FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. BOBEK

fremsat den 19. december 2018(1)

Sag C-40/17

Fashion ID GmbH & Co. KG

mod

Verbraucherzentrale NRW e.V.

procesdeltagere:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

(anmodning om præjudiciel afgørelse indgivet af Oberlandesgericht Düsseldorf (den regionale appeldomstol i Düsseldorf, Tyskland))

»Præjudiciel forelæggelse – direktiv 95/46/EF – beskyttelse af hjemmesidebrugeres personoplysninger – en forbrugerbeskyttelsesorganisations søgsmålsret – en hjemmesideoperatørs ansvar – overførsel af personoplysninger til tredjemand – integreret plug-in – Facebook »synes godt om«-knap – legitime interesser – den registreredes samtykke – oplysningspligt«

I.      Indledning

1.        Fashion ID GmbH & Co. KG er en onlinedetailhandler, der sælger modeartikler. Selskabet integrerede en plug-in i sin hjemmeside: Facebooks »synes godt om«-knap. Når en bruger havner på Fashion ID’s hjemmeside, overføres denne brugers IP-adresse og browserstring som følge heraf til Facebook. Denne overførsel sker automatisk, når Fashion ID’s hjemmeside er indlæst, uafhængigt af, om brugeren har klikket på »synes godt om«-knappen, og uanset om denne har en Facebook-konto.

2.        Verbraucherzentrale NRW e.V., en tysk forbrugerbeskyttelsesorganisation, anlagde sag mod Fashion ID med påstand om forbud med den begrundelse, at anvendelsen af denne plug-in udgør et brud på databeskyttelseslovgivningen.

3.        Oberlandesgericht Düsseldorf (den regionale appeldomstol i Düsseldorf, Tyskland), for hvilken sagen er indbragt, har anmodet om fortolkning af flere bestemmelser i direktiv 95/46/EF (herefter »direktiv 95/46«) (2). Indledningsvis ønsker den forelæggende ret oplyst, om dette direktiv giver mulighed for, at national lovgivning indrømmer en forbrugerorganisation søgsmålsret til at indbringe en sag som den omhandlede. Hvad angår realiteten er det centrale spørgsmål, om Fashion ID skal klassificeres som en »registeransvarlig« med hensyn til den databehandling, der finder sted, og i givet fald præcist hvordan de individuelle forpligtelser, der er fastsat i direktiv 95/46, skal opfyldes i et sådant tilfælde. Hvis legitime interesser skal vurderes ved den afvejning, der kræves i henhold til artikel 7, litra f), i direktiv 95/46? Har Fashion ID en pligt til at oplyse registrerede om behandlingen? Og er det også Fashion ID, som skal indsamle registreredes informerede samtykke i denne henseende?

II.    Retsforskrifter

A.      EU-retten

Direktiv 95/46

4.        Formålet med direktiv 95/46 er fastsat i dets første artikel. Artikel 1, stk. 1, har følgende ordlyd: »Medlemsstaterne sikrer […] beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger«. Samme bestemmelse fastsætter i stk. 2: »Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne«.

5.        Artikel 2 indeholder følgende definitioner:

»a)      »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet

b)      »behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse

[…]

d)      »den registeransvarlige« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved nationale love eller forskrifter eller på fællesskabsplan, kan den registeransvarlige, eller de specifikke kriterier for udpegelse af denne, angives i den pågældende nationale ret eller i fællesskabsretten

[…]

h)      »den registreredes samtykke« enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.«

6.        Artikel 7 fastsætter principper vedrørende grundlaget for behandling af oplysninger: »Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted hvis:

a)      der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller

[…]

f)      behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor.«

7.        Artikel 10 fastsætter det minimum af oplysninger, som den registrerede skal have:

»Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes repræsentant skal give den person, hos og om hvem der indsamles oplysninger, mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder, hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:

a)      den registeransvarliges og eventuelt dennes repræsentants identitet

b)      formålene med den behandling, hvortil oplysningerne er bestemt

c)      alle yderligere informationer som f.eks.

–        modtagerne eller kategorierne af modtagere

–        om det er obligatorisk eller frivilligt at besvare spørgsmålene samt mulige følger af ikke at svare

–        hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.«

8.        Kapitel III i direktiv 95/46 vedrører retsmidler, ansvar og sanktioner. Artikel 22-24, som er indeholdt deri, fastsætter følgende:

»Artikel 22

Klageadgang

Uden at foregribe muligheden for at iværksætte administrativ klage, herunder for den tilsynsmyndighed, der er nævnt i artikel 28, inden forelæggelse for retsinstanser, fastsætter medlemsstaterne bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den pågældende behandling.

Artikel 23

Ansvar

1.      Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige.

2.      Den registeransvarlige kan helt eller delvis fritages for erstatningsansvar for skade, hvis han beviser, at han ikke er skyld i den begivenhed, der medførte skaden.

Artikel 24

Sanktioner

Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang, og de fastsætter bl.a. de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til dette direktivs gennemførelse.«

B.      Tysk ret

Gesetz gegen den unlauteren Wettbewerb

9.        § 3, stk. 1, i Gesetz gegen den unlauteren Wettbewerb (lov mod illoyal konkurrence, herefter »UWG«) fastsætter, at ulovlig handelspraksis er forbudt.

10.      UWG’s § 8, stk. 1, og stk. 3, nr. 3, fastsætter, at ulovlig handelspraksis kan sanktioneres med et påbud om ophør eller med et forbud begæret af »godkendte organer/organisationer« opregnet i Unterlassungsklagengesetz (lov om søgsmål med påstand om forbud) eller i Europa-Kommissionens fortegnelse i henhold til artikel 4, stk. 3, i direktiv 2009/22/EF om søgsmål med påstand om forbud på området beskyttelse af forbrugernes interesser (3).

Unterlassungsklagengesetz

11.      § 2, stk. 1, og stk. 2, nr. 11, i Unterlassungsklagengesetz (lov om søgsmål med påstand om forbud) fastsætter:

»1.      Den, som på anden måde end ved anvendelse eller anbefaling af almindelige forretningsbetingelser handler i strid med bestemmelser, som tjener forbrugerbeskyttelsen (forbrugerbeskyttelseslove), kan af hensyn til forbrugerbeskyttelsen indklages med påstand om forbud og afhjælpning.

2.      Forbrugerbeskyttelseslove som omhandlet i denne bestemmelse er navnlig:

[…]

11.      bestemmelserne om lovligheden af

a)      en erhvervsdrivendes indsamling af en forbrugers personoplysninger eller

b)      en erhvervsdrivendes behandling eller anvendelse af personoplysninger, som er indsamlet om en forbruger,

såfremt oplysningerne indsamles, behandles eller anvendes til reklameformål, markeds- og opinionsforskning, drift af et oplysningsbureau, udarbejdelse af personligheds- og brugerprofiler, adressehandel, anden handel med oplysninger eller sammenlignelige kommercielle formål.«

Telemediengesetz

12.      § 2, stk. 1, i Telemediengesetz (telekommunikationsloven, herefter »TMG«) fastsætter som følger:

»I denne lov forstås ved

1.      en tjenesteudbyder: enhver fysisk eller juridisk person, som udbyder egne eller fremmede telemedier til benyttelse eller formidler adgang til benyttelsen […]«

13.      TMG’s § 12, stk. 1, fastsætter, at: »Tjenesteudbyderen må kun indsamle og anvende personoplysninger med henblik på at give adgang til telekommunikationstjenester, i det omfang dette er tilladt i henhold til denne lov eller en anden retsforskrift, der udtrykkelig vedrører telekommunikationstjenester, eller brugeren har givet sit samtykke hertil.«

14.      TMG’s § 13, stk. 1, fastsætter som følger:

»Tjenesteudbyderen skal ved sessionens begyndelse informere brugeren om arten, omfanget og formålet med at indsamle og anvende personoplysninger samt om behandlingen af hans oplysninger i stater uden for anvendelsesområdet for [direktiv 95/46] i almindeligt forståelig form, medmindre en sådan orientering allerede har fundet sted. I forbindelse med automatiserede procedurer, som muliggør en senere identifikation af brugeren og forbereder indsamling eller anvendelse af personoplysninger, skal brugeren orienteres allerede ved begyndelsen af denne procedure. Brugeren skal til enhver tid kunne hente indholdet af denne orientering.«

15.      I henhold til TMG’s § 15, stk. 1:

»Tjenesteudbyderen må kun indsamle og anvende personoplysninger om en bruger i det omfang, dette er nødvendigt for at give adgang til telekommunikationstjenester og afregne herfor (data om brugen). Data om brugen er navnlig:

1.      karakteristika til identifikation af brugeren

2.      oplysninger om påbegyndelse og afslutning af den pågældende brug og omfanget af brugen og

3.      oplysninger om de telekommunikationstjenester, som brugeren har anvendt.«

III. Faktiske omstændigheder, retsforhandlinger og de præjudicielle spørgsmål

16.      Fashion ID (herefter »sagsøgte«) er en onlinedetailhandler. Selskabet sælger modeartikler på sin hjemmeside. Sagsøgte integrerede »synes godt om«-knappen, som stilles til rådighed af Facebook Ireland Limited (herefter »Facebook Ireland«)(4), i sin hjemmeside. Som følge heraf figurerer den såkaldte Facebook »synes godt om«-knap på sagsøgtes hjemmeside.

17.      Af forelæggelsesafgørelsen fremgår det videre, hvordan den (ikke synlige) del af plug-in’en fungerer: Når en besøgende havner på sagsøgtes hjemmeside, hvorpå Facebook »synes godt om«-knappen er placeret, sender vedkommendes browser automatisk oplysninger om den pågældendes IP-adresse og browserstring til Facebook Ireland. Overførslen af disse oplysninger sker, uden at det er nødvendigt at klikke på Facebook »synes godt om«-knappen. Det synes endvidere at fremgå af forelæggelsesafgørelsen, at Facebook Ireland placerer forskellige slags cookies (session-, datr- og fr-cookies) på brugerens medium, når sagsøgtes hjemmeside besøges.

18.      Verbraucherzentrale NRW (herefter »sagsøgeren«), der er en tysk forbrugerbeskyttelsesorganisation, anlagde sag mod sagsøgte ved Landgericht (regional ret i første instans, Tyskland). Sagsøgeren nedlagde påstand om, at sagsøgte tilpligtes at undlade at integrere Facebooks sociale plug-in »synes godt om«, med den begrundelse, at sagsøgte angiveligt har undladt:

»–      inden udbyderen af plug-in’en begynder at få adgang til brugerens IP-adresse og browserstring, udtrykkeligt og klart at oplyse brugerne af hjemmesiden om formålet med indsamlingen og anvendelsen af de således overførte oplysninger og/eller

–      at indhente samtykke fra brugerne af hjemmesiden til plug-in-udbyderens adgang til IP-adressen og browserstringen og til dataanvendelsen, før adgangen sker, og/eller

–      at oplyse brugerne, som har givet deres samtykke som omhandlet i anden påstand, om muligheden for til enhver tid at tilbagekalde dette med virkning for fremtiden og/eller

–      at oplyse, at »Hvis du er bruger af et socialt netværk og ikke ønsker, at det sociale netværk indsamler oplysninger om dig via vores hjemmeside og knytter disse til dine brugeroplysninger i det sociale netværk, skal du logge ud af det sociale netværk, før du besøger vores internetside«.«

19.      Sagsøgeren gjorde gældende, at Facebook Inc. eller Facebook gemmer IP-adressen eller browserstringen og knytter dem sammen med en bestemt bruger (medlem eller ikke-medlem). Sagsøgte gjorde heroverfor gældende at være uvidende herom. Facebook Ireland gjorde gældende, at IP-adressen ændres til en generisk IP-adresse og kun gemmes som sådan, og at IP-adressen og browserstringen ikke knyttes til brugerkonti.

