a. IP-adressen på den berørte brugers udstyr, der gør det muligt at identificere den registrerede, og for det andet, om en sådan brancheorganisation har ret til direkte adgang til de personoplysninger, der behandles af dens medlemmer inden for rammerne af de regler, som den har fastsat.

33 Det skal indledningsvis bemærkes, at eftersom databeskyttelsesforordningen har ophævet og erstattet Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31), og da de relevante bestemmelser i denne forordning i det væsentlige har samme rækkevidde som de relevante bestemmelser i direktivet, finder Domstolens praksis vedrørende direktivet principielt ligeledes anvendelse på forordningen (dom af 17.6.2021, M.I.C.M., C-597/19, EU:C:2021:492, præmis 107).

34 Det skal ligeledes bemærkes, at det fremgår af fast praksis, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af (dom af 22.6.2023, Pankki S, C-579/21, EU:C:2023:501, præmis 38 og den deri nævnte retspraksis).

35 Det skal i denne henseende bemærkes, at det fremgår af databeskyttelsesforordningens artikel 4, nr. 1), at der ved personoplysninger forstås »enhver form for information om en identificeret eller identificerbar fysisk person«, og at bestemmelsen præciserer, at der »ved »identificerbar fysisk person« forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online[-]identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

36 Anvendelsen af udtrykket »enhver form for information« i definitionen af begrebet »personoplysninger«, som fremgår af denne bestemmelse, afspejler EU-lovgivers hensigt om at give begrebet en bred betydning, således at det potentielt omfatter enhver form for information, både objektiv og subjektiv i form af meningstilkendegivelser eller bedømmelser, forudsat at informationen er »om« den pågældende person (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369 præmis 23 og den deri nævnte retspraksis).

37 I denne henseende har Domstolen fastslået, at en information vedrører en identificeret eller identificerbar fysisk person, hvis den på grund af sit indhold, formål eller virkning er knyttet til en identificerbar person (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 24 og den deri nævnte retspraksis).

38 For så vidt angår karakteriseringen af en oplysning om en person som »identificerbar« fremgår det af ordlyden af databeskyttelsesforordningens artikel 4, nr. 1), at der ved identificerbar person forstås en person, der ikke bare direkte, men også indirekte kan identificeres.

39 Som Domstolen allerede har fastslået, synes EU-lovgivers brug af ordet »indirekte« at indikere, at det for at kvalificere en oplysning som personoplysning ikke er nødvendigt, at denne oplysning i sig selv gør det muligt at identificere den registrerede (jf. analogt dom af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 41). Det fremgår tværtimod af databeskyttelsesforordningens artikel 4, nr. 5), sammenholdt med 26. betragtning hertil, at personoplysninger, der kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person (dom af 5.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, præmis 58).

40 Derudover præciseres det i 26. betragtning, at for at afgøre, om en person er »identificerbar«, bør »alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende«. Denne ordlyd antyder, at for at en oplysning kan kvalificeres som »personoplysning« som omhandlet i denne forordnings artikel 4, nr. 1), er det ikke påkrævet, at alle de oplysninger, der gør det muligt at identificere den registrerede, skal befinde sig hos en enkelt person (jf. analogt dom af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 43).

41 Det følger heraf, at definitionen af begrebet »personoplysninger« ikke kun omfatter de oplysninger, der indsamles og opbevares af den dataansvarlige, men ligeledes alle oplysninger, som hidrører fra en behandling af personoplysninger, der vedrører en identificeret eller identificerbar person (dom af 22.6.2023, Pankki S, C-579/21, EU:C:2023:501, præmis 45).

42 I det foreliggende tilfælde skal det bemærkes, at en bogstavs- og tegnrække, såsom TC String, indeholder en internet- eller applikationsbrugers præferencer vedrørende den pågældendes samtykke til, at tredjeparter behandler personoplysninger om vedkommende eller vedrørende dennes eventuelle indsigelse mod en behandling af sådanne oplysninger, der er baseret på en påstået legitim interesse som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra f).

