CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2019:629

DOMSTOLENS DOM (Anden Afdeling)

29. juli 2019 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46/EF – artikel 2, litra d) – begrebet »den registeransvarlige« – operatør af et websted, som har integreret et socialt modul på dette websted, der muliggør overførsel af personoplysninger fra den besøgende på dette websted til udbyderen af nævnte modul – artikel 7, litra f) – grundlaget for behandling af oplysninger – hensyntagen til websideoperatørens eller udbyderen af det sociale moduls legitime interesse – artikel 2, litra h), og artikel 7, litra a) – den registreredes samtykke – artikel 10 – oplysningspligt over for den registrerede – national lovgivning, der giver forbrugerbeskyttelsesorganisationer søgsmålskompetence«

I sag C-40/17,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Oberlandesgericht Düsseldorf (den regionale appeldomstol i Düsseldorf, Tyskland) ved afgørelse af 19. januar 2017, indgået til Domstolen den 26. januar 2017, i sagen:

Fashion ID GmbH & Co. KG

mod

Verbraucherzentrale NRW eV,

procesdeltagere:

Facebook Ireland Ltd,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,

har

DOMSTOLEN (Anden Afdeling),

sammensat af Domstolens præsident, K. Lenaerts, som fungerende formand for Anden Afdeling, og dommerne A. Prechal, C. Toader, A. Rosas (refererende dommer) og M. Ilešič,

generaladvokat: M. Bobek,

justitssekretær: kontorchef D. Dittert,

på grundlag af den skriftlige forhandling og efter retsmødet den 6. september 2018,

efter at der er afgivet indlæg af:

– Fashion ID GmbH & Co. KG ved Rechtsanwälte C.-M. Althaus og J. Nebel,

– Verbraucherzentrale NRW eV ved Rechtsanwälte K. Kruse, C. Rempe og S. Meyer,

– Facebook Ireland Ltd ved Rechtsanwälte H.-G. Kamann, C. Schwedler og M. Braun, samt ved avvocatessa I. Perego,

– Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ved U. Merger, som befuldmægtiget,

– den tyske regering først ved T. Henze og J. Möller, som befuldmægtigede, derefter ved J. Möller, som befuldmægtiget,

– den belgiske regering ved P. Cottin og L. Van den Broeck, som befuldmægtigede,

– den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato P. Gentili,

– den østrigske regering først ved C. Pesendorfer, som befuldmægtiget, derefter ved G. Kunnert, som befuldmægtiget,

– den polske regering ved B. Majczyna, som befuldmægtiget,

– Europa-Kommissionen ved H. Krämer og H. Kranenborg, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 19. december 2018,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 2, 7, 10 og 22-24 i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

2 Denne anmodning er indgivet i forbindelse med en tvist mellem Fashion ID GmbH & Co. KG og Verbraucherzentrale NRW eV angående Fashion ID’s integration af et socialt modul fra Facebook Ireland Ltd på førstnævnte selskabs websted.

Retsforskrifter

EU-retten

3 Direktiv 95/46 blev ophævet med virkning fra den 25. maj 2018 og erstattet af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EUT 2016, L 119, s. 1). Henset til tidspunktet for de faktiske omstændigheder i hovedsagen finder dette direktiv imidlertid anvendelse på hovedsagen.

4 Tiende betragtning til direktiv 95/46 har følgende ordlyd:

»[M]edlemsstaternes lovgivning om behandling af personoplysninger skal sikre overholdelsen af de grundlæggende rettigheder og frihedsrettigheder, navnlig den ret til privatlivets fred, der er fastslået i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder[, undertegnet i Rom den 4. november 1950,] og i [EU-]rettens generelle principper; af denne grund må en indbyrdes tilnærmelse af lovgivningerne ikke medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i [Unionen].«

5 Artikel 1 i direktiv 95/46 fastsætter:

»1. Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

2. Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.«

6 Dette direktivs artikel 2 bestemmer:

»I dette direktiv forstås ved:

a) »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet

b) »behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse

[…]

d) »den registeransvarlige« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved nationale love eller forskrifter eller på [EU-plan], kan den registeransvarlige, eller de specifikke kriterier for udpegelse af denne, angives i den pågældende nationale ret eller i [EU-]retten

[…]

f) »tredjemand« enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den registeransvarlige, registerføreren og de personer under den registeransvarliges eller registerførerens direkte myndighed, der er beføjet til at behandle oplysningerne

g) »modtager« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand; myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere

h) »den registreredes samtykke« enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.«

7 Nævnte direktivs artikel 7 har følgende ordlyd:

»Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted hvis:

a) der ikke hersker tvivl om, at den registrerede har givet sit samtykke,

eller

[…]

f) behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor.«

8 Samme direktivs artikel 10 med overskriften »Oplysningspligt ved indsamling af oplysninger hos den registrerede« har følgende ordlyd:

»Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes repræsentant skal give den person, hos og om hvem der indsamles oplysninger, mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:

a) den registeransvarliges og eventuelt dennes repræsentants identitet

b) formålene med den behandling, hvortil oplysningerne er bestemt

c) alle yderligere informationer som f.eks.:

– modtagerne eller kategorierne af modtagere

– om det er obligatorisk eller frivilligt at besvare spørgsmålene samt mulige følger af ikke at svare

– hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.«

9 Artikel 22 i direktiv 95/46 har følgende ordlyd:

»Uden at foregribe muligheden for at iværksætte administrativ klage, herunder for den tilsynsmyndighed, der er nævnt i artikel 28, inden forelæggelse for retsinstanser, fastsætter medlemsstaterne bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den pågældende behandling.«

10 Dette direktivs artikel 23 har følgende ordlyd:

»1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige.