20.      Landgericht (regional ret i første instans) tog sagsøgerens første tre påstande til følge. Sagsøgte appellerede. Sagsøgeren iværksatte kontraappel for så vidt angår fjerde påstand.

21.      Det er inden for disse faktiske og retlige rammer, at Oberlandesgericht Düsseldorf (den regionale appeldomstol i Düsseldorf, Tyskland) har besluttet at forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Er ordningen i artikel 22, 23 og 24 i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT [1995,] L 281, s. 31, […]) til hinder for en national bestemmelse, som foruden databeskyttelsesmyndighedernes muligheder for at gribe ind og den berørtes retsmidler indrømmer [almennyttige] forbrugerorganisationer beføjelse til at anlægge sag mod den krænkende?

Såfremt første spørgsmål besvares benægtende:

2)      Er det i en sag som den foreliggende, hvor en person integrerer en programkode i sin internetside, som får brugerens browser til at rekvirere indhold fra en tredjemand og til dette formål videresende personoplysninger til denne tredjemand, den integrerende person, som er »den registeransvarlige« som omhandlet i artikel 2, litra d), i [direktiv 95/46], hvis han ikke selv kan påvirke denne databehandlingsproces?

3)      Såfremt andet spørgsmål besvares benægtende: Skal artikel 2, litra d), i direktiv [95/46] fortolkes således, at den regulerer ansvar og kompetence endeligt i den forstand, at den er til hinder for et civilretligt krav mod en tredjemand, som ganske vist ikke er »den registeransvarlige«, men som etablerer årsagen til behandlingsprocessen uden at påvirke denne?

4)      Hvis »legitime interesse« skal der tages udgangspunkt i i en konstruktion som den foreliggende i forbindelse med den afvejning, der skal foretages i henhold til artikel 7, litra f), i direktiv [95/46]? Er det interessen i at integrere eksternt indhold eller tredjemandens interesse?

5)      Over for hvem skal det samtykke erklæres, som kræves i henhold til artikel 7, litra a), og artikel 2, litra h), i direktiv [95/46], i en sammenhæng som den foreliggende?

6)      Gælder oplysningspligten i artikel 10 i direktiv [95/46] i en situation som den foreliggende også operatøren af en hjemmeside, som har integreret en tredjemands indhold og dermed etablerer årsagen til tredjemandens behandling af personoplysninger?«

22.      Der er indgivet skriftlige indlæg af sagsøgeren, sagsøgte, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (delstatstilsynsførende for databeskyttelse og informationsfrihed i Nordrhein-Westfalen, Tyskland, herefter »LDI NW«), den belgiske, den tyske, den italienske, den østrigske og den polske regering samt af Kommissionen. Sagsøgeren, sagsøgte, Facebook Ireland, LDI NW, den belgiske, den tyske og den østrigske regering samt Kommissionen har afgivet mundtlige indlæg i retsmødet den 6. september 2018.

IV.    Bedømmelse

23.      I dette forslag til afgørelse er det mit standpunkt, at direktiv 95/46 ikke er til hinder for en national bestemmelse, som indrømmer en organisation, der har til formål at beskytte forbrugerne, såsom sagsøgeren, ret til at indbringe et søgsmål mod en formodet krænker af databeskyttelsesregler (A). Det er dernæst min opfattelse, at sagsøgte sammen med Facebook Ireland er fælles registeransvarlig dog med en begrænsning af sagsøgtes ansvar til et bestemt stadium af databehandlingen (B). Endvidere er det min opfattelse, at den afvejning, der skal foretages i henhold til artikel 7, litra f), i direktiv 95/46, kræver, at der ikke alene tages hensyn til sagsøgtes, men også til Facebook Irelands legitime interesser (samt selvfølgelig de registreredes rettigheder) (C). Ydermere skal den registreredes informerede samtykke med hensyn til et givent databehandlingsstadium erklæres over for sagsøgte. Endelig har sagsøgte en oplysningspligt over for den registrerede (D).

A.      National lovgivning, som indrømmer organisationer, der har til formål at beskytte forbrugernes interesser, søgsmålsret

24.      Med det første spørgsmål søger den forelæggende ret nærmere bestemt oplyst, om direktiv 95/46 er til hinder for en national bestemmelse, som giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod en person, der angiveligt overtræder databeskyttelsesreglerne. Den forelæggende ret har i denne henseende specifikt henvist til artikel 22-24 i direktiv 95/46. Den har anført, at de omhandlede nationale bestemmelser kan anses for at være en »nødvendig foranstaltning« som omhandlet i artikel 24. Den har herudover fremhævet, at forordning (EU) 2016/679 (herefter »databeskyttelsesforordningen«) (5), som har erstattet direktiv 95/46, nu udtrykkeligt tildeler en sådan ret til organisationer i dens artikel 80, stk. 2 (6).

25.      Sagsøgte og Facebook Ireland har gjort gældende, at direktiv 95/46 ikke giver sådanne organisationer søgsmålsret, da der ikke udtrykkeligt er fastsat en sådan søgsmålsret, idet direktiv 95/46 efter deres opfattelse tilsigter fuld harmonisering. Ifølge sagsøgte ville det være en trussel mod tilsynsmyndighedernes uafhængighed at tillade søgsmålsret på denne måde grundet det offentlige pres, som sådanne myndigheder ville være udsat for.

26.      Sagsøgeren, LDI NW og samtlige de regeringer, som har taget stilling i denne sag, deler det synspunkt, at direktiv 95/46 ikke er til hinder for den omhandlede lovgivning.

27.      Jeg er enig i sidstnævnte synspunkt(7).

28.      Jeg finder det vigtigt indledningsvis at erindre om den (standardmæssige) forfatningsmæssige regel forankret i artikel 288, stk. 3, TEUF, hvorefter et »direktiv […] med hensyn til det tilsigtede mål [er] bindende for enhver medlemsstat, som det rettes til, men overlader det til de nationale myndigheder at bestemme form og midler for gennemførelsen«, der bedst sikrer det resultat, som skal opnås med direktivet (8).

29.      Det følger heraf, at medlemsstaterne frit kan vedtage enhver foranstaltning, som de finder egnet til at gennemføre direktivets forpligtelser, så længe disse foranstaltninger ikke er udtrykkeligt udelukket ved direktivet eller strider mod direktivets mål.

30.      Ordlyden i direktiv 95/46 udelukker ikke udtrykkeligt muligheden for i national lovgivning at indrømme søgsmålsret til organisationer, der har til formål at beskytte forbrugernes rettigheder.

31.      Når der ses på de formål, som forfølges af direktiv 95/46, omfatter disse »at sikre en effektiv og fuldstændig beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger« (9). Endvidere følger det af tiende betragtning til direktiv 95/46, at »en indbyrdes tilnærmelse af lovgivningerne ikke [må] medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet« (10).

32.      Det fremgår af forelæggelsesafgørelsen, at Tyskland har givet organisationer som sagsøgeren beføjelse til at anfægte, hvad disse organisationer betragter som en ulovlig handelspraksis eller en praksis, der overtræder forbrugerbeskyttelsesregler, hvor sidstnævnte omfatter databeskyttelseslovgivning.

33.      I denne henseende har jeg svært ved at forstå, hvordan indrømmelse af en sådan søgsmålsret på nogen måde strider imod målene i direktiv 95/46 eller svækker bestræbelserne på at opnå disse mål. Tildeling af søgsmålsret til denne type af organisation fremmer om noget snarere en sådan opfyldelse af målene og direktivets gennemførelse ved faktisk at bidrage til forbedring af de registreredes rettigheder gennem kollektive retsmidler (11).

34.      Det er min opfattelse, at medlemsstaterne således ikke er forhindret i at fastsætte en regel om organisationers søgsmålsret som den, der giver sagsøgeren mulighed for at anlægge den i hovedsagen omhandlede sag, hvis medlemsstaterne ønsker at gøre dette.

35.      I lyset af dette svar anser jeg den drøftelse, som har udfoldet sig i løbet af denne sag med fokus på, hvorvidt den omhandlede nationale bestemmelse specifikt er omfattet af artikel 24 i direktiv 95/46, for en slags »nødvendig foranstaltning«, eller om den kunne være omfattet af artikel 22, for ikke at være særlig relevant. Hvis medlemsstaterne skal gennemføre et direktiv på enhver måde, de anser for egnet, og denne bestemte gennemførelsesmåde ikke er udelukket enten ved direktivets ordlyd eller formål, er direktivets specifikke bestemmelse, hvorunder en bestemt national foranstaltning kan kategoriseres, af sekundær betydning (12). Ikke desto mindre kan »nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang« som omhandlet i artikel 24, imidlertid bestemt fortolkes således, at det omfatter de omtvistede nationale bestemmelser i den foreliggende sag.

36.      Jeg mener ikke, at denne generelle konklusion på nogen måde undermineres af de følgende overvejelser, som blev drøftet i løbet af den foreliggende sag.

37.      Det er for det første sandt, at direktiv 95/46 ikke er opført på den liste, der er fastsat i bilag I til direktiv 2009/22. Sidstnævnte fastlægger regler for søgsmål med påstand om forbud, som kan indledes af såkaldte »godkendte organer/organisationer«, for at fremme beskyttelsen af forbrugernes kollektive interesser (13). Listen i bilag I indeholder adskillige direktiver, og direktiv 95/46 er ikke blandt dem.

38.      Ikke desto mindre, og således som den tyske regering har gjort gældende, kan listen i bilag I til direktiv 2009/22 ikke anses for at være udtømmende på den måde, at den er til hinder for en national lovgivning, som giver mulighed for søgsmål med påstand om forbud vedrørende overholdelsen af regler indeholdt i andre direktiver end dem, som er opført på listen i bilag I til direktiv 2009/22. Det ville så meget desto mere være ganske overraskende, hvis en sådan illustrativ liste indeholdt i en sekundær retsakt pludselig skulle fortolkes således, at den fratager medlemsstaterne deres valg med hensyn til et direktivs gennemførelse som fastsat i traktaten.

39.      For det andet vender jeg mig mod det argument, som sagsøgte og Facebook Ireland har gjort gældende vedrørende den fuldstændige harmonisering indført med direktiv 95/46, som efter deres opfattelse ville udelukke enhver handling, som udtrykkeligt ikke er fastsat.

40.      Det er sandt, at Domstolen gentagne gange har fastslået, at harmonisering afledt af direktiv 95/46 ikke er begrænset til en minimumsharmonisering, men fører til en harmonisering, der »i princippet er fuldstændig« (14). Samtidig har den også erkendt, at samme direktiv »indrømme[r] […] medlemsstaterne et råderum på visse områder«, forudsat at direktiv 95/46 overholdes (15).

41.      Som foreslået andetsteds (16) kan spørgsmålet om, hvorvidt der foreligger en fuldstændig harmonisering på det EU-retlige niveau (i betydningen lovgivningsmæssig udtømmende virkning, som udelukker lovgivningsmæssige tiltag fra medlemsstaternes side), ikke adresseres generelt med hensyn til et helt retligt område eller et direktivs område. Denne vurdering skal i stedet foretages med hensyn til hver enkelt bestemmelse (en bestemt regel eller et specifik aspekt) i det omhandlede direktiv.