43 Selv om en TC String ikke i sig selv indeholder oplysninger, der gør det muligt direkte at identificere den registrerede, forholder det sig for det første ikke desto mindre således, at TC String indeholder en specifik brugers individuelle præferencer vedrørende den pågældende brugers samtykke til behandling af personoplysninger om vedkommende, idet der er tale om »en [...] fysisk person« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1).

44 For det andet er det ligeledes ubestridt, at når de oplysninger, der er indeholdt i en TC String, er forbundet med en identifikator, såsom bl.a. IP-adressen på en sådan brugers udstyr, kan de gøre det muligt at skabe en profil på den nævnte bruger og effektivt identificere den person, der specifikt er berørt af sådanne oplysninger.

45 For så vidt som en kombination af en bogstavs- og tegnrække, såsom TC String, og yderligere oplysninger, heriblandt oplysninger om en brugers apparats IP-adresse, eller andre identifikatorer, gør det muligt at identificere den berørte bruger, skal det fastslås, at TC String indeholder oplysninger om en identificerbar bruger og således udgør en personoplysning som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), hvilket understøttes af 30. betragtning til databeskyttelsesforordningen, der udtrykkeligt omhandler et sådant tilfælde.

46 Denne fortolkning kan ikke drages i tvivl af den blotte omstændighed, at IAB Europe ikke selv kan kombinere TC String med IP-adressen på en brugers apparat og ikke har mulighed for at få direkte adgang til de oplysninger, som dets medlemmer behandler inden for rammerne af TCF.

47 Som det fremgår af den retspraksis, der er nævnt i nærværende doms præmis 40, er en sådan omstændighed nemlig ikke til hinder for, at en TC String kan kvalificeres som »personoplysning« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1).

48 Det fremgår i øvrigt af de sagsakter, som Domstolen råder over, og navnlig af afgørelsen af 2. februar 2022, at IAB Europes medlemmer er forpligtet til efter anmodning at meddele IAB Europe alle de oplysninger, der gør det muligt for selskabet at identificere de brugere, hvis oplysninger fremgår af en TC String.

49 Med forbehold for den efterprøvelse, som det tilkommer den forelæggende ret at foretage i denne henseende, fremgår det således, at IAB Europe i overensstemmelse med det i 26. betragtning til databeskyttelsesforordningen anførte råder over rimelige midler til at identificere en bestemt fysisk person ud fra en TC String ved hjælp af de oplysninger, som IAB Europes medlemmer og andre organisationer, der deltager i TCF, er forpligtede til at meddele IAB Europe.

50 Det følger af det ovenstående, at en TC String udgør personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1). Det er i denne forbindelse uden betydning, at en sådan brancheorganisation uden et eksternt bidrag, som den har ret til at kræve, hverken kan få adgang til de oplysninger, som dens medlemmer behandler i henhold til de regler, som organisationen har fastsat, eller kombinere TC String med andre identifikatorer, såsom navnlig IP-adressen på en brugers udstyr.

51 Henset til det ovenstående skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 1), skal fortolkes således, at en bogstavs- og tegnrække, såsom TC String, der indeholder en internet- eller applikationsbrugers præferencer vedrørende den pågældende brugers samtykke til, at udbydere af internetsider eller ‑applikationer og datamæglere samt reklameplatforme kan behandle personoplysninger om vedkommende, udgør en personoplysning som omhandlet i denne bestemmelse, når denne personoplysning ved brug af rimelige midler kan forbindes med en identifikator, såsom bl.a. IP-adressen på den berørte brugers udstyr, der gør det muligt at identificere den registrerede. Den omstændighed, at en brancheorganisation, der er indehaver af en sådan bogstavs- og tegnrække, uden et eksternt bidrag, hverken kan få adgang til de oplysninger, som dens medlemmer behandler i henhold til de regler, som organisationen har fastsat, eller kombinere den pågældende bogstavs- og tegnrække med andre identifikatorer, er ikke til hinder for, at samme kæde udgør en personoplysning som omhandlet i denne bestemmelse.