2. Den registeransvarlige kan helt eller delvis fritages for erstatningsansvar for skade, hvis han beviser, at han ikke er skyld i den begivenhed, der medførte skaden.«

11 Direktivets artikel 24 fastsætter:

»Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang, og de fastsætter bl.a. de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til dette direktivs gennemførelse.«

12 Samme direktivs artikel 28 bestemmer:

»1. Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.

Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem.

[…]

3. Hver tilsynsmyndighed skal bl.a. kunne:

[…]

– indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

[…]

4. Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den registrerede underrettes om, hvorledes sagen følges op.

[…]«

13 Artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 (EUT 2009, L 337, s. 11) (herefter »direktiv 2002/58«), fastsætter:

»Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv [95/46] at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«

14 Artikel 1, stk. 1, i Europa-Parlamentets og Rådets direktiv 2009/22/EF af 23. april 2009 om søgsmål med påstand om forbud på området beskyttelse af forbrugernes interesser (EFT 2009, L 110, s. 30), som ændret ved Europa-Parlamentets og Rådets forordning (EU) nr. 524/2013 af 21. maj 2013 (EUT 2013, L 165, s. 1, herefter »direktiv 2009/22«), bestemmer:

»Formålet med dette direktiv er en indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser vedrørende søgsmål med påstand om forbud som omhandlet i artikel 2 til beskyttelse af forbrugernes kollektive interesser som omhandlet EU-retsakterne i bilag I, således at det sikres, at det indre marked fungerer korrekt.«

15 Direktivets artikel 2 fastsætter:

»1. Medlemsstaterne udpeger de domstole eller administrative myndigheder, der har kompetence til at træffe afgørelse i sager, der er indbragt af de i medfør af artikel 3 godkendte organer/organisationer, med henblik på:

a) hurtigst muligt og efter omstændighederne gennem en foreløbig afgørelse at kræve, at overtrædelsen bringes til ophør, eller at der nedlægges forbud mod den

[…]«

16 Nævnte direktivs artikel 7 bestemmer:

»Dette direktiv er ikke til hinder for, at medlemsstaterne indfører eller opretholder bestemmelser, der på nationalt plan sikrer de godkendte organer/organisationer samt alle andre berørte personer større handlefrihed.«

17 Artikel 80 i forordning 2016/679 er affattet således:

»1. Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 77, 78 og 79, på sine vegne og til, hvis det er fastsat i medlemsstaternes nationale ret, at udøve retten til at modtage erstatning som omhandlet i artikel 82 på sine vegne.

2. Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis den/det har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.«

Tysk ret

18 § 3, stk. 1, i Gesetz gegen den unlauteren Wettbewerb (lov om illoyal konkurrence), i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »UWG«), bestemmer:

»Illoyale kommercielle handlinger er ulovlige.«

19 UWG’s § 3a er affattet som følger:

»Illoyalt handler den, som handler i strid med en lovbestemmelse, der også har til formål at regulere de handlendes adfærd på markedet i markedsaktørernes interesse, for så vidt som overtrædelsen mærkbart kan skade forbrugernes, øvrige markedsaktørers eller konkurrenters interesser.«

20 UWG’s § 8 bestemmer:

»(1) Den, som tager del i ulovlig handelspraksis i henhold til § 3 eller § 7 kan sanktioneres med et påbud om øjeblikkeligt ophør og i tilfælde af risiko for gentagelse med et forbud mod at foretage fremtidige handlinger. Retten til at begære forbud mod fremtidige handlinger indtræder, når der foreligger risiko for krænkelse af § 3 eller § 7.

[…]

(3) Forbud og påbud i henhold til stk. 1 kan begæres af:

[…]

3. godkendte organer/organisationer, som dokumenterer, at de er optaget på listen over godkendte organer/organisationer i henhold til § 4 i Unterlassungsklagegesetz [(lov om søgsmål med påstand om forbud)] (herefter »UKlaG«) eller i Europa-Kommissionens fortegnelse, der er omhandlet i artikel 4, stk. 3, i direktiv [2009/22]

[…]«

21 UKlaG’s § 2 fastsætter:

»(1) Den, som på anden måde end ved anvendelse eller anbefaling af almindelige betingelser handler i strid med regler om forbrugerbeskyttelse (forbrugerbeskyttelseslove), kan give anledning til et forbud mod fremtidige handlinger og et påbud om øjeblikkeligt ophør af hensyn til forbrugerbeskyttelsen. […]

(2) Ved forbrugerbeskyttelseslove som omhandlet i denne bestemmelse skal navnlig forstås:

[…]

11. bestemmelserne om lovligheden af

a) en virksomheds indsamling af en forbrugers personoplysninger eller

b) behandling eller anvendelse af forbrugers personoplysninger, som er indsamlet af en erhvervsdrivende,

såfremt oplysningerne indsamles, behandles eller anvendes til reklameformål, markeds- og opinionsforskning, drift af et oplysningsbureau, udarbejdelse af personligheds- og brugerprofiler, anden handel med oplysninger eller til sammenlignelige kommercielle formål.«

22 § 12, stk. 1, i Telemediengesetz (lov om elektroniske medier, herefter »TMG«) har følgende ordlyd:

»Tjenesteudbyderen må kun indsamle og anvende personoplysninger med henblik på at give adgang til elektroniske medier, i det omfang dette er tilladt i henhold til denne lov eller en anden retsforskrift, der udtrykkelig vedrører elektroniske medier, eller brugeren har givet sit samtykke hertil.«