42.      Hvad angår de specifikke »proceduremæssige« bestemmelser i direktiv 95/46 som de i hovedsagen omhandlede, nemlig artikel 22-24, er de formuleret i meget generelle vendinger (17). Under hensyntagen til disse bestemmelsers generelle karakter og abstraktionsniveau ville det bestemt være ganske bemærkelsesværdigt at foreslå, at disse bestemmelser har lovgivningsmæssig udtømmende virkning og udelukker enhver foranstaltning, som medlemsstaterne kan træffe, men som ikke specifikt nævnes i disse bestemmelser (18).

43.      For det tredje har sagsøgte gjort et argument gældende vedrørende truslen mod tilsynsmyndighedernes uafhængighed (19). Sagsøgte har i det væsentlige anført, at såfremt forbrugerorganisationerne havde søgsmålsret, ville disse organisationer indbringe sager parallelt og/eller i stedet for tilsynsmyndigheden, hvilket ville føre til et offentligt pres og partiskhed hos tilsynsmyndigheden og i sidste ende være i strid med kravet om fuld uafhængighed som fastsat i direktivets artikel 28, stk. 1.

44.      Dette argument har ingen vægt. Forudsat at en sådan tilsynsmyndighed rent faktisk reelt var uafhængig til at begynde med (20), har jeg som den tyske regering svært ved at se, hvorledes et søgsmål sådan som det i hovedsagen omhandlede kan være en trussel mod dens uafhængighed. En organisation kan ikke håndhæve loven i den forstand, at den kan gøre sit synspunkt bindende for tilsynsmyndighederne. Dette er forbeholdt domstolene. En forbrugerorganisation kan på denne måde alene som enhver individuel forbruger anlægge sag. Således er et argument, hvorefter alle og ethvert (privat(e)) søgsmål indledt af en borger eller en forbrugerorganisation ville lægge pres på de organer, som har til opgave at foretage (offentlig) håndhævelse, og derfor ikke kan eksistere parallelt med det offentlige håndhævelsessystem, af en så besynderlig karakter, at der er ringe behov for at imødegå dette argument yderligere (21).

45.      Som det fjerde og sidste vender jeg mig mod argumentet, hvorefter databeskyttelsesforordningens artikel 80, stk. 2, skal forstås således, at den ændrer (og omvender) den tidligere situation ved at gøre noget muligt (organisationers søgsmålsret), som ikke var tilladt før.

46.      Dette argument er ikke overbevisende.

47.      Det er vigtigt at have for øje, at med databeskyttelsesforordningens ophævelse af direktiv 95/46 ændrede det retslige instrument, hvori reglerne findes, karakter fra et direktiv til en forordning. I modsætning til et direktiv, hvor det står medlemsstaterne frit, hvordan indholdet af dette retslige instrument skal gennemføres, betød ændringen også, at nationale regler til gennemførelse af en forordning i princippet alene må vedtages, når det udtrykkeligt er tilladt.

48.      Anskuet fra dette perspektiv er argumentet om, at den udtrykkelige bestemmelse om organisationers søgsmålsret, som nu er omfattet af databeskyttelsesforordningen, har den betydning, at denne søgsmålsret var udelukket i henhold til direktiv 95/46, tvivlsomt. Hvis et argument kunne bygges på en sådan sammenstilling (22), ville det snarere være det modsatte: Hvis fastlæggelse af regler, som giver mulighed for sådan søgsmålsret, ikke var udelukket i medfør af sidstnævnte direktiv (på grundlag af de argumenter, som jeg har redegjort for ovenfor), ville skiftet af retlig form fra direktiv til forordning retfærdiggøre at medtage en sådan bestemmelse med det formål at tydeliggøre, at en sådan mulighed faktisk forbliver.

49.      Det er således ud fra ovenstående betragtninger min første foreløbige konklusion, at direktiv 95/46 ikke er til hinder for en national bestemmelse, som indrømmer almennyttige organisationer beføjelse til at anlægge sag mod den påståede krænker af databeskyttelseslovgivning med det formål at sikre forbrugernes interesser.

B.      Er Fashion ID registeransvarlig?

50.      Med sit andet spørgsmål ønsker den forelæggende oplyst, om sagsøgte som følge af, at den integrerede en plug-in i sin hjemmeside, der får brugerens browser til at rekvirere indhold fra en tredjemand og videresender personoplysninger til denne tredjemand, skal betragtes som »den registeransvarlige« som omhandlet i artikel 2, litra d), i direktiv 95/46, selv hvis sagsøgte ikke kan påvirke denne databehandlingsproces.

51.      Ved manglende evne til at påvirke databehandlingsaktiviteten, som den forelæggende ret har anført i sit spørgsmål, er det min forståelse, at dette i forbindelse med den foreliggende sag ikke vedrører det, som har forårsaget processen med videresendelse af disse data (og på det faktuelle plan har sagsøgte tydeligvis haft en indflydelse, da den har integreret den omhandlede plug-in). Det forekommer snarere at vedrøre Facebook Irelands mulige efterfølgende behandling af oplysninger.

52.      Som den forelæggende ret har anført, har besvarelsen af dens andet spørgsmål følger, som går langt videre end den foreliggende sag og det sociale netværk drevet af Facebook Ireland. En række hjemmesider integrerer tredjepartsindhold af forskellig karakter. Hvis en person som sagsøgte måtte blive klassificeret som »en registeransvarlig«, der er (med)ansvarlig for enhver (efterfølgende) behandling, som finder sted med hensyn til de indsamlede oplysninger, fordi denne hjemmesideoperatør integrerer tredjepartsindhold, der muliggør overførslen af disse oplysninger, ville en sådan udtalelse bestemt have vidererækkende betydning for den måde, hvorpå tredjepartsindhold håndteres.

53.      Inden for den foreliggende sags opbygning er det andet spørgsmål også det centrale spørgsmål, som rører ved sagens kerne: Hvem bærer ansvaret for præcist hvad i tilfælde af integreret tredjepartsindhold i en hjemmeside? Det er endvidere (u)nøjagtigheden af besvarelsen af dette spørgsmål, som har indvirkning på besvarelserne af de følgende spørgsmål om legitime interesser, samtykke og oplysningspligt.

54.      I dette afsnit vil jeg først fremsætte nogle enkelte indledende bemærkninger om begrebet personoplysninger af betydning for denne sag (1). Jeg vil efterfølgende fremlægge Domstolens nylige praksis med forslag om, hvordan det andet spørgsmål kunne besvares, hvis Domstolens tidligere afgørelser anvendes uden overvejelse af yderligere spørgsmål (2). Jeg vil herefter forklare, hvorfor yderligere spørgsmål muligvis bør stilles og – inden for rammerne af den foreliggende sag – analysen i et vist omfang bør justeres (3). Afslutningsvis vil jeg med henblik på definitionen af begrebet (fælles) kontrol påpege vigtigheden af, at der blandt de (fælles) registeransvarlige bør være »fælles formål og hjælpemidler« med hensyn til det omhandlede respektive stadium af behandlingen af personoplysninger (databehandlingsaktivitet) (4).

1.      Personoplysninger i den foreliggende sag

55.      Det bør holdes for øje, at begrebet »personoplysninger« er defineret i artikel 2, litra a), i direktiv 95/46 som »enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«)«. 26. betragtning til dette samme direktiv forklarer i denne henseende, at »for at afgøre, om en person er identificerbar, tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person«.

56.      Domstolen har allerede afklaret, at en IP-adresse under visse omstændigheder kan udgøre personoplysninger (23). Domstolen fastslog endvidere i denne henseende, at for at være en »identificerbar person« som omhandlet i artikel 2, litra a), i direktiv 95/46, er det »ikke […] nødvendigt, at denne oplysning i sig selv gør det muligt at identificere den registrerede«, og at brug af yderligere oplysninger derfor kan være nødvendig. Den fastslog endvidere, at det »ikke er påkrævet, at alle de oplysninger, der gør det muligt at identificere den registrerede, skal befinde sig hos en enkelt person«, så længe muligheden for at sammensætte de respektive oplysninger »udgør et hjælpemiddel, der med rimelighed kan tænkes bragt i anvendelse for at identificere den registrerede« (24).

57.      Den forelæggende ret drøfter ikke, om IP-adressen alene eller i kombination med browserstringen, som også overføres, udgør personoplysninger i dette kriteriums forstand. Facebook Ireland synes at anfægte denne kvalifikation (25).

58.      Det er klart, at det tilkommer den nationale ret at foretage en sådan vurdering. Generelt er det med hensyn til enhver plug-in, som måtte integreres, eller ethvert andet tredjepartsindhold nødvendigt for, at oplysninger kan blive kategoriseret som personlige, at disse oplysninger gør det muligt at identificere den registrerede (direkte eller indirekte). Med hensyn til den foreliggende sag vil jeg lægge til grund, som det synes at følge af den forelæggende rets spørgsmål, at under hovedsagens omstændigheder udgør IP-adressen og browserstringen rent faktisk personoplysninger og opfylder kriteriet i artikel 2, litra a), i direktiv 95/46 som klarlagt af Domstolen.

2.      Dommen i sagen Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?

59.      For så vidt angår svaret på det andet spørgsmål har sagsøgte og Facebook Ireland gjort gældende, at sagsøgte ikke kan anses for at være en registeransvarlig, fordi sagsøgte ikke har nogen indflydelse på de personoplysninger, som vil blive behandlet. Derfor er det alene Facebook Ireland, som kan klassificeres som sådan. Subsidiært har Facebook Ireland gjort gældende, at sagsøgte handler sammen med dette selskab som fælles registeransvarlig, idet ansvaret for en person såsom sagsøgte dog er begrænset til dens faktiske indflydelseszone.

60.      Sagsøgeren, LDI NW og samtlige de regeringer, som er interveneret i den foreliggende sag, såvel som Kommissionen deler i det væsentlige det synspunkt, at begrebet »registeransvarlig« skal fortolkes bredt og omfatter sagsøgte. Dog varierer deres synspunkter betydeligt i disse indlæg hvad angår det præcise omfang af sagsøgtes ansvar. Forskellene vedrører spørgsmålet om, hvorvidt sagsøgte og Facebook Ireland ifalder fælles ansvar (eller ej), hvorvidt det skal begrænses til det stadium af behandlingen af personoplysninger, som sagsøgte reelt er involveret i, og hvorvidt der i denne forbindelse skal skelnes mellem de besøgende på sagsøgtes hjemmeside, som har en Facebook-konto, og de, som ikke har.

61.      Som udgangspunkt er det tydeligt, at begrebet »den registeransvarlige« i henhold til artikel 2, litra d), i direktiv 95/46 omfatter en person, der »alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger« (26). Begrebet registeransvarlig kan således vedrøre flere aktører, som deltager i denne behandling (27), og skal fortolkes bredt (28).

62.      Spørgsmålet om fælles kontrol er for nylig behandlet af Domstolen i dommen i sagen Wirtschaftsakademie Schleswig-Holstein (29). I forhold til rollen som administrator af en Facebook-fanside konkluderede Domstolen, at administratoren optrådte som en registeransvarlig i fællesskab med Facebook Ireland som omhandlet i artikel 2, litra d), i direktiv 95/46. Dette var fordi, administratoren bidrog med at afgøre, til hvilket formål og med hvilke hjælpemidler der foretoges behandling af personoplysninger om fansidens besøgende (30).

63.      Domstolen bemærkede mere specifikt, at administratoren ved oprettelsen af den omhandlede fanside gav Facebook Ireland »mulighed for at placere cookies på brugerens computer eller ethvert andet medium« og således behandle personoplysninger (31). Domstolen påpegede, at »oprettelsen af en fanside på Facebook indebærer, at administratoren foretager en indstilling, som er afhængig af bl.a. målgruppen samt målene for forvaltning af og reklame for sine aktiviteter, og som har indflydelse på behandlingen af personoplysningerne med henblik på udarbejdelsen af statistikker på grundlag af besøgene på fansiden« (32). Den pågældende behandling gjorde det muligt for Facebook Ireland »at forbedre sit reklamesystem«, mens den gav administratoren mulighed for ved hjælp af anonymiserede statistikker bedre at fremme sin egen aktivitet (33).