Det andet spørgsmål

52 Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 7):

– for det første skal fortolkes således, at en brancheorganisation, for så vidt som den tilbyder sine medlemmer en ramme af regler, som den har fastsat vedrørende samtykke til behandling af personoplysninger, der ikke blot indeholder bindende tekniske forskrifter, men ligeledes forskrifter, hvori det detaljeret fastsættes, hvorledes personoplysninger om dette samtykke skal lagres og distribueres, skal anses for at være »dataansvarlig« som omhandlet i denne bestemmelse, og om det med henblik på besvarelsen af dette spørgsmål er vigtigt, at en sådan brancheorganisation selv har direkte adgang til de personoplysninger, som dens medlemmer behandler inden for rammerne af de nævnte regler?

– for det andet skal fortolkes således, at denne brancheorganisations ansvar, såfremt den anses for fælles dataansvarlig, automatisk omfatter [efter]følgende behandlinger af personoplysninger vedrørende brugerens præferencer, der med henblik på målrettet online-reklame foretages af tredjeparter, såsom udbydere af internetsider eller ‑applikationer?

53 Det skal indledningsvis bemærkes, at det formål, der forfølges med databeskyttelsesforordningen, som det fremgår af dens artikel 1 samt første og tiende betragtning hertil, bl.a. består i at sikre et højt beskyttelsesniveau for fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til privatliv i forbindelse med behandlingen af personoplysninger, som er fastsat i chartrets artikel 8, stk. 1, og i artikel 16, stk. 1, TEUF (dom af 4.5.2023, Bundesrepublik Deutschland (Domstolenes elektroniske postkasse), C-60/22, EU:C:2023:373, præmis 64).

54 I overensstemmelse med dette formål definerer databeskyttelsesforordningens artikel 4, nr. 7), begrebet »dataansvarlig« bredt som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

55 Som Domstolen allerede har fastslået, er formålet med denne bestemmelse at sikre en effektiv og fuldstændig beskyttelse af de berørte personer ved at fastsætte en bred definition af begrebet »ansvarlig« (jf. analogt dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 28).

56 Da det desuden er udtrykkeligt bestemt i databeskyttelsesforordningens artikel 4, nr. 7), at begrebet »den dataansvarlige« omfatter det organ, der »alene eller sammen med andre« afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, henviser dette begreb ikke nødvendigvis til et enkelt organ og kan vedrøre flere aktører, som deltager i denne behandling, og derfor er de alle undergivet de anvendelige bestemmelser om databeskyttelse (jf. analogt dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 29, og af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 65).

57 Domstolen har ligeledes fastslået, at en fysisk eller juridisk person, der til eget formål udøver indflydelse på behandlingen af personoplysninger og grundet den omstændighed deltager i fastlæggelsen af formålene med og hjælpemidlerne ved denne behandling, til gengæld kan anses for dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7) (jf. analogt dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 68). I henhold til databeskyttelsesforordningens artikel 26, stk. 1, er der tale om »fælles dataansvarlige«, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling (dom af 5.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, præmis 40).

58 Det skal i denne forbindelse bemærkes, at hvis enhver fælles dataansvarlig selvstændigt skal leve op til den definition af »dataansvarlig«, der er fastsat i databeskyttelsesforordningens artikel 4, nr. 7), indebærer tilstedeværelsen af et fælles ansvar ikke nødvendigvis, at forskellige aktører har samme ansvar for den samme behandling af personoplysninger. De forskellige aktører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen. Derudover forudsætter et fælles ansvar for flere aktører for den samme behandling som omhandlet i denne bestemmelse ikke, at hver af disse har adgang til de omhandlede personoplysninger (jf. analogt dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 66 og 69 og den deri nævnte retspraksis).