23 TMG’s § 13, stk. 1, bestemmer:

»Tjenesteudbyderen skal ved sessionens begyndelse informere brugeren om arten, omfanget og formålet med at indsamle og anvende personoplysninger samt om behandlingen af hans oplysninger i stater uden for anvendelsesområdet for direktiv [95/46] i almindeligt forståelig form, medmindre en sådan orientering allerede har fundet sted. I forbindelse med automatiserede procedurer, som muliggør en senere identifikation af brugeren og forbereder indsamling eller anvendelse af personoplysninger, skal brugeren orienteres allerede ved begyndelsen af denne procedure. Brugeren skal til enhver tid kunne hente indholdet af denne information.«

24 TMG’s § 15, stk. 1, bestemmer:

»Tjenesteudbyderen må kun indsamle og anvende personoplysninger om en bruger i det omfang, dette er nødvendigt for at give adgang til de elektroniske medier (oplysninger om brugen) og afregningen heraf. Oplysninger om brugen er navnlig

1. oplysninger til identifikation af brugeren

2. oplysninger om påbegyndelse og afslutning af den pågældende brug og omfanget af brugen

3. oplysninger om de elektroniske medier, som brugeren har anvendt.«

Tvisten i hovedsagen og de præjudicielle spørgsmål

25 Fashion ID, der er en virksomhed, som sælger modetøj online, integrerede det sociale modul »synes godt om« fra det sociale netværk Facebook (herefter »»synes godt om«-knappen fra Facebook«) på sit websted.

26 Det fremgår af forelæggelsesafgørelsen, at en af Internettets egenskaber er, at et websteds besøgendes browser kan vise indhold fra forskellige kilder. Til illustration heraf kan fotos, videoer, nyheder og den i hovedsagen omhandlede »synes godt om«-knap fra Facebook integreres og figurere på et websted. Såfremt operatøren af et websted ønsker at integrere sådant eksternt indhold, indsætter den pågældende på sit websted et link til det eksterne indhold. Når webstedets besøgendes browser støder på et sådan link, rekvirerer den indholdet fra den eksterne udbyder og integrerer det på det ønskede sted i visningen af internetsiden. Browseren giver i denne henseende den eksterne udbyders server oplysning om nævnte besøgendes computers IP-adresse og tekniske oplysninger om browseren, så serveren kan afgøre, i hvilket format indholdet skal sendes til denne adresse. Desuden overfører browseren oplysninger om det ønskede indhold. Operatøren af et websted, der integrerer det eksterne indhold på sit websted, har ingen indflydelse på, hvilke oplysninger browseren overfører, eller hvad den eksterne udbyder gør med disse oplysninger, herunder særligt om den pågældende lagrer og gør brug af dem.

27 Hvad navnlig angår »synes godt om«-knappen fra Facebook synes det at fremgå af forelæggelsesafgørelsen, at når en besøgende konsulterer Fashion ID’s websted, overføres denne besøgendes personoplysninger til Facebook Ireland, fordi dette websted har integreret nævnte knap. Det lader til, at denne transmission finder sted, uden at nævnte bruger er bevidst om dette, og uafhængigt af, om den pågældende er medlem af det sociale netværk Facebook, eller om vedkommende har klikket på »synes godt om«-knappen fra Facebook.

28 Verbraucherzentrale NRW, der er en almennyttig forbrugerbeskyttelsesorganisation, har kritiseret Fashion ID for at have overført personoplysninger vedrørende webstedets besøgende til Facebook Ireland, dels uden de besøgendes samtykke, dels i strid med de oplysningskrav, der er fastsat i bestemmelserne om beskyttelse af personoplysninger.

29 Verbraucherzentrale NRW anlagde sag ved Landgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland) med påstand om, at Fashion ID skulle bringe denne praksis til ophør.

30 Ved afgørelse af 9. marts 2016 gav Landgericht Düsseldorf (den regionale ret i første instans i Düsseldorf) Verbraucherzentrale NRW delvis medhold i påstandene efter at have anerkendt, at denne organisation havde søgsmålskompetence i henhold til UWG’s § 8, stk. 3, nr. 3.

31 Fashion ID appellerede denne afgørelse til den forelæggende ret, Oberlandesgericht Düsseldorf (den regionale appeldomstol i Düsseldorf, Tyskland). Facebook Ireland intervenerede i denne appel til støtte for Fashion ID. Verbraucherzentrale NRW iværksatte for sit vedkommende kontraappel med påstand om domfældelse af Fashion ID som ved førsteinstansen.

32 For den forelæggende ret har Fashion ID gjort gældende, at afgørelsen fra Landgericht Düsseldorf (den regionale ret i første instans i Düsseldorf) ikke er forenelig med direktiv 95/46.

33 For det første har Fashion ID gjort gældende, at nævnte direktivs artikel 22-24 kun omhandler de retlige fremgangsmåder for personer, som er genstand for en behandling af personoplysninger, og de kompetente tilsynsmyndigheder. Følgelig kan det af Verbraucherzentrale NRW anlagte søgsmål ikke antages til realitetsbehandling, da denne organisation ikke har søgsmålskompetence inden for rammerne af direktiv 95/46.

34 For det andet er Fashion ID af den opfattelse, at Landgericht Düsseldorf (den regionale ret i første instans i Düsseldorf) begik en fejl, da den fastslog, at Fashion ID var den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46, for så vidt som selskabet hverken har nogen indflydelse på de oplysninger, der bliver overført af webstedets besøgendes browser, eller hvorvidt eller i givet fald hvordan Facebook Ireland vil bruge dem.

35 Den forelæggende ret er først og fremmest i tvivl om, hvorvidt direktiv 95/46 tildeler almennyttige organisationer søgsmålskompetence med henblik på at varetage skadelidte personers interesser. Den forelæggende ret er af en den opfattelse, at dette direktivs artikel 24 ikke forhindrer organisationerne i at optræde som part i retssager, eftersom medlemsstaterne i henhold til denne bestemmelses ordlyd skal træffe de »nødvendige foranstaltninger« til at sikre, at direktivet gennemføres i fuldt omfang. Den forelæggende ret mener derfor, at en national lovgivning, der gør det muligt for organisationer at indgive søgsmål på vegne af forbrugere, ville kunne udgøre en sådan nødvendig foranstaltning.