64.      Domstolen konkluderede, at den omhandlede administrator ved »at foretage indstillinger« bidrog til at afgøre, til hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger om de besøgende på fansiden. Derfor måtte den betragtes som registeransvarlig for denne behandling sammen med Facebook Ireland (med »endnu vigtigere« ansvar med hensyn til personoplysninger vedrørende personer, som ikke er brugere af Facebook Ireland) (34).

65.      I Jehovan todistajat-dommen understregede Domstolen en anden vigtig præcisering med hensyn til begrebet fælles registeransvarlig: For at der foreligger fælles kontrol og fælles ansvar, er det ikke et krav, at hver af de registeransvarlige har adgang til (alle) de omhandlede personoplysninger. Således kunne et religiøst samfund også være fælles registeransvarlig i sager, hvor samfundet tilsyneladende ikke selv havde adgang til de pågældende indsamlede oplysninger. I denne sag var det de enkelte medlemmer af trossamfundet Jehovas Vidner, som var i fysisk besiddelse af personoplysningerne. Det var tilstrækkeligt, at forkyndelsesvirksomheden, i løbet af hvilken personoplysninger tilsyneladende blev indsamlet, var organiseret, koordineret og tilskyndet af dette trossamfund (35).

66.      Hvis det anskues ud fra et højere abstraktionsniveau og med fokus alene på begrebet fælles kontrol, er jeg tilbøjelig til at være enig i, at det i lyset af sådanne nyere domme skal konkluderes, at sagsøgte fungerer som en registeransvarlig og sammen med Facebook Ireland er medansvarlig for behandling af oplysninger (36).

67.      For det første synes sagsøgte at have gjort det muligt for Facebook Ireland at indhente personoplysningerne vedrørende brugerne af sagsøgtes hjemmeside ved anvendelsen af den omhandlede plug-in.

68.      For det andet er det sandt, at sagsøgte i modsætning til den pågældende administrator i dommen i sagen Wirtschaftsakademie Schleswig-Holstein ikke synes at bestemme indstillingerne vedrørende de oplysninger om brugerne af dens hjemmeside, som vil blive returneret til den i anonymiseret eller anden form. Den eftertragtede »fordel« synes at være gratis reklame for dens produkter, som angiveligt sker, når en bruger af dens hjemmeside beslutter sig for at klikke på Facebook »synes godt om«-knappen for via sin Facebook-konto at dele sin mening om eksempelvis en sort cocktailkjole. Således og med forbehold for den forelæggende rets efterprøvelse af de faktiske omstændigheder giver brugen af plug-in’en sagsøgte mulighed for at optimere annonceringen af sine produkter ved at være i stand til at synliggøre dem på Facebook.

69.      Anskuet fra en anden vinkel kan det alternativt hævdes, at sagsøgte (med)bestemmer indstillingerne vedrørende de indsamlede oplysninger blot ved integreringen af den pågældende plug-in i dens hjemmeside. Det er selve plug-in’en, som fastsætter indstillinger for de personoplysninger, der skal indsamles. Ved frivilligt at integrere dette værktøj i sin hjemmeside har sagsøgte således fastsat disse indstillinger med hensyn til enhver besøgende på dens hjemmeside.

70.      For det tredje og under alle omstændigheder kan en fælles registeransvarlig set i lyset af Jehovan todistajat-dommen stadig klassificeres som sådan uden at have adgang til »frugten af det fælles arbejde«. Således synes det forhold, at sagsøgte ikke har adgang til de oplysninger, som overføres til Facebook, eller at den tilsyneladende ikke modtager nogen tilpassede eller aggregerede statistikker retur, ikke at være afgørende.

3.      Problemstillingerne: Hvem er så ikke en fælles registeransvarlig?

71.      Fremmes den effektive beskyttelse, hvis alle gøres ansvarlige for at sikre den?

72.      Dette er i sagens kerne det dybereliggende moralske og praktiske dilemma, som påvises af den foreliggende sag og udtrykt juridisk af omfanget af definitionen af (fælles) registeransvarlig. Ud fra et forståeligt ønske om at sikre den effektive beskyttelse af personoplysninger har Domstolens seneste praksis været meget inkluderende, når den på den ene eller anden måde er blevet bedt om at definere begrebet (fælles) registeransvarlig. Indtil videre har Domstolen imidlertid ikke været mødt med de praktiske følger af en sådan gennemgribende definitorisk tilgang med hensyn til de efterfølgende faser af præcise pligter og særligt ansvar for parter, der klassificeres som fælles registeransvarlige. Da denne sag præcis giver anledning hertil, bør den efter min opfattelse udnyttes med det formål at forbedre den præcision af definitionerne, som der bør være for begrebet (fælles) registeransvarlig.

a)      Om forpligtelse og ansvar

73.      Når der ses på den gældende test for at identificere en »fælles registeransvarlig« med et kritisk blik, synes det afgørende kriterium efter dommen i sagen Wirtschaftsakademie Schleswig-Holstein og Jehovan todistajat-dommen at være, at den pågældende person »gjorde det muligt« at indsamle og overføre personoplysninger eventuelt i forbindelse med noget input, som en sådan fælles registeransvarlig kan have til indstillingerne (eller hvor der i det mindste er en stiltiende godtagelse af dem) (37). Såfremt dette rent faktisk er tilfældet, er det til trods for en tydelig angivet hensigt med det formål at undlade det i dommen i sagen Wirtschaftsakademie Schleswig-Holstein (38) svært at forestille sig, hvorledes normale brugere af en online(baseret) applikation, det være et socialt netværk eller enhver anden samarbejdsorienteret platform, men også andre programmer (39), ikke også vil blive fælles registeransvarlige. En bruger vil typisk oprette sin konto og give indstillinger til administratoren for, hvordan vedkommendes konto skal være opbygget, og hvilken information den pågældende ønsker at modtage om hvad og fra hvem. Den pågældende vil endvidere invitere venner, kolleger og andre til at dele oplysninger i form af (ofte ret følsomme) personoplysninger via applikationen og således ikke alene levere oplysninger vedrørende disse personer, men også invitere disse personer til selv at være involveret og på denne måde tydeligvis bidrage til indsamlingen og behandlingen af disse personers personoplysninger.

74.      Hvad desuden med de øvrige parter i en »personoplysningskæde«? Hvis det eneste relevante kriterium for fælles kontrol er at have gjort behandlingen af oplysninger mulig, ville internetudbyderen, der reelt bidrager til denne behandling på et hvilket som helst stadium, eller selv el-leverandøren, så i yderste konsekvens ikke også være fælles registeransvarlige potentielt medansvarlige for behandlingen af personoplysninger?

75.      Det intuitive svar er selvfølgelig »nej«. Problemet er, at afgrænsningen af ansvar indtil videre ikke følger af den brede definition af en registeransvarlig. Faren ved, at denne definition er for bred, er, at dette fører til, at en række personer bliver medansvarlige for behandlingen af personoplysninger.

76.      I modsætning til sagerne opridset i det forrige afsnit stopper spørgsmålene stillet af den forelæggende ret i hovedsagen ikke ved, hvordan »en registeransvarlig« defineres. De tager udgangspunkt i og fortsætter udforskningen af beslægtede spørgsmål med hensyn til fordelingen af egentlige forpligtelser i henhold til direktiv 95/46. Disse spørgsmål illustrerer selv problemerne ved en for inkluderende definition af en registeransvarlig, især i sammenhæng med manglen på en præcis regel for, hvad nøjagtig registeransvarliges specifikke pligter og ansvar er i henhold til direktiv 95/46. Parternes indlæg med hensyn til det femte og det sjette spørgsmål, som vedrører den præcise fordeling af ansvar i henhold til direktivet, viser ligeledes dette.

77.      I det femte spørgsmål spørges der nærmere bestemt om, hvem der skal indhente den registreredes samtykke og til hvad. De foreslåede besvarelser af dette spørgsmål varierer betydeligt.

78.      Sagsøgerens og LDI NRW’s opfattelse er, at forpligtelsen til at indhente den registreredes informerede samtykke hviler på sagsøgte, som besluttede at integrere den pågældende plug-in. Dette er ifølge sagsøgerens opfattelse så meget desto vigtigere for brugere, som ikke anvender Facebook, og som ikke har accepteret Facebooks generelle vilkår og betingelser. Sagsøgte er af den opfattelse, at samtykket skal gives til tredjeparten, som leverer det integrerede indhold, nemlig Facebook Ireland. Facebook Ireland har gjort gældende, at samtykket ikke behøver at gives til en bestemt adressat, idet direktiv 95/46 alene specificerer, at samtykket skal være frivilligt, specifikt og informeret.

79.      Østrig, Tyskland og Polen har anført, at samtykket skal gives, før behandlingen af oplysningerne finder sted, og ifølge Østrig skal det vedrøre såvel indsamling som mulig overførsel af oplysninger. Polen har fremhævet, at samtykket skal gives til sagsøgte. Tyskland har anført, at det skal gives til sagsøgte eller til tredjeparten, som leverer det integrerede indhold (Facebook Ireland), fordi begge er medansvarlige for behandlingen. Sagsøgte skal alene indhente samtykke for overførslen af oplysningerne til tredjeparten, fordi den for alt øvrig behandling og brug af de indsamlede oplysninger ikke længere fungerer som den registeransvarlige. Dette udelukker imidlertid ikke muligheden for, at hjemmesideoperatøren indhenter samtykke vedrørende tredjepartens behandling, som kan være reguleret i en aftale mellem de to. Italien har gjort gældende, at samtykke skal gives til alle, der deltager i behandlingen af personoplysninger, nemlig sagsøgte og Facebook Ireland. Belgien og Kommissionen har fremhævet, at direktiv 95/46 ikke specificerer, til hvem samtykket skal gives.

80.      Tilsvarende gør sig forskellige synspunkter gældende med hensyn til spørgsmålet om, hvem der har oplysningspligten i henhold til artikel 10 i direktiv 95/46 og med hensyn til præcist hvad, som adresseret i den forelæggende rets sjette spørgsmål.

81.      Ifølge sagsøgeren er det hjemmesideoperatøren, som har pligt til at kommunikere den nødvendige information til den registrerede. Sagsøgte har gjort det modsatte gældende og har fremhævet, at det er Facebook Ireland, som har oplysningspligt, da sagsøgte ikke har nøjagtig viden. Tilsvarende har Facebook Ireland understreget, at dette selskab har oplysningspligten, da denne pligt alene er adresseret til den registeransvarlige (eller dennes repræsentant). Facebook Ireland har bemærket, at svaret på det sjette spørgsmål har nær tilknytning til, hvorvidt hjemmesideoperatøren er en registeransvarlig. Artikel 10 viser, at det er upassende at klassificere en hjemmesideoperatør som en registeransvarlig, fordi sidstnævnte ikke er i stand til at give denne information. NRW LDI har gjort gældende, at informationen skal gives af hjemmesideoperatøren, men anerkender vanskeligheden ved at afgøre, hvilken information der skal gives, da sagsøgte ikke har nogen indflydelse på Facebook Irelands behandling af oplysninger. Sammenblandingen af databehandlingens formål tyder på, at hjemmesideoperatøren skal være medansvarlig for den behandling, som den har muliggjort.