59 Deltagelse i fastlæggelsen af formålene med og hjælpemidlerne til behandlingen kan antage forskellige former, idet en sådan deltagelse kan følge af såvel en fælles beslutning truffet af to eller flere enheder som af sådanne enheders konvergerende beslutninger. I sidstnævnte tilfælde skal disse beslutninger imidlertid supplere hinanden på en sådan måde, at de har en mærkbar indvirkning på fastlæggelsen af formålene med og hjælpemidlerne til behandling. Det kan derimod ikke kræves, at der foreligger en formel ordning mellem disse dataansvarlige om formålene med og hjælpemidlerne til behandling (dom af 5.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, præmis 43 og 44).

60 På baggrund af det ovenstående skal det andet spørgsmåls første led omformuleres således, at det hermed ønskes oplyst, om en brancheorganisation som IAB Europe kan anses for at være en fælles dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1.

61 Med henblik herpå skal det derfor vurderes, om IAB Europe, henset til de særlige omstændigheder i den foreliggende sag, til egne formål øver indflydelse på behandlingen af personoplysninger, såsom TC String, og i fællesskab med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages en sådan behandling.

62 Hvad for det første angår formålene med en sådan behandling af personoplysninger – med forbehold for den efterprøvelse, som det tilkommer den forelæggende ret at foretage – fremgår det af de sagsakter, som Domstolen råder over, således som det er anført i nærværende doms præmis 21 og 22, at den ramme for gennemsigtighed og samtykke, der er oprettet af IAB Europe, udgør en regelramme, der har til formål at sikre, at en behandling af personoplysninger vedrørende en bruger af et websted eller en applikation, der foretages af visse operatører, som deltager i en online-auktion af reklamepladser, er i overensstemmelse med databeskyttelsesforordningen.

63 Under disse omstændigheder har TCF i det væsentlige til formål at fremme og muliggøre de nævnte operatørers salg og køb af reklameplads på internettet.

64 Med forbehold af den efterprøvelse, som det påhviler den forelæggende ret at foretage, kan det derfor lægges til grund, at IAB Europe til egne formål påvirker de i hovedsagen omhandlede behandlinger af personoplysninger og derfor sammen med sine medlemmer fastlægger formålene med sådanne aktiviteter.

65 Hvad for det andet angår de midler, der anvendes til en sådan behandling af personoplysninger, fremgår det af de sagsakter, som Domstolen råder over – med forbehold af den efterprøvelse, som det tilkommer den forelæggende ret at foretage – at TCF udgør en regelramme, som medlemmerne af IAB Europe skal acceptere for at blive medlem af denne forening. Som IAB Europe har bekræftet under retsmødet for Domstolen, kan IAB Europe, hvis et af dens medlemmer ikke overholder reglerne for TCF, over for dette medlem vedtage en afgørelse om manglende overensstemmelse og suspension, som kan føre til udelukkelse af det nævnte medlem af TCF og dermed forhindre det berørte medlem i at påberåbe sig den garanti for overensstemmelse med databeskyttelsesforordningen, som denne ordning skal give i forbindelse med den behandling af personoplysninger, som IAB Europe foretager ved hjælp af TC String.

66 Desuden indeholder TCF, der er oprettet af IAB Europe, ud fra et praktisk synspunkt, som nævnt i denne doms præmis 21, tekniske specifikationer vedrørende behandlingen af TC String. Det fremgår navnlig, at disse specifikationer præcist beskriver, hvordan platforme til forvaltning af samtykke er forpligtede til at indsamle brugernes præferencer vedrørende behandling af deres personoplysninger, og hvordan sådanne præferencer skal behandles for at generere en TC String. Der er desuden fastsat præcise regler for så vidt angår indholdet af TC String og opbevaringen samt delingen heraf.

67 Det fremgår bl.a. af afgørelsen af 2. februar 2022, at IAB Europe inden for rammerne af disse regler bl.a. foreskriver den standardiserede måde, hvorpå de forskellige parter, der er involveret i TCF, kan konsultere præferencerne, indsigelserne og samtykket fra de brugere, der fremgår af TC String.