36 Den forelæggende ret har i denne forbindelse bemærket, at artikel 80, stk. 2, i forordning 2016/679, der erstattede og ophævede direktiv 95/46, udtrykkeligt giver en sådan sammenslutning ret til at anlægge en sag, hvilket synes at bekræfte, at dette sidstnævnte direktiv ikke var til hinder for et sådant sagsanlæg.

37 Den forelæggende ret er endvidere i tvivl om, hvorvidt operatøren af et websted, såsom Fashion ID, som integrerer et socialt modul på dette websted, der gør det muligt at indsamle personoplysninger, skal anses for »den registeransvarlige« i henhold til artikel 2, litra d), i direktiv 95/46, når den pågældende operatør ikke har nogen indflydelse på behandlingen af de oplysninger, der overføres til udbyderen af nævnte modul. I denne henseende har den forelæggende ret henvist til den sag, der gav anledning til dom af 5. juni 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388), angående et tilsvarende spørgsmål.

38 Såfremt Fashion ID ikke skal anses for at være den registeransvarlige, har den forelæggende ret subsidiært rejst tvivl om, hvorvidt dette direktiv udtømmende regulerer dette begreb, således at det er til hinder for en national lovgivning, der fastsætter et erstatningsansvar for tredjemands handlinger i tilfælde af krænkelse af databeskyttelsesrettigheder. Den forelæggende ret har således bekræftet, at det er muligt, at Fashion ID ifalder et ansvar i henhold til national ret i sin egenskab af at være »forstyrrende mellemmand« (»Störer«).

39 Hvis Fashion ID skal anses for at være den registeransvarlige eller i det mindste vil kunne pådrage sig ansvar som »forstyrrende mellemmand« for Facebook Irelands eventuelle krænkelser af databeskyttelsen, er den forelæggende ret i tvivl om, hvorvidt den i hovedsagen omhandlede behandling af personoplysninger er lovlig, og om oplysningspligten over for den registrerede i henhold til artikel 10 i direktiv 95/46 påhvilede Fashion ID eller Facebook Ireland.

40 Således er den forelæggende ret for det første i tvivl om, hvorvidt det i en situation som den i hovedsagen omhandlede under hensyntagen til betingelserne for lovlig behandling, der er fastsat i artikel 7, litra f), i direktiv 95/46, er nødvendigt at tage hensyn til websideoperatørens eller udbyderen af det sociale moduls legitime interesse.

41 For det andet er den forelæggende ret i tvivl om, hvem pligten til at indhente samtykke og til at give oplysning over for de registrerede personer, hvis personoplysninger behandles, påhviler i en situation som den i hovedsagen omhandlede. Den forelæggende ret mener, at spørgsmålet om, hvem oplysningspligten over for de registrerede, som fastsat i artikel 10 i direktiv 95/46, påhviler, er særligt vigtigt, idet enhver integration af eksternt indhold på et websted i princippet giver anledning til en behandling af personoplysninger, hvis omfang og formål imidlertid er ukendt for den, der udfører integrationen af dette indhold, dvs. den pågældende websideoperatør. Den pågældende operatør ville af denne grund ikke kunne give den skyldige oplysning, forudsat at denne er forpligtet hertil, hvorfor det i praksis ville medføre et forbud mod at integrere eksternt indhold, hvis oplysningspligten over for den registrerede påhviler operatøren.

42 Under disse omstændigheder har Oberlandesgericht Düsseldorf (den regionale appeldomstol i Düsseldorf) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Er ordningen i artikel 22, 23 og 24 i [direktiv 95/46] til hinder for en national bestemmelse, som foruden databeskyttelsesmyndighedernes muligheder for at gribe ind og den berørtes retsmidler indrømmer [almennyttige] forbrugerorganisationer beføjelse til at anlægge sag mod den krænkende?

Såfremt det første spørgsmål besvares benægtende:

2) Er det i en sag som den foreliggende, hvor en person integrerer en programkode i sin internetside, som får brugerens browser til at rekvirere indhold fra en tredjemand og til dette formål videresende personoplysninger til denne tredjemand, den integrerende person, som er »den registeransvarlige« som omhandlet i artikel 2, litra d), i [direktiv 95/46], hvis han ikke selv kan påvirke denne databehandlingsproces?

3) Såfremt [det] andet spørgsmål besvares benægtende: Skal artikel 2, litra d), i direktiv [95/46] fortolkes således, at den regulerer ansvar og kompetence endeligt i den forstand, at den er til hinder for et civilretligt krav mod en tredjemand, som ganske vist ikke er »den registeransvarlige«, men som etablerer årsagen til behandlingsprocessen uden at påvirke denne?

4) Hvis »legitime interesse« skal der tages udgangspunkt i i en konstruktion som den foreliggende i forbindelse med den afvejning, der skal foretages i henhold til artikel 7, litra f), i direktiv [95/46]? Er det interessen i at integrere eksternt indhold eller tredjemandens interesse?

5) Over for hvem skal det samtykke erklæres, som kræves i henhold til artikel 7, litra a), og artikel 2, litra h), i direktiv [95/46], i en sammenhæng som den foreliggende?

6) Gælder oplysningspligten i artikel 10 i direktiv [95/46] i en situation som den foreliggende også operatøren af en hjemmeside, som har integreret en tredjemands indhold og dermed etablerer årsagen til tredjemandens behandling af personoplysninger?«

Om de præjudicielle spørgsmål

Det første spørgsmål

43 Med sit første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 22-24 i direktiv 95/46 skal fortolkes således, at de er til hinder for en national lovgivning, der gør det muligt for forbrugerbeskyttelsesorganisationer at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger.