82.      Belgien, Italien og Polen har anført, at oplysningspligten også gælder for en hjemmesideoperatør som den omhandlede, for så vidt som den kan kvalificeres som en registeransvarlig. Belgien har tilføjet, at hjemmesideoperatøren endvidere kan have en pligt til at kontrollere formålet med den efterfølgende behandling af oplysninger og foretage passende foranstaltninger for at sikre beskyttelsen af fysiske personer. Den tyske regering har gjort gældende, at oplysningspligten gælder for hjemmesideoperatøren i det omfang, den er ansvarlig for behandlingen, nemlig for overførslen af oplysninger til en ekstern leverandør af det integrerede indhold, men ikke for alle efterfølgende stadier for behandling af oplysninger, som er den eksterne leverandørs ansvar. Ifølge Østrig og Kommissionen er såvel hjemmesideoperatøren som den eksterne leverandør omfattet af oplysningspligten i medfør af artikel 10 i direktiv 95/46.

83.      Ud over de problemer, som det femte og det sjette spørgsmål rejser, kan det tilføjes, at lignende begrebsmæssige vanskeligheder sandsynligvis vil opstå, også når andre pligter defineret i direktiv 95/46 såsom retten til indsigt i henhold til artikel 12 deri skal vurderes. Det er sandt, at Domstolen i dommen i sagen Wirtschaftsakademie Schleswig-Holstein fastslog, at »[n]år flere operatører har et fælles ansvar for den samme behandling, kræver direktiv 95/46 […] ikke, at hver enkelt har adgang til de pågældende personoplysninger« (40). Imidlertid kan en registeransvarlig, som ikke selv har adgang til oplysninger, for hvilke den ikke desto mindre betragtes som en (fælles) registeransvarlig, logisk set ikke levere denne adgang til nogen registrerede (for ikke at nævne enhver yderlig behandling såsom berigtigelse eller slettelse).

84.      På nuværende tidspunkt bevæger den begrebsmæssige mangel på forudgående klarhed (hvem er den registeransvarlige og præcis med hensyn til hvad), der i nogle tilfælde kan føre til mangel på efterfølgende klarhed (hvem er underlagt hvilken forpligtelse), sig ind i området for faktisk umulighed for, at en potentiel fælles registeransvarlig kan overholde gældende lovgivning.

85.      Der kan bestemt argumenteres for, at der skal indgås kontrakter for den præcise fordeling af ansvar mellem de (potentielt mange fælles) registeransvarlige. Dette ville ikke alene fastsætte ansvarsfordelingen, men også identificere den part, skal overholde hver af de pligter, der er fastsat i direktivet, herunder dem, som fysisk kun kan blive udøvet af en part.

86.      Efter min opfattelse er en sådan tilgang dybt problematisk. For det første er den fuldstændig urealistisk under hensyntagen til det tætte net af formelle standardkontrakter, der ville skulle indgås af enhver form for part, herunder formentlig en række almindelige brugere (41). For det andet ville anvendelsen af gældende lovgivning og den fordeling af ansvar, den fastsætter, være betinget af private aftaler, som tredjeparter, der forsøger at håndhæve deres rettigheder, muligvis ikke har adgang til.

87.      For det tredje, hvilket muligvis delvist foregriber nogle af disse problemer, synes databeskyttelsesforordningen at introducere en ny ordning med fælles ansvar i artikel 26. Det er bestemt sandt, at databeskyttelsesforordningen ikke fandt tidsmæssigt anvendelse på sagerne omtalt i dette afsnit eller på den foreliggende sag. Medmindre der imidlertid er en specifik eller systematisk afvigelse i den nye lovgivning med hensyn til de relevante definitioner, hvilket ikke synes at være tilfældet, idet databeskyttelsesforordningens artikel 4 stort set bibeholder de samme centrale begreber som artikel 2 i direktiv 95/46 (og samtidig tilføjes en række nye), ville det være ganske overraskende, hvis fortolkningen af sådanne centrale begreber, herunder begrebet registeransvarlig, behandling eller personoplysninger, skulle afvige betydeligt (uden en særlig god grund) fra gældende retspraksis.

88.      Hvis dette rent faktisk var tilfældet, kunne hvad der synes at være en fælles ansvarsordning for fælles dataansvarlige indført i databeskyttelsesforordningens artikel 26, stk. 3, blive noget af en udfordring. På den ene side gør databeskyttelsesforordningens artikel 26, stk. 1, det muligt for fælles dataansvarlige at »fastlægge[…] deres respektive ansvar for overholdelse af forpligtelserne«. På den anden side gør databeskyttelsesforordningens artikel 26, stk. 3, det klart, at »den registrerede [kan] udøve sine rettigheder« »med hensyn til og over for den enkelte dataansvarlig« uanset en sådan ordning. Enhver af de fælles dataansvarlige kan således holdes ansvarlige for den pågældende databehandling.

b)      Den større sammenhæng

89.      For lang tid siden (fansene af en vis sci-fi franchise ønsker muligvis at tilføje »i en galakse langt, langt væk«) var det sejt at være på et socialt netværk. Efterhånden begyndte det så at være sejt ikke at være på et socialt netværk. Nu om dage synes det at være en forbrydelse at være på et (og for hvilken nye former for hæftelsesansvar skal indføres).

90.      Der er ingen tvivl om, at retslige afgørelser træffes i en social kontekst under udvikling. Domstolene skal bestemt reagere på denne kontekst, men ikke kontrolleres af den. Et socialt netværk er som enhver anden applikation eller program et værktøj. I lighed med en kniv eller en bil kan det anvendes på en række måder. Der er heller ingen tvivl om, at brugen skal retsforfølges, hvis det misbruges. Dog er det muligvis ikke den bedste ide at straffe enhver og alle, der nogensinde har anvendt en kniv. Normalt retsforfølges den eller de person/er, som kontrollerede kniven, da den forårsagede skade.

91.      Der bør derfor måske ikke altid være et fuldkomment sammenfald, men i det mindste en rimelig sammenhæng mellem beføjelser, kontrol og ansvar. Moderne ret omfatter naturligt forskellige former for objektivt ansvar, som udløses blot ved forekomsten af visse resultater. Disse er imidlertid sædvanligvis begrundede undtagelser. Hvis ansvar uden nogen begrundet forklaring placeres hos en, som ikke har haft kontrol over resultatet, vil sådan en ansvarsfordeling typisk anses for urimelig eller uretfærdig (42).

92.      Endvidere vil en skeptisk person fra Unionens mere østlige dele ved besvarelsen af spørgsmålet stillet i indledningen af dette afsnit (punkt 71), henset til den pågældendes historiske erfaring, måske muligvis foreslå, at en effektiv beskyttelse af noget har en tendens til at blive drastisk reduceret, hvis enhver gøres ansvarlig for den. Hvis enhver gøres ansvarlig, betyder det, at ingen i virkeligheden er ansvarlig. Eller snarere er det sandsynligt, at den ene part, som skulle have været holdt ansvarlig for en bestemt handling – den, som effektivt udøver kontrol – gemmer sig bag alle de andre, som nominelt er »medansvarlige«, med risiko for, at den effektive beskyttelse udvandes betydeligt.

93.      Endelig bør ingen god (fortolkning af) lov opnå et resultat, hvorved forpligtelserne i forbindelse dermed reelt ikke kan opfyldes af deres adressater. Medmindre det således ikke er meningen, at den håndfaste definition af (fælles) kontrol skal udvikle sig til en retsligt sponsoreret kommando om at afkoble, som finder anvendelse på alle aktører, og om at afholde sig fra brugen af alle sociale netværk, plug-in og for den sags skyld andet potentielt tredjepartindhold, skal virkeligheden spille en rolle, når forpligtelser og ansvar defineres, idet spørgsmålene om viden og ægte forhandlingsstyrke og muligheden for at påvirke enhver af de foretagne aktiviteter atter skal tages i betragtning (43).

4.      Tilbage til de (retlige) rødder: fælles formål og hjælpemidler med hensyn til visse behandlingsoperationer

94.      Selv om Domstolen var temmelig håndfast i sin tilgang til definitionen af fælles kontrol i sagen Wirtschaftsakademie Schleswig-Holstein, antydede den også, at der er et behov for at begrænse ansvaret for en fælles registeransvarlig. Nærmere bestemt konstaterede Domstolen, »at tilstedeværelsen af et fælles ansvar ikke nødvendigvis indebærer, at de forskellige operatører, som er omfattet af en behandling af personoplysninger, har samme ansvar. De forskellige operatører kan […] være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen« (44).

95.      Mens der ikke var noget behov for at adressere dette specifikke spørgsmål i sagen Wirtschaftsakademie Schleswig-Holstein, er der det i den foreliggende sag, hvori den forelæggende ret direkte opfordrer Domstolen til at fastlægge sagsøgtes mulige forpligtelser, som følger af dens status som en registeransvarlig.

96.      Henset til den nyligt indførte ordning med fælles ansvar i databeskyttelsesforordningens artikel 26 kan det være svært af forudse, hvordan et fælles ansvar med hensyn til samme resultat i form af potentiel (u)lovlig behandling af personoplysninger kunne indebære et ulige ansvar. Det gælder særligt i betragtning af databeskyttelsesforordningens artikel 26, stk. 3, som forekommer at styre i retning af fælles (solidarisk) ansvar (45).

97.      Det er imidlertid min opfattelse, at Domstolens centrale udtalelse er den anden, nemlig at »[d]e forskellige operatører kan […] være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang«. Sådant et forslag har støtte i definitionerne indeholdt i direktiv 95/46 især hvad angår definitionen af i) begrebet behandling i artikel 2, litra b), og ii) begrebet registeransvarlig i artikel 2, litra d).

98.      For det første indeholder begrebet behandling af personoplysninger »enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse«.

99.      Selv hvis begrebet behandling i lighed med begrebet registeransvarlig er meget bredt (46), er det et klart udtryk for og sigter mod et stadium af behandlingen: Det henviser til en operation eller en række af operationer med en vejledende liste over, hvad sådanne individuelle operationer kan være. Det er imidlertid logisk, at spørgsmålet om kontrol snarere skal vurderes med hensyn til den pågældende separate operation og ikke med hensyn til en ubestemt samling af alt muligt kaldet behandling (47).

100. For det andet er begrebet fælles kontrol ikke specifikt defineret i direktiv 95/46. Logisk set bygger dette begreb imidlertid på begrebet registeransvarlig i artikel 2, litra d): Situationen med fælles kontrol forekommer, når to eller flere personer sammen afgør, med hvilke hjælpemidler og til hvilket formål der må foretages behandling af personoplysninger (48). For at to (eller flere) personer kan betragtes som fælles registeransvarlige, skal der med andre ord foreligge identitet, for så vidt angår til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger mellem dem.

101. Det er kombinationen af disse to definitioner, som efter min opfattelse bør afgøre forpligtelserne og det potentielle ansvar for fælles registeransvarlige. En (fælles) registeransvarlig er ansvarlig for den operation eller række af operationer, for hvilke den deler eller medbestemmer formålet og hjælpemidlerne for så vidt angår en given behandlingsoperation. Derimod kan denne person ikke holdes ansvarlig for enten de foregående stadier eller senere stadier i den samlede kæde af behandling, for hvilke den pågældende ikke var i stand til at afgøre enten formålet eller hjælpemidlerne med hensyn til dette stadium af behandlingen.

102. I den foreliggende sag svarer det relevante stadium (operationer) af behandlingen til indsamlingen og videresendelsen af personoplysninger, som sker gennem Facebook »synes godt om«-knappen.