68 Under disse omstændigheder og med forbehold for den efterprøvelse, som det tilkommer den forelæggende ret at foretage, skal det fastslås, at en brancheorganisation som IAB Europe til egne formål påvirker de i hovedsagen omhandlede behandlinger af personoplysninger og derfor sammen med sine medlemmer fastlægger de midler, der ligger til grund for sådanne aktiviteter. Det følger heraf, at IAB Europe skal anses for at være den »fælles dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, i overensstemmelse med den retspraksis, der er nævnt i nærværende doms præmis 57.

69 Den omstændighed, som den forelæggende ret har henvist til, hvorefter en sådan brancheorganisation ikke selv har direkte adgang til TC String og således til de personoplysninger, der inden for rammerne af de nævnte regler behandles af brancheorganisations medlemmer, med hvilke denne organisation i fællesskab afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af disse oplysninger, er ikke til hinder for, at organisationen kan kvalificeres som »dataansvarlig« som omhandlet i den nævnte bestemmelse, jf. den retspraksis, der er nævnt i denne doms præmis 58.

70 Som svar på den forelæggende rets tvivl skal det udelukkes, at den nævnte brancheorganisations eventuelle fælles ansvar automatisk omfatter efterfølgende behandlinger af personoplysninger, der foretages af tredjeparter, såsom udbydere af internetsider eller ‑applikationer, for så vidt angår brugernes præferencer med henblik på målrettet online-reklame.

71 Det skal i denne forbindelse for det første bemærkes, at databeskyttelsesforordningens artikel 4, nr. 2), definerer »behandling« af personoplysninger som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse«.

72 Det fremgår af denne definition, at en behandling af personoplysninger kan bestå af en eller flere aktiviteter, der hver især knytter sig til et andet trin i denne behandling.

73 For det andet følger det, som Domstolen allerede har fastslået, af databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, at en fysisk eller juridisk person kun kan betragtes som fælles ansvarlig for behandlingen af personoplysninger, hvis den pågældende i fællesskab fastlægger formålene og hjælpemidlerne hertil. Derimod og med forbehold for et eventuelt erstatningsansvar i henhold til national ret i denne henseende kan denne fysiske eller juridiske person ikke anses for at være den registeransvarlige som omhandlet i nævnte bestemmelser, for aktiviteter, der indtræder før eller efter rækken af behandlinger, og vedrørende hvilke den pågældende hverken fastlægger formål eller hjælpemidler (jf. analogt dom af 29.7.2019, Fashion ID, C-40/17, EU:C:2019:629, præmis 74).

74 I det foreliggende tilfælde skal der sondres mellem på den ene side den behandling af personoplysninger, der foretages af IAB Europes medlemmer, dvs. udbydere af internetsider eller ‑applikationer og datamæglere eller reklameplatforme, når de berørte brugeres samtykkepræferencer registreres i en TC String i henhold til de regler, der er fastsat i TCF, og på den anden side den efterfølgende behandling af personoplysninger, der foretages af disse operatører og af tredjemænd på grundlag af de nævnte præferencer, såsom f.eks. videregivelse af oplysningerne til tredjemand eller personlige reklametilbud til disse brugere.

75 Med forbehold af den efterprøvelse, som det tilkommer den forelæggende ret at foretage, synes denne efterfølgende behandling nemlig ikke at indebære en deltagelse fra IAB Europes side, hvorfor det kan udelukkes, at en sådan organisation, sammen med de nævnte operatører og tredjemænd, er automatisk ansvarlig for den behandling af personoplysninger, der foretages på grundlag af de oplysninger om de berørte brugeres præferencer, der er indeholdt i en TC String.

76 En brancheorganisation som IAB Europe kan således kun anses for at være ansvarlig for sådanne efterfølgende behandlinger, når det er godtgjort, at denne organisation har haft indflydelse på fastlæggelsen af de forskrifter, hvori det detaljeret fastsættes, hvorledes oplysninger skal lagres og distribueres, hvilket det påhviler den forelæggende ret at efterprøve under hensyn til alle de relevante omstændigheder i hovedsagen.