44 Det skal indledningsvis bemærkes, at i overensstemmelse med artikel 22 i direktiv 95/46 fastsætter medlemsstaterne bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den pågældende behandling.

45 Artikel 28, stk. 3, tredje afsnit, i direktiv 95/46 bestemmer, at en tilsynsmyndighed, der i henhold til dette direktivs artikel 28, stk. 1, har til opgave på den pågældende medlemsstats område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af nævnte direktiv, bl.a. kan indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

46 Hvad angår artikel 28, stk. 4, i direktiv 95/46 fastsætter denne bestemmelse, at en tilsynsmyndighed kan forelægges en anmodning fra en sammenslutning, der repræsenterer den registrerede som omhandlet i dette direktivs artikel 2, litra a), om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger.

47 Nævnte direktiv indeholder imidlertid ingen bestemmelser, der pålægger medlemsstaterne en pligt til at fastsætte bestemmelser – eller som udtrykkeligt giver dem beføjelse til at fastsætte bestemmelser – i national ret angående en sådan organisations ret til at føre retssag for en sådan person eller anlægge sag på eget initiativ mod den, der formodes at have krænket beskyttelsen af personoplysninger.

48 Det betyder imidlertid ikke, at direktiv 95/46 er til hinder for en national lovgivning, der giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den person, der formodes at have begået en sådan krænkelse.

49 I henhold til artikel 288, stk. 3, TEUF er medlemsstaterne forpligtet til i forbindelse med gennemførelsen af et direktiv at sikre dets fulde virkning, selv om de ganske vist har et vidt skøn for så vidt angår valget af de fremgangsmåder og midler, der skal sikre direktivets gennemførelse. Selv om medlemsstaterne frit kan vælge de fremgangsmåder og midler, der skal sikre direktivets gennemførelse, berører denne adgang ikke forpligtelsen for hver medlemsstat, som direktivet retter sig til, til at træffe alle foranstaltninger, der er nødvendige for at sikre direktivet fuld virkning i overensstemmelse med dets formål (dom af 6.10.2010, Base m.fl., C-389/08, EU:C:2010:584, præmis 24 og 25, og af 22.2.2018, Porras Guisado, C-103/16, EU:C:2018:99, præmis 57).

50 Det skal i denne forbindelse bemærkes, at en af de målsætninger, der ligger til grund for direktiv 95/46, er at sikre en effektiv og fuldstændig beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger (jf. i denne retning dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 53, og af 27.9.2017, Puškár, C-73/16, EU:C:2017:725, præmis 38). I tiende betragtning hertil præciseres det, at tilnærmelsen af de nationale lovgivninger, der finder anvendelse på området, ikke må medføre en forringelse af den beskyttelse, disse yder, men at den tværtimod skal have til formål at sikre et højt beskyttelsesniveau inden for Unionen (dom af 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, præmis 95, af 16.12.2008, Huber, C-524/06, EU:C:2008:724, præmis 50, og af 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 og C-469/10, EU:C:2011:777, præmis 28).

51 Den omstændighed, at en medlemsstat i sin nationale lovgivning fastsætter en mulighed for, at en forbrugerbeskyttelsesorganisation kan anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, kan på ingen måde skade dennes formål, men bidrager derimod til at gennemføre disse formål.

52 Fashion ID og Facebook Ireland har imidlertid anført, at for så vidt som direktiv 95/46 har gennemført en fuldstændig harmonisering af de nationale bestemmelser angående databeskyttelse, er ethvert sagsanlæg, der ikke er udtrykkeligt fastsat heri, udelukket. Artikel 22, 23 og 28 i direktiv 95/46 begrænser sig imidlertid til at fastsætte denne klagemulighed for de registrerede og databeskyttelsesmyndighederne.

53 Denne argumentation kan imidlertid ikke tiltrædes.

54 Det er korrekt, at direktiv 95/46 fører til en harmonisering af de nationale lovgivninger angående beskyttelse af personoplysninger, som i princippet er fuldstændig (jf. i denne retning dom af 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 og C-469/10, EU:C:2011:777, præmis 29, og af 7.11.2013, IPI, C-473/12, EU:C:2013:715, præmis 31).

55 Domstolen har således udtalt, at det nævnte direktivs artikel 7 fastsætter en udtømmende og fuldstændig liste over de tilfælde, hvor en behandling af personoplysninger kan anses for at være lovlig, og at medlemsstaterne hverken kan tilføje nye principper vedrørende grundlaget for behandling af personoplysninger i den nævnte artikel eller fastsætte supplerende krav, som ændrer rækkevidden af et af de seks principper, der er fastsat i denne artikel (dom af 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 og C-469/10, EU:C:2011:777, præmis 30 og 32, og af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 57).

56 Domstolen har imidlertid ligeledes præciseret, at direktiv 95/46 indeholder bestemmelser, der er relativt generelle, da de skal kunne finde anvendelse på mange meget forskellige situationer. Disse bestemmelser er kendetegnet ved en vis fleksibilitet og overlader i mange tilfælde medlemsstaterne at fastlægge detaljerne eller at vælge mellem muligheder, hvorfor medlemsstaterne ganske vist i mange henseender har et betydeligt råderum med henblik på gennemførelsen af nævnte direktiv (jf. i denne retning dom af 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, præmis 83, 84 og 97, og af 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 og C-469/10, EU:C:2011:777, præmis 35).