103. For så vidt angår for det første disse databehandlingsaktiviteters hjælpemidler synes det, som foreslået af sagsøgeren, LDI NRW og den tyske regering, at være tilfældet, at sagsøgte afgør brugen af den omhandlede plug-in, der tjener som et redskab til indsamlingen og videresendelsen af personoplysningerne. Denne indsamling og videresendelse udløses ved besøg på sagsøgtes hjemmeside. Denne plug-in var leveret til sagsøgte af Facebook Ireland. Både Facebook Ireland og sagsøgte forekommer således frivilligt at have forårsaget databehandlingens indsamlings- og videresendelsesstadie. Dette tilkommer det selvsagt den nationale ret at efterprøve på det faktuelle niveau.

104. Hvis der for det andet ses på databehandlingens formål, angiver forelæggelsesafgørelsen ikke årsagerne til, at sagsøgte besluttede at integrere Facebook »synes godt om«-knappen på sin hjemmeside. Med forbehold for den forelæggende rets efterprøvelse synes denne afgørelse at være inspireret af et ønske om at øge synligheden af sagsøgtes produkter via det sociale netværk. Samtidig forekommer det ligeledes, at de oplysninger, som overføres til Facebook Ireland, anvendes til sidstnævntes egne kommercielle formål.

105. Til trods for at den specifikke kommercielle anvendelse af oplysninger måske ikke er den samme, synes både sagsøgte og Facebook Ireland samlet set at forfølge overordnede kommercielle formål på en måde, som forekommer gensidigt at supplere hinanden. Således er der om end ikke et identisk så et fælles formål: Der er et kommercielt og reklamemæssigt formål.

106. Ud fra den foreliggende sags faktiske omstændigheder synes sagsøgte og Facebook Ireland således sammen at afgøre databehandlingens hjælpemidler og formål i indsamlings- og fremsendelsesstadiet vedrørende de omhandlede personoplysninger. I denne forbindelse fungerer sagsøgte som en registeransvarlig, og dens ansvar er i det omfang også fælles med Facebook Irelands ansvar.

107. På samme tid er det min opfattelse, at sagsøgtes ansvar skal begrænses til det databehandlingsstadium, som denne er involveret i, og at ansvaret ikke kan brede sig til ethvert efterfølgende databehandlingsstadie, hvis en sådan behandling opstår uden for sagsøgtes kontrol og antageligvis også uden sagsøgtes viden.

108. I lyset af det foregående er min anden foreløbige konklusion derfor, at en person som sagsøgte, der har integreret en tredjepartsplug-in i sin hjemmeside, som forårsager indsamling og videresendelse af brugerens personoplysninger (idet denne tredjepart har leveret plug-in’en), skal anses for at være registeransvarlig som omhandlet i artikel 2, litra d), i direktiv 95/46. Imidlertid er denne registeransvarliges (fælles) ansvar begrænset til de operationer, hvor den effektivt medbestemmer hjælpemidlerne ved og formålet med behandlingen af personoplysningerne.

109. Det skal tilføjes, at denne konklusion endvidere besvarer det tredje spørgsmål. Med dette spørgsmål ønsker den forelæggende ret nærmere bestemt at afgøre, hvorvidt direktiv 95/46 forhindrer anvendelsen af det nationalretlige begreb Störer (en forstyrrer) i forhold til sagsøgte, hvis det fastslås, at sagsøgte ikke kan anses for registeransvarlig. Ifølge forelæggelsesafgørelsen kræver begrebet Störer, at personen, som ikke selv krænker en rettighed, men som har skabt eller øget risikoen for, at en anden krænker en rettighed, gør alt, hvad der er rimeligt og for denne muligt for at forhindre denne krænkelse. Hvis sagsøgte ikke kan anses for at være en registeransvarlig, foreslår den forelæggende ret, at betingelserne for at anvende begrebet Störer foreligger, fordi sagsøgte ved at integrere plug-in’en til Facebook »synes godt om«-knappen i det mindste har skabt risikoen for Facebooks eventuelle overtrædelse.

110. Henset til besvarelsen af den forelæggende rets andet spørgsmål er det ufornødent at behandle det tredje spørgsmål. Når det først er fastslået, at en given person kategoriseres som en registeransvarlig omfattet af direktiv 95/46, skal dens forpligtelser som registeransvarlig vurderes i lyset af forpligtelserne som defineret i dette direktiv. Den modsatte konklusion ville føre til, at registeransvarliges ansvar er differentieret med hensyn til visse overtrædelser i de enkelte medlemsstater. I denne forbindelse og med henblik på definitionen af registeransvarlig påvirker direktiv 95/46 bestemt den fulde harmonisering med hensyn til de definerede forpligtelsers adressater (49).

C.      Legitime interesser, der skal tages i betragtning i henhold til artikel 7, litra f), i direktiv 95/46

111. Det fjerde spørgsmål stillet i den foreliggende sag vedrører lovligheden af behandlingen af personoplysninger i mangel af den registreredes samtykke som omhandlet i artikel 7, litra a), i direktiv 95/46.

112. I denne henseende har den forelæggende ret peget på artikel 7, litra f), i direktiv 95/46, i henhold til hvilken personoplysninger alene må behandles, hvis behandlingen er »nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder […] går forud herfor«. Nærmere bestemt ønsker den forelæggende ret klarlagt, hvis legitime interesser der skal tages hensyn til i nærværende sag: sagsøgtes, som har integreret tredjepartindholdet, eller tredjepartens (nemlig Facebook Ireland) (50).

113. Indledningsvis bør det anføres, at Kommissionen har gjort gældende, at det fjerde spørgsmål er irrelevant, fordi brugerens samtykke i det foreliggende tilfælde under alle omstændigheder skal indhentes ved anvendelse af den lovgivning, der gennemfører direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (herefter »e-databeskyttelsesdirektivet«) (51).

114. Jeg er enig med Kommissionen i, at e-databeskyttelsesdirektivet (som i henhold til artikel 1, stk. 2, deri klarlægger og supplerer direktiv 95/46 inden for den elektroniske kommunikationssektor) (52) synes at finde anvendelse på den foreliggende sag, i det omfang anbringelse af cookies på brugernes enheder finder sted (53). Endvidere definerer e-databeskyttelsesdirektivets artikel 2, litra f), og 17. betragtning samtykket med henvisning til begrebet samtykke i direktiv 95/46.

115. Hvorvidt anbringelsen af cookies fandt sted i hovedsagen, blev grundigt drøftet i retsmødet. Denne faktiske afklaring tilkommer det den nationale ret at foretage. Under alle omstændigheder er den forelæggende ret som beskrevet i forelæggelsesafgørelsen imidlertid af den opfattelse, at de overførte oplysninger udgør personoplysninger (54). Spørgsmålet om cookies synes derfor ikke at give svaret på alle spørgsmålene, som antageligvis opstår i den foreliggende sag i forhold til behandling af oplysninger (55).

116. Jeg er derfor af den opfattelse, at det fjerde spørgsmål kræver nærmere overvejelse.

117. Sagsøgeren har gjort gældende, at det er sagsøgerens legitime interesse, der skal tages hensyn til. Den har tilføjet, at hverken sagsøgte eller Facebook Ireland kan gøre en legitim interesse gældende i den foreliggende sag.

118. Sagsøgte og Facebook Ireland har i det væsentlige gjort gældende, at de legitime interesser, der skal tages i betragtning, er interesserne for såvel den person, som har integreret tredjepartsindholdet, som for tredjeparten, samtidig med, at der tages hensyn til interesserne for de besøgende af hjemmesiden, hvis grundlæggende rettigheder kan blive berørt.

119. LDI NRW, Polen, Tyskland og Italien har gjort gældende, at der skal tages hensyn til såvel sagsøgtes som Facebook Irelands interesser, da de begge har muliggjort den omhandlede behandling. Østrig har indtaget et lignende standpunkt. Ligeledes og med henvisning til Domstolens dom i Google Spain-sagen har Belgien fremhævet, at de legitime interesser, der skal tages hensyn til, er den registeransvarliges såvel som interesserne for de tredjeparter, til hvilke de omhandlede personoplysninger er blevet kommunikeret.

120. Det bør indledningsvis erindres, at al behandling af personoplysninger i princippet skal foregå i overensstemmelse med bl.a. et af de principper vedrørende grundlaget for behandling af oplysninger, der er opregnet i direktivets artikel 7 i direktiv 95/46 (56).

121. Særligt har Domstolen vedrørende artikel 7, litra f), mindet om, denne bestemmelse »fastsætter […] tre kumulative betingelser for, at en behandling af personoplysninger er lovlig, nemlig for det første, at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, forfølger en legitim interesse, for det andet, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse, og for det tredje betingelsen om, at de grundlæggende rettigheder og frihedsrettigheder, der tilkommer den person, der er omfattet af beskyttelsen af oplysningerne, ikke går forud herfor« (57).

122. Direktiv 95/46 definerer eller opregner ikke »legitime interesser«. Dette begreb fremstår ret elastisk og åbent (58). Der er ingen interesser, der som sådanne er udelukket, så længe de naturligvis er lovlige. Som det i det væsentlige blev drøftet i retsmødet og som anført ovenfor (59), synes spørgsmålet i den foreliggende sag at være indsamlingen og videresendelsen af personoplysninger med henblik på reklameoptimering, selv om sagsøgtes og Facebook Irelands præcise, ultimative kommercielle mål muligvis ikke er nøjagtig de samme.

123. På baggrund af disse betragtninger er jeg enig i, at marketing eller reklame i sig selv kan udgøre en sådan legitim interesse (60). Det er ret vanskeligt at gå videre end denne udtalelse i forhold til den foreliggende sag, da det faktuelt ud over disse generelle udtalelser er uvist, præcist hvorledes de videresendte og opnåede oplysninger anvendes.

124. Ikke desto mindre hverken omtaler eller anmoder den forelæggende ret om retningslinjer for vurderingen, der skal foretages af de specifikke legitime interesser, som er gjort gældende i hovedsagen. Med sit fjerde spørgsmål ønsker den forelæggende ret alene at afgøre, hvis legitime interesser der skal tages hensyn til, så afvejningen i henhold til artikel 7, litra f), i direktiv 95/46 kan foretages.

125. I lyset af mit foreslåede svar på det andet spørgsmål ovenfor er det min opfattelse, at der skal tages hensyn til såvel sagsøgtes som Facebook Irelands legitime interesser, fordi begge fungerer som fælles registeransvarlige for den respektive persondatabehandlingsaktivitet.

126. Idet deres status som fælles registeransvarlige indebærer, at de endvidere deler formålet med behandlingen af personoplysninger, skal der påvises en legitim interesse for så vidt angår dem begge, i det mindste på et generelt plan som forklaret ovenfor. Denne interesse skal så afvejes i forhold til de registreredes rettigheder, som fastsat i artikel 7, litra f), sidste led, i direktiv 95/46 (61), hvor afvejningen »principielt [afhænger] af de konkrete omstændigheder i det enkelte tilfælde« (62). Jeg gør opmærksom på, at databehandlingen under sådanne omstændigheder også er betinget af nødvendighed (63).

127. I lyset af det foregående er min tredje foreløbige konklusion, at med henblik på vurderingen af muligheden for at behandle personoplysninger på de betingelser, som er fastsat i artikel 7, litra f), i direktiv 95/46, skal begge de omhandlede fælles registeransvarliges legitime interesser tages i betragtning og afvejes i forhold til de registreredes rettigheder.