77 Henset til samtlige ovenstående betragtninger skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, skal fortolkes således, at:

– For så vidt som en brancheorganisation tilbyder sine medlemmer en ramme af regler, som den har fastsat vedrørende samtykke til behandling af personoplysninger, der ikke blot indeholder bindende tekniske forskrifter, men ligeledes forskrifter, hvori det detaljeret fastsættes, hvorledes personoplysninger om dette samtykke skal lagres og distribueres, skal den for det første anses for at være »fælles dataansvarlig« som omhandlet i disse bestemmelser, såfremt den pågældende brancheorganisation, henset til de særlige omstændigheder i den foreliggende sag, til egne formål har indflydelse på behandlingen af personoplysninger og som følge heraf sammen med sine medlemmer afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Den omstændighed, at en sådan brancheorganisation ikke selv har direkte adgang til de personoplysninger, som dens medlemmer behandler inden for rammerne af de nævnte regler, er ikke til hinder for, at den kan anses for fælles dataansvarlig som omhandlet i disse bestemmelser.

– Den nævnte brancheorganisations fælles ansvar omfatter for det andet ikke automatisk efterfølgende behandlinger af personoplysninger, der foretages af tredjeparter, såsom udbydere af internetsider eller ‑applikationer, for så vidt angår brugernes præferencer med henblik på målrettet online-reklame.

Sagsomkostninger

78 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Fjerde Afdeling) for ret:

1) Artikel 4, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en bogstavs- og tegnrække, såsom TC String (Transparency and Consent String), der indeholder en internet- eller applikationsbrugers præferencer vedrørende den pågældende brugers samtykke til, at udbydere af internetsider eller ‑applikationer og datamæglere samt reklameplatforme kan behandle personoplysninger om vedkommende, udgør en personoplysning som omhandlet i denne bestemmelse, når denne personoplysning ved brug af rimelige midler kan forbindes med en identifikator, såsom bl.a. IP-adressen på den berørte brugers udstyr, der gør det muligt at identificere den registrerede. Den omstændighed, at en brancheorganisation, der er indehaver af en sådan bogstavs- og tegnrække, uden et eksternt bidrag, hverken kan få adgang til de oplysninger, som dens medlemmer behandler i henhold til de regler, som organisationen har fastsat, eller kombinere den pågældende bogstavs- og tegnrække med andre identifikatorer, er ikke til hinder for, at samme kæde udgør en personoplysning som omhandlet i denne bestemmelse.

2) Artikel 4, nr. 7), og artikel 26, stk. 1, i forordning 2016/679

skal fortolkes således, at

– for så vidt som en brancheorganisation tilbyder sine medlemmer en ramme af regler, som den har fastsat vedrørende samtykke til behandling af personoplysninger, der ikke blot indeholder bindende tekniske forskrifter, men ligeledes forskrifter, hvori det detaljeret fastsættes, hvorledes personoplysninger om dette samtykke skal lagres og distribueres, skal den for det første anses for at være »fælles dataansvarlig« som omhandlet i disse bestemmelser, såfremt den pågældende brancheorganisation, henset til de særlige omstændigheder i den foreliggende sag, til egne formål har indflydelse på behandlingen af personoplysninger og som følge heraf sammen med sine medlemmer afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; den omstændighed, at en sådan brancheorganisation ikke selv har direkte adgang til de personoplysninger, som dens medlemmer behandler inden for rammerne af de nævnte regler, er ikke til hinder for, at den kan anses for fælles dataansvarlig som omhandlet i disse bestemmelser

– den nævnte brancheorganisations fælles ansvar for det andet ikke omfatter automatisk efterfølgende behandlinger af personoplysninger, der foretages af tredjeparter, såsom udbydere af internetsider eller ‑applikationer, for så vidt angår brugernes præferencer med henblik på målrettet online-reklame.

Underskrifter

* Processprog: nederlandsk.