57 Dette gælder ligeledes artikel 22-24 i direktiv 95/46, som – således som generaladvokaten har anført i punkt 42 i forslaget til afgørelse – er affattet i generelle vendinger og ikke anvender en udtømmende harmonisering af de nationale bestemmelser angående adgang til domstolsprøvelse, som ville kunne anvendes med hensyn til den, der formodes at have krænket beskyttelsen af personoplysninger (jf. analogt dom af 26.10.2017, I, C-195/16, EU:C:2017:815, præmis 57 og 58).

58 Selv om dette direktivs artikel 22 forpligter medlemsstaterne til at fastsætte bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den omhandlede behandling af personoplysninger, indeholder nævnte direktiv imidlertid ingen bestemmelser, der specifikt regulerer de betingelser, hvorefter en sådan klageadgang kan udøves (jf. i denne retning dom af 27.9.2017, Puškár, C-73/16, EU:C:2017:725, præmis 54 og 55).

59 Desuden bestemmer artikel 24 i direktiv 95/46, at medlemsstaterne træffer de »nødvendige foranstaltninger« til at sikre, at dette direktiv gennemføres i fuldt omfang, uden at definere sådanne foranstaltninger. Det fremstår imidlertid således, at fastsættelsen af muligheden for, at en forbrugerbeskyttelsesorganisation kan anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, kan udgøre en nødvendig foranstaltning i denne bestemmelses forstand, der – som anført i nærværende doms præmis 51 – bidrager til gennemførelsen af nævnte direktivs formål i overensstemmelse med Domstolens praksis (jf. i denne henseende dom af 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, præmis 97).

60 I modsætning til, hvad Fashion ID har gjort gældende, synes den omstændighed, at en medlemsstat fastsætter en sådan mulighed i sin nationale lovgivning, desuden ikke at gribe ind i den uafhængighed, hvormed tilsynsmyndighederne skal udføre de opgaver, som de er pålagt i henhold til kravene i artikel 28 i direktiv 95/46, for så vidt som denne mulighed hverken påvirker disse myndigheders skønsbeføjelser eller deres handlefrihed.

61 Selv om det er korrekt, at direktiv 95/46 ikke er opført blandt de retsakter, der er anført i bilag I til direktiv 2009/22, har dette sidstnævnte direktiv i henhold til direktivets artikel 7 dog ikke gennemført en udtømmende harmonisering i denne forbindelse.

62 Endelig bemærkes, at den omstændighed, at forordning 2016/679, der ophævede og erstattede direktiv 95/46, og som har været gældende siden den 25. maj 2018, i forordningens artikel 80, stk. 2, udtrykkeligt tillader medlemsstaterne at give forbrugerbeskyttelsesorganisationer ret til at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, på ingen måde indebærer, at medlemsstaterne ikke kunne tildele dem denne ret i henhold til direktiv 95/46, men bekræfter derimod, at nærværende doms fortolkning heraf afspejler EU-lovgivers hensigt.

63 På baggrund af samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at artikel 22-24 i direktiv 95/46 skal fortolkes således, at de ikke er til hinder for en national lovgivning, der gør det muligt for forbrugerbeskyttelsesorganisationer at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger.

Det andet spørgsmål

64 Med sit andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om operatøren for et websted, såsom Fashion ID, som på dette websted integrerer et socialt modul, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, kan anses for at være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46, selv om denne operatør ingen indflydelse har på behandlingen af de oplysninger, som overføres til denne udbyder.

65 Det skal i denne henseende bemærkes, at i overensstemmelse med formålet med direktiv 95/46 om at sikre et højt beskyttelsesniveau af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger, definerer direktivets artikel 2, litra d), begrebet »den registeransvarlige« bredt som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger (jf. denne retning dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 26 og 27).

66 Som Domstolen allerede har fastslået, er formålet med denne bestemmelse at sikre en effektiv og fuldstændig beskyttelse af de berørte personer ved at fastsætte en bred definition af begrebet »den registeransvarlige« (dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 34, og af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 28).

67 Da det desuden er udtrykkeligt bestemt i artikel 2, litra d), i direktiv 95/46, at begrebet »den registeransvarlige« omfatter det organ, der »alene eller sammen med andre« afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, henviser dette begreb ikke nødvendigvis til et enkelt organ og kan vedrøre flere aktører, som deltager i denne behandling, og derfor er de alle undergivet de anvendelige bestemmelser om databeskyttelse (jf. i denne retning dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 29, og af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 65).

68 Domstolen har ligeledes fastslået, at en fysisk eller juridisk person, der til eget formål udøver indflydelse på behandlingen af personoplysninger og grundet den omstændighed deltager i fastlæggelsen af formålene med og hjælpemidlerne ved denne behandling, til gengæld kan anses for den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46 (dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 68).

69 Derudover forudsætter et fælles ansvar for flere aktører for den samme behandling som omhandlet i denne bestemmelse ikke, at hver af disse har adgang til de omhandlede personoplysninger (jf. i denne retning dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 38, og af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 69).

70 Da formålet med artikel 2, litra d), i direktiv 95/46 er – ved en bred definitionen af begrebet »den registeransvarlige« – at sikre en effektiv og fuldstændig beskyttelse af de berørte personer, indebærer tilstedeværelsen af et fælles ansvar ikke nødvendigvis, at forskellige aktører har samme ansvar for den samme behandling af personoplysninger. De forskellige aktører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen (jf. i denne retning dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 66).

71 I denne forbindelse bemærkes for det første, at artikel 2, litra b), i direktiv 95/46 definerer »behandling af personoplysninger« som »enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse«.

72 Det fremgår af denne definition, at en behandling af personoplysninger kan bestå af en eller flere operationer, som hver især omfatter en af de forskellige faser, som kan indeholde en behandling af personoplysninger.

73 For det andet bemærkes, at det følger af definitionen af begrebet »den registeransvarlige« i artikel 2, litra d), i direktiv 95/46, som nævnt i nærværende doms præmis 65, at når flere aktører sammen fastlægger, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, deltager de i denne behandling som registeransvarlige.