D.      Sagsøgtes forpligtelser med hensyn til det samtykke, som skal indhentes fra den registrerede, og de informationer, som skal gives til den registrerede

128. Med det femte spørgsmål ønsker den forelæggende ret oplyst, over for hvem samtykket i henhold til artikel 7, litra a), og artikel 2, litra h), i direktiv 95/46 skal erklæres under omstændighederne i den foreliggende sag.

129. Med det sjette spørgsmål ønsker den forelæggende ret oplyst, om oplysningspligten i artikel 10 i direktiv 95/46 finder anvendelse i den her omhandlede situation for en hjemmesideoperatør (såsom sagsøgte), der har integreret tredjepartsindholdet og således forårsaget denne tredjeparts behandling af personoplysninger.

130. Som det fremgår af det ovennævnte (64), er der mange forskellige svar på disse spørgsmål. Når imidlertid først den nøjagtige art af forpligtelsen i det andet spørgsmål er fastlagt både med hensyn til indehaveren (hvem) og forpligtelsens art (for hvad), og dette spørgsmål således forudgående er blevet afklaret, bliver svarene på det femte og det sjette spørgsmål, som vedrører visse efterfølgende forpligtelser, klarere.

131. For det første er det min opfattelse, at såvel samtykket som informationerne, der skal gives, skal omfatte alle aspekter af databehandlingsaktiviteten/-erne, som de fælles registeransvarlige har fælles ansvar for, nemlig indsamlingen og videresendelsen. Omvendt udvider disse samtykke- og oplysningsforpligtelser sig ikke til de efterfølgende faser af databehandlingen, som sagsøgte ikke er involveret i, og for hvilke den logisk nok hverken afgør hjælpemidler eller formål.

132. For det andet kunne det under disse forhold foreslås, at samtykket kan gives til hver af de to fælles registeransvarlige. Når der imidlertid henses til den foreliggende sag, skal dette samtykke gives til sagsøgte, fordi det er, når hjemmesiden rent faktisk besøges, at behandlingsoperationen udløses. Det ville selvsagt ikke være i overensstemmelse med effektiv og rettidig beskyttelse af de registreredes rettigheder, hvis samtykket alene blev givet til den fælles registeransvarlige, som senere (om overhovedet) involveres, når indsamlingen og videresendelsen allerede har fundet sted.

133. Et lignende svar skal gives med hensyn til den oplysningspligt, som sagsøgte har i henhold til artikel 10 i direktiv 95/46. Denne bestemmelse definerer en minimumsliste af informationer, som skal gives til den registrerede af den registeransvarlige (eller af dennes repræsentant). Den indeholder følgende elementer: den registeransvarliges (eller dennes repræsentants) identitet; formålene med den behandling, hvortil oplysningerne er bestemt, og alle yderligere informationer, hvor disse »under hensyn til de særlige omstændigheder, hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne«. Artikel 10 giver eksempler på sådan yderligere information, som omfatter, hvad der muligvis er relevant i den foreliggende sag, information om modtageren af oplysningerne eller, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.

134. Denne liste taget i betragtning synes sagsøgte klart at være i stand til at give oplysninger om de fælles registeransvarliges identitet, om formålet med den respektive fase af behandlingen (de(n) operation(er), som den har fælles kontrol over), og endvidere om det forhold, at disse oplysninger vil blive overført.

135. Derimod er det min opfattelse, at sagsøgte hvad angår retten til indsigt og til at foretage berigtigelse ikke selv har en sådan adgang til oplysningerne, som overføres til Facebook Ireland, idet sagsøgte på ingen måde er involveret i opbevaringen af oplysninger. Det kunne derfor f.eks. foreslås, at dette forhold ville skulle fastlægges i en aftale med Facebook Ireland.

136. Men sådanne forslag ville ud over argumenterne anført ovenfor (65) igen søge at udvide de (fælles) registeransvarliges forpligtelser og ansvar til operationer, som de ikke er ansvarlige for. Hvis fælles kontrol indebærer ansvar for de(n) operation(er), hvor der er fælles formål og hjælpemidler blandt de registeransvarlige, bør de øvrige medfølgende forpligtelser i medfør af direktivet såsom samtykke, oplysning, indsigt eller berigtigelse logisk set svare til omfanget af denne oprindelige forpligtelse (66).

137. Det blev endvidere anført af Kommissionen i retsmødet, at de besøgende, som har en Facebook-konto, på et tidligere tidspunkt kan have samtykket til, at sådan en overførsel finder sted. Dette kunne føre til et differentieret ansvar for sagsøgte, hvorved Kommissionen tilsyneladende foreslår, at sagsøgtes oplysningspligt og pligt til at indhente samtykke i så fald alene ville gælde i forhold til de brugere, som ikke anvender Facebook, og som havner på sagsøgtes hjemmeside.

138. Jeg er ikke enig heri. Det er vanskeligt at acceptere den idé, at der skulle være differentieret (mindre beskyttende) behandling med hensyn til »Facebook-brugere« under omstændighederne i den foreliggende sag, fordi de allerede har accepteret muligheden for (enhver slags) overførsel af deres personoplysninger af Facebook. Et sådant argument indebærer i virkeligheden, at man ved oprettelsen af en Facebook-konto på forhånd accepterer enhver databehandling med hensyn til sådanne »Facebook-brugeres« onlineaktivitet af enhver tredjepart, der har en hvilken som helst forbindelse til Facebook. Dette er tilfældet selv i en situation, hvor der ikke er nogen synlige tegn på, at sådan databehandling finder sted (hvilket synes at være tilfældet, når man blot besøger sagsøgtes hjemmeside). Sagt på en anden måde ville en accept af Kommissionens forslag i praksis betyde, at en bruger ved oprettelsen af en Facebook-konto reelt gav afkald på enhver beskyttelse af personoplysninger online set i forhold til Facebook.

139. Det er således min opfattelse, at sagsøgtes ansvar og medfølgende samtykke- og oplysningsforpligtelser skal være de samme set i forhold til de registrerede, uanset om de har en Facebook-konto.

140. Det er endvidere igen klart, at dette samtykke og informationerne skal gives, inden oplysningerne indsamles og overføres (67).

141. Således er det i lyset af ovenstående min sidste foreløbige konklusion som svar på det femte og det sjette spørgsmål, at i en situation som den i hovedsagen omhandlede skal den registreredes samtykke indhentet i medfør af artikel 7, litra a), i direktiv 95/46 gives til en hjemmesideoperatør som sagsøgte, der har integreret hjemmesideindholdet. Artikel 10 i direktiv 95/46 skal fortolkes således, at oplysningspligten i denne bestemmelse også gælder for en sådan hjemmesideoperatør. Den registreredes samtykke i henhold til artikel 7, litra a), i direktiv 95/46 samt informationen som omhandlet i samme direktivs artikel 10, skal gives, inden oplysningerne indsamles og overføres. Dog skal omfanget af disse forpligtelser stemme overens med denne operatørs fælles ansvar for indsamlingen og videresendelsen af personoplysningerne.

V.      Forslag til afgørelse

142. På baggrund af det ovenfor anførte foreslår jeg Domstolen at besvare de præjudicielle spørgsmål fra Oberlandesgericht Düsseldorf (den regionale appeldomstol i Düsseldorf, Tyskland) som følger:

»–      Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger er ikke til hinder for en national bestemmelse, som indrømmer almennyttige organisationer beføjelse til at anlægge sag mod den påståede krænker af databeskyttelseslovgivning med det formål at sikre forbrugernes interesser.

–      En person, der har integreret en tredjepartsplug-in i sin hjemmeside, som forårsager indsamling og videresendelse af brugerens personoplysninger (idet denne tredjepart har leveret plug-in’en), skal anses for at være registeransvarlig som omhandlet i artikel 2, litra d), i direktiv 95/46. Imidlertid er denne registeransvarliges (fælles) ansvar begrænset til de operationer, hvor den effektivt medbestemmer hjælpemidlerne ved og formålet med behandlingen af personoplysningerne.

–      Med henblik på vurderingen af muligheden for at behandle personoplysninger på de betingelser, som er fastsat i artikel 7, litra f), i direktiv 95/46, skal begge de omhandlede fælles registeransvarliges legitime interesser tages i betragtning og afvejes i forhold til de registreredes rettigheder.

–      Den registreredes samtykke indhentet i medfør af artikel 7, litra a), i direktiv 95/46 skal gives til en hjemmesideoperatør, der har integreret tredjepartsindholdet. Artikel 10 i direktiv 95/46 skal fortolkes således, at oplysningspligten i denne bestemmelse også gælder for en sådan hjemmesideoperatør. Den registreredes samtykke i henhold til artikel 7, litra a), i direktiv 95/46 samt informationen som omhandlet i samme direktivs artikel 10 skal gives, inden oplysningerne indsamles og overføres. Dog skal omfanget af disse forpligtelser stemme overens med denne operatørs fælles ansvar for indsamlingen og videresendelsen af personoplysningerne.«

1 –      Originalsprog: engelsk.

2 –      Europa-Parlamentet og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

3 –      Europa-Parlamentets og Rådets direktiv af 23.4.2009 (EUT 2009, L 110, s. 30).

4 –      Jeg gør opmærksom på, at det af forelæggelsesafgørelsen fremgår, at plug-in’en var stillet til rådighed for sagsøgte af Facebook Ireland eller sidstnævntes moderselskab, Facebook Inc., der er registreret i Amerikas Forenede Stater. Det forholder sig imidlertid således, at Facebook Ireland både ved den forelæggende ret og ved Domstolen påtager sig det mulige ansvar i henhold til direktiv 95/46 i forbindelse med den foreliggende sag. Jeg ser derfor ingen grund til at drøfte den eventuelle anvendelighed af direktiv 95/46 med hensyn til Facebook Irelands moderselskab.

5 –      Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse) (EUT 2016, L 119 s. 1).

6 –      »Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis den/det har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.«

7 –      For fuldstændighedens skyld tilføjes det, at selv om dom af 28.7.2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612), vedrørte et spørgsmål om fortolkningen af direktiv 95/46, der opstod i en national sag anlagt af en organisation, behandlede Domstolen ikke spørgsmålet om organisationens søgsmålsret i denne sag, fordi dette specifikke spørgsmål ganske enkelt ikke var rejst.

8 –      Som f.eks. gengivet i dom af 23.5.1985, Kommissionen mod Tyskland (C-29/84, EU:C:1985:229, præmis 22), af 14.2.2012, Flachglas Torgau (C-204/09, EU:C:2012:71, præmis 60), og af 19.4.2018, CMR (C-645/16, EU:C:2018:262, præmis 19).

9 –      Dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 53).

10 –      Jf. endvidere dom af 16.12.2008, Huber (C-524/06, EU:C:2008:724, præmis 50).

11 –      Således i modsætning til dom af 25.1.2018, Schrems (C-498/16, EU:C:2018:37), som ikke vedrørte nogen overdragelse af krav til en bestemt person, og som tilsyneladende havde et klart retligt grundlag i national ret for, hvad der formodes at være en form for repræsentation af forbrugernes kollektive interesser.

12 –      Eller sagt med andre ord skal medlemsstaterne endvidere især med hensyn til den institutionelle struktur eller procedurer fastlægge en række andre forhold, hvortil der ligeledes ikke vil være udtrykkeligt henvist i et direktiv (såsom i forhold til juridisk håndhævelse af en rettighed, ikke kun spørgsmålet om søgsmålsret, men også f.eks. søgsmålsfrister, eventuelle retsafgifter, domstolenes kompetence osv.). Kunne det så også gøres gældende, at siden hverken artikel 22 eller artikel 24 i direktiv 95/46 nævner nogle af disse emner, er medlemsstaten endvidere forhindret i at fastsætte sådanne forhold i national ret?

13 –      Som defineret i artikel 3 i direktiv 2009/22.