74 Heraf følger, således som generaladvokaten i det væsentlige har anført i punkt 101 i forslaget til afgørelse, at en fysisk eller juridisk person alene vil kunne være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46 sammen med andre for behandlingsoperationer vedrørende personoplysninger, hvis denne person er medbestemmende angående formålet og hjælpemidlerne for disse operationer. Derimod og med forbehold for et eventuelt erstatningsansvar i henhold til national ret i denne henseende kan denne fysiske eller juridiske person ikke anses for at være den registeransvarlige som omhandlet i nævnte bestemmelse, for operationer, der indtræder før eller efter rækken af behandlinger, og vedrørende hvilke den pågældende hverken fastlægger formål eller hjælpemidler.

75 Med forbehold for den efterprøvelse, som det tilkommer den forelæggende ret at foretage, fremgår det i den foreliggende sag af de sagsakter, som Domstolen råder over, at Fashion ID ved at integrere »synes godt om«-knappen fra Facebook på sit websted synes at have givet Facebook Ireland mulighed for at indhente personoplysninger vedrørende webstedets besøgende, idet denne mulighed opstår fra det tidspunkt, hvor den pågældende konsulterer webstedet, og dette finder sted uanset om disse besøgende er medlemmer af det sociale netværk Facebook, om de har klikket på »synes godt om«-knappen fra Facebook, eller om de har kendskab til, at en sådan operation finder sted.

76 Henset til disse oplysninger skal det fastslås, at de behandlingsoperationer vedrørende personoplysninger, for hvilke Fashion ID sammen med Facebook Ireland kan fastlægge formålene og hjælpemidlerne, ifølge definitionen af begrebet »behandling af personoplysninger« i artikel 2, litra b), i direktiv 95/46 er indsamling og videregivelse ved transmission af personoplysninger, der vedrører de besøgende på Fashion ID’s websted. Med hensyn til nævnte oplysninger forekommer det derimod umiddelbart udelukket, at Fashion ID fastlægger, til hvilke formål og med hvilke hjælpemidler der efterfølgende foretages behandlingsoperationer vedrørende personoplysninger af Facebook Ireland efter deres transmission til dette selskab, hvorfor Fashion ID ikke kan anses for at være den registeransvarlige for disse operationer som omhandlet i nævnte direktivs artikel 2, litra d).

77 Hvad angår de hjælpemidler, der anvendes til indsamlingen og videregivelsen ved transmission af visse personoplysninger vedrørende de besøgende på Fashion ID’s websted, fremgår det af nærværende doms præmis 75, at Fashion ID synes at have integreret »synes godt om«-knappen fra Facebook, som Facebook Ireland stiller til rådighed for operatører af websteder, på sit websted, idet Fashion ID var bevidst om, at denne knap er et middel til indsamling og transmission af dette websteds besøgendes personoplysninger, uafhængigt af om disse er medlemmer af det sociale netværk Facebook.

78 Ved at integrere et sådant socialt modul på sit websted har Fashion ID desuden på afgørende vis indflydelse på indsamlingen og transmissionen af webstedets besøgendes personoplysninger til udbyderen af nævnte modul, i den foreliggende sag Facebook Ireland, der ikke ville have fundet sted, såfremt nævnte modul ikke var blevet integreret på webstedet.

79 På denne baggrund og med forbehold for den efterprøvelse, som den forelæggende ret skal foretage i denne forbindelse, skal det lægges til grund, at Facebook Ireland og Fashion ID sammen fastlægger, hvilke hjælpemidler der anvendes til indsamlingen og videregivelsen ved transmissionen af Fashion ID’s websteds besøgendes personoplysninger.

80 Hvad angår formålet med nævnte behandlingsoperationer vedrørende personoplysninger lader det til, at Fashion ID’s integration af »synes godt om«-knappen fra Facebook på sit websted, gør det muligt for selskabet at optimere markedsføringen af selskabets varer ved at gøre dem mere synlige på det sociale netværk Facebook, når en besøgende på webstedet klikker på nævnte knap. Det er med henblik på at kunne udnytte denne kommercielle fordel, der består i øget omtale af sine varer, at Fashion ID ved at integrere en sådan knap på sit websted synes at have givet samtykke, i det mindste implicit, til indsamlingen og videregivelsen ved transmission af sit websteds besøgendes personoplysninger, idet disse operationer, der omfatter behandling af personoplysninger, finder sted i både Fashion ID’s og Facebook Irelands økonomiske interesse, idet sidstnævntes rådighed over disse oplysninger med henblik på egen markedsføring er modydelsen for den fordel, der gives Fashion ID.

81 Med forbehold af den efterprøvelse, som det tilkommer den forelæggende ret at foretage, kan det på denne baggrund lægges til grund, at Fashion ID og Facebook sammen fastlægger, til hvilke formål der må foretages operationer til indsamling og videregivelse ved transmission af de i hovedsagen omhandlede personoplysninger.

82 Som det fremgår af den i nærværende doms præmis 69 nævnte retspraksis, er den omstændighed, at operatøren af et websted, såsom Fashion ID, ikke selv har adgang til de personoplysninger, der er indsamlet og overført til udbyderen af det sociale modul, med hvem operatøren i fællesskab fastlægger, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, ikke til hinder for, at denne operatør kan være »den registeransvarlige« som omhandlet i artikel 2, litra d), i direktiv 95/46.

83 Det skal endvidere fremhæves, at et websted såsom Fashion ID besøges af både personer, der er medlemmer af det sociale netværk Facebook, og som derfor råder over en konto til dette sociale netværk, og personer, der ikke har en sådan konto. I dette sidstnævnte tilfælde er det ansvar, der påhviler operatøren for et websted, såsom Fashion ID, i forhold til behandlingen af disse personers personoplysninger endnu vigtigere, da den blotte konsultation af et sådant websted, som indeholder »synes godt om«-knappen fra Facebook, lader til at udløse Facebook Irelands behandling af deres personoplysninger (jf. i denne retning dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 41).