14 –      Jf. f.eks. dom af 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, præmis 96), af 16.12.2008, Huber (C-524/06, EU:C:2008:724, præmis 51), af 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito (C-468/10 og C-469/10, EU:C:2011:777, præmis 29), og af 7.11.2013, IPI (C-473/12, EU:C:2013:715, præmis 31).

15 –      Dom af 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, præmis 97).

16 –      Jf. mit forslag til afgørelse Dzivev (C-310/16, EU:C:2018:623, punkt 72-74).

17 –      Gengivet ovenfor i punkt 8.

18 –      Jf. igen eksemplerne anført ovenfor i fodnote 12.

19 –      Som i henhold til artikel 28 i direktiv 95/46 har til opgave at påse overholdelsen af de bestemmelser, der er vedtaget i henhold til direktivet.

20 –      Med hensyn til den standard, som er påkrævet i henhold til artikel 28, stk. 1, i direktiv 95/46, jf. dom af 9.3.2010, Kommissionen mod Tyskland (C-518/07, EU:C:2010:125, præmis 18-30), og af 16.10.2012, Kommissionen mod Østrig (C-614/10, EU:C:2012:631, præmis 41-66).

21 –      Analogt med et andet retsområde ville f.eks. privat håndhævelse af konkurrenceret så også true de (nationale) konkurrencemyndigheder? Jf. dom af 20.9.2001, Courage og Crehan (C-453/99, EU:C:2001:465, præmis 26, 27 og 29), og af 13.7.2006, Manfredi m.fl. (C-295/04 – C-298/04, EU:C:2006:461, præmis 59 og 60). Jf. endvidere femte betragtning til Europa-Parlamentets og Rådets direktiv 2014/104/EU af 26.11.2014 om visse regler for søgsmål i henhold til national ret angående erstatning for overtrædelser af bestemmelser i medlemsstaternes og Den Europæiske Unions konkurrenceret (EUT 2014, L 349 s. 1).

22 –      Generelt (uanset det særlige spørgsmål om ændret retlig form) hvad har det forhold, at lovgiver indsatte noget i en efterfølgende retsakt, som ikke var indeholdt i de tidligere udgaver heraf, af betydning for fortolkning af sidstnævnte? Det kan meget vel være, at dette princip rent faktisk var »iboende« i den tidligere udgave og nu blot er blevet tydeliggjort. Det kan imidlertid også betyde, at netop fordi denne bestemmelse ikke tidligere var med, er den nye en ændring. Under hensyntagen til den hyppige og tvivlsomme (mis)brug af argumentet »det har altid været der, nu er det bare udtrykkeligt«, som effektivt fører til en udvidelse af den nye regel længe før dens tidsmæssige anvendelse, bør sådanne typer argumenter, om overhovedet, anvendes med forsigtighed.

23 –      Vedrørende spørgsmålet om dynamiske IP-adresser jf. dom af 19.10.2016, Breyer (C-582/14, EU:C:2016:779, præmis 33 ff.). Jf. endvidere dom af 24.11.2011, Scarlet Extended (C-70/10, EU:C:2011:771, præmis 51).

24 –      Dom af 19.10.2016, Breyer (C-582/14, EU:C:2016:779, præmis 41-45).

25 –      Punkt 19 ovenfor.

26 –      Min fremhævelse.

27 –      Dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 29), og af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 65).

28 –      Jf. dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 34), og af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 66).

29 –      Dom af 5.6.2018 (C-210/16, EU:C:2018:388).

30 –      Dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 39).

31 –      Dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 35).

32 –      Dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 36).

33 –      Dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 34 og 38).

34 –      Dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 39 og 41).

35 –      Dom af 10.7.2018 (C-25/17, EU:C:2018:551, præmis 68-72).

36 –      Som foreslået af generaladvokat Bot i dennes forslag til afgørelse Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2017:796, punkt 66-72).

37 –      Med tilsyneladende en analogi til forbrugerbeskyttelse således at forstå, at det ikke synes at være gældende i denne forbindelse, at den »ikke-professionelle« part bør have samme reelle indflydelse ved forhandling af vilkårene. Det er derfor åbent for diskussion, i hvilket omfang en fansideadministrator reelt kan »foretage indstillinger« (og hvor meget der blot er mekaniske klik og valg mellem forberedte muligheder som med enhver anden »forbruger«).

38 –      Dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 35).

39 –      I dag overfører en række programmer og applikationer med brugerens til tider udtrykkelige til tider måske mindre udtrykkelige samtykke analytisk information, som kan indeholde personoplysninger, til udvikleren eller softwareleverandøren.

40 –      Dom af 5.6.2018 (C-210/16, EU:C:2018:388, præmis 38).

41 –      Igen kan det bestemt diskuteres under præcise hvilke omstændigheder og med hvilken forhandlingsstyrke (jf. også fodnote 37 ovenfor).

42 –      Eller udtrykt på en mindre direkte måde af Sir Humphrey Appleby (som tilsyneladende selv forlader sig på et ældre, anonymt citat): »Ansvar uden beføjelser – eunukkens prærogativ gennem tiderne« (fra »Javel, hr. minister«, sæson 2, syvende episode, »Det nationale uddannelsessystem«, vist første gang den 21.1.1988).

43 –      Også i betydningen opridset ovenfor i punkt 73 og fodnote 38 og 42.

44 –      Dom af 5.6.2018 (C-210/16, EU:C:2018:388, præmis 43).

45 –      Jf. ovenfor, punkt 87 og 88.

46 –      Jf. endvidere udtalelse 4/2007 om begrebet personoplysninger fra Artikel 29-Databeskyttelsesgruppen (et rådgivende organ oprettet på grundlag af artikel 29 i direktiv 95/46, nu erstattet af Det Europæiske Databeskyttelsesråd oprettet i henhold til databeskyttelsesforordningens artikel 68), 01248/07/EN WP 136, 20.6.2007, s. 4.

47 –      I betragtning ligeledes af det simple forhold, at behandling næppe aldrig vil foregå lineært via alle de operationer, som er opregnet i artikel 2, litra b), en efter en i rækkefølge og af en person. Snarere er personoplysningers liv tilbøjelig til at være cyklisk, i kredsløb med forgreninger her og der og med sæt af personoplysninger indsamlet i forskellige ender, som så konsulteres af en anden person, sammenkøres og konsulteres og så igen måske kombineres på ny og videreformidles til andre personer osv.

48 –      Artikel 29-Databeskyttelsesgruppen foreslog, at »[f]ælles kontrol vil opstå, når forskellige parter med hensyn til specifikke behandlinger afgør enten formålet eller [de] væsentlige elementer af hjælpemidlerne«. Jf. udtalelse 1/2010 om begrebet »registeransvarlig« og »registerfører« vedtaget den 16.2.2010, 00264/10/EN WP 169, s. 19.

49 –      I modsætning til den drøftede situation med hensyn til det første spørgsmål ovenfor i punkt 39-42.

50 –      Ved læsning af den originale tyske version af det fjerde spørgsmål forstår jeg omfanget af den forelæggende rets spørgsmål som værende begrænset til identificeringen af interesser, der skal tages hensyn til, og ikke – som den engelske oversættelse af det tyske spørgsmål indebærer – af interesser, der er afgørende (i den potentielle betydning, at de vejer tungere) i denne interesseafvejning. Spørgsmålet synes således at undersøge afvejningens input og ikke, hvad dens output bør være.

51 –      Europa-Parlamentets og Rådets direktiv af 12.7.2002 (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37).

52 –      Jf. endvidere dom af 5.5.2011, Deutsche Telekom (C-543/09, EU:C:2011:279, præmis 50). I e-databeskyttelsesdirektivets tiende betragtning er anført: »I den elektroniske kommunikationssektor finder direktiv [95/46] navnlig anvendelse på alle forhold vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder, som ikke særligt er omfattet af bestemmelserne i dette direktiv, herunder den registeransvarliges forpligtelser og fysiske personers rettigheder. Direktiv [95/46] anvendes på ikke-offentlige kommunikationstjenester.«

53 –      Jf. i denne forbindelse e-databeskyttelsesdirektivets artikel 5, stk. 3, som fastsætter, at »[m]edlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv [95/46] at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. […]«.

54 –      I denne forbindelse igen en krydshenvisning til det indledende afsnit B.1 (punkt 55-58) og behovet for faktisk afklaring af, hvad der præcist videresendes, og hvorvidt disse oplysninger rent faktisk udgør personoplysninger overhovedet.

55 –      Jf. endvidere Artikel 29-Databeskyttelsesgruppens dokument 02/2013 indeholdende retningslinjer for indhentning af samtykke til cookies, 1676/13/EN WP 208, 2.10.2013, s. 5 og 6, som foreslår, at »idet opbevaring af oplysninger eller opnåelse af oplysninger, der allerede er opbevaret på brugernes enheder ved hjælp af cookies, kan medføre behandling af personoplysninger, finder databeskyttelsesregler i dette tilfælde klart anvendelse«.

56 –      Jf. i denne sammenhæng dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 71 og den deri nævnte retspraksis), og af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 25).

57 –      Dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 28). Jf. endvidere dom af 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito (C-468/10 og C-469/10, EU:C:2011:777, præmis 38).

58 –      Jf. mit forslag til afgørelse Rīgas satiksme (C-13/16, EU:C:2017:43, punkt 64 og 65). Som jeg dér anførte, er åbenhed (dom af 9.11.2010, Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 77) og beskyttelsen af ejendom, sundhed og liv (dom af 11.12.2014, Ryneš, C-212/13, EU:C:2014:2428, præmis 34) blevet anerkendt som sådan af Domstolen. Jf. endvidere dom af 29.1.2008, Promusicae (C-275/06, EU:C:2008:54, præmis 53), og af 4.5.2017, Rīgas satiksme, (C-13/16, EU:C:2017:336, præmis 29).

59 –      Jf. ovenfor i dette forslag til afgørelses punkt 104 og 105.

60 –      Jf. endvidere udtalelse 06/2014 fra Artikel 29-Databeskyttelsesgruppen om »Begrebet den registeransvarliges legitime interesser som omhandlet i artikel 7 i direktiv 95/46/EF« (844/14/EN WP 217), s. 25.

61 –      Som jeg har foreslået andetsteds, skal det »ikke blot […] fastslå[s], at der er konkurrerende legitime interesser, men også, at de vejer tungere end den registreredes interesser eller rettigheder og frihedsrettigheder«. Jf. mit forslag til afgørelse Rīgas satiksme (C-13/16, EU:C:2017:43, punkt 56 og 66-69 samt den deri nævnte retspraksis).

62 –      Dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 31 og den deri nævnte retspraksis).

63 –      Der skal være et passende forhold mellem formål (den påberåbte legitime interesse) og de valgte hjælpemidler (de behandlede personoplysninger). Jf. i denne sammenhæng dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 30 og den deri nævnte retspraksis).

64 –      Dette forslag til afgørelses punkt 76-82 ovenfor.

65 –      Punkt 84-88 ovenfor.

66 –      Hvilket selvfølgelig ikke udelukker, at andre potentielle (og efterfølgende) registeransvarlige kan have en sådan pligt med hensyn til deres respektive databehandlingsaktiviteter.

67 –      Punkt 132 ovenfor. Jf. Artikel 29-Databeskyttelsesgruppens dokument 02/2013 indeholdende retningslinjer for indhentning af samtykke til cookies, 1676/13/EN WP 208, 2.10.2013, s. 4. Jf. endvidere Artikel 29-Databeskyttelsesgruppens udtalelse 15/2011 om definitionen af samtykke 1197/11/EN WP187, 13.7.2011, s. 9.