84 Følgelig forekommer det således, at Fashion ID kan anses for at være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46 i fællesskab med Facebook Ireland for indsamlingen og videregivelsen ved transmission af personoplysningerne for webstedets besøgende.

85 Henset til samtlige ovenstående betragtninger skal det andet spørgsmål besvares med, at operatøren for et websted, såsom Fashion ID, som på dette websted integrerer et socialt modul, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, kan anses for at være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.

Det tredje spørgsmål

86 Henset til besvarelsen af det andet spørgsmål er det ufornødent at besvare det tredje spørgsmål.

Det fjerde spørgsmål

87 Med sit fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om der i en situation som den i hovedsagen omhandlede, hvor operatøren af et websted har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, med henblik på anvendelsen af artikel 7, litra f), i direktiv 95/46, skal tages hensyn til den legitime interesse, som denne operatør forfølger, eller den legitime interesse, som nævnte udbyder forfølger.

88 Det skal indledningsvis bemærkes, at dette spørgsmål ifølge Kommissionen ikke er relevant med henblik på løsningen af tvisten i hovedsagen, for så vidt som det i henhold til artikel 5, stk. 3, i direktiv 2002/58 krævede samtykke fra den registrerede ikke er blevet indhentet.

89 Det skal i denne henseende bemærkes, at dette sidstnævnte direktivs artikel 5, stk. 3, fastsætter, at medlemsstaterne skal sikre, at lagring af oplysninger eller adgang til oplysninger, der er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren, der har givet sit samtykke, får klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen i overensstemmelse med direktiv 95/46.

90 Det tilkommer den forelæggende ret at efterprøve, om udbyderen af et socialt modul, såsom Facebook Ireland, i en situation som den i hovedsagen omhandlede, således som Kommissionen har gjort gældende, har adgang til oplysninger, der er lagret i terminaludstyr tilhørende en besøgende på denne operatørs websted som omhandlet i artikel 5, stk. 3, i direktiv 2002/58.

91 Under sådanne omstændigheder og eftersom den forelæggende ret synes at være at den opfattelse, at de oplysninger, der i den foreliggende sag, er blevet overført til Facebook Ireland, udgør personoplysninger som omhandlet i direktiv 95/46, som i øvrigt ikke nødvendigvis begrænser sig til de oplysninger, der er lagret i terminaludstyret, hvilket det tilkommer nævnte ret at kontrollere, kan Kommissionens betragtninger ikke rejse tvivl om det fjerde præjudicielle spørgsmåls relevans med henblik på løsningen af tvisten i hovedsagen, idet dette vedrører den eventuelt lovlige karakter af den i hovedsagen omhandlede behandling af personoplysninger, således som generaladvokaten ligeledes har anført i punkt 115 i forslaget til afgørelse.

92 Det skal følgelig undersøges, hvilken legitim interesse der skal tages hensyn til med henblik på anvendelsen af dette direktivs artikel 7, litra f), på behandlingen af disse oplysninger.

93 I denne henseende bemærkes indledningsvis, at ifølge bestemmelserne i kapitel II i direktiv 95/46, der har overskriften »Almindelige betingelser for lovlig behandling af personoplysninger«, skal enhver behandling af personoplysninger – med forbehold af de i direktivets artikel 13 tilladte undtagelser – foregå i overensstemmelse med navnlig et af de i nævnte direktivs artikel 7 opregnede seks principper vedrørende grundlaget for behandling af oplysninger (jf. i denne retning dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 71, og af 1.10.2015, Bara m.fl., C-201/14, EU:C:2015:638, præmis 30).

94 I henhold til artikel 7, litra f), i direktiv 95/46, som den forelæggende ret ønsker en fortolkning af, er behandling af personoplysninger tilladt, hvis behandlingen er nødvendig for, at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i direktiv 95/46, går forud herfor.

95 Artikel 7, litra f), i direktiv 95/46 fastsætter således tre kumulative betingelser for, at en behandling af personoplysninger er lovlig, nemlig for det første, at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, forfølger en legitim interesse, for det andet, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse, og for det tredje betingelsen om, at de grundlæggende rettigheder og frihedsrettigheder, der tilkommer den person, der er omfattet af beskyttelsen af oplysningerne, ikke går forud herfor (dom af 4.5.2017, Rīgas satiksme, C-13/16, EU:C:2017:336, præmis 28).

96 For så vidt som det med hensyn til besvarelsen af det andet spørgsmål lader til, at operatøren af et websted, som har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, i en situation som den i hovedsagen omhandlede, kan anses for at være ansvarlig i fællesskab med denne udbyder for behandlingen af webstedets besøgendes personoplysninger i form af indsamling og videregivelse ved transmission heraf, er det nødvendigt, at begge de ansvarlige med disse operationer forfølger en legitim interesse som omhandlet i artikel 7, litra f), i direktiv 95/46, for at disse operationer kan retfærdiggøres i forhold til dem.

97 Henset til ovenstående betragtninger skal det fjerde spørgsmål besvares med, at i en situation som den i hovedsagen omhandlede, hvor operatøren af et websted har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, er det nødvendigt, at denne operatør og denne udbyder hver især forfølger en legitim interesse som omhandlet i artikel 7, litra f), i direktiv 95/46, for at disse operationer kan retfærdiggøres i forhold til dem.

Det femte og det sjette spørgsmål

98 Med det femte og det sjette spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst dels, om artikel 2, litra h), og artikel 7, litra a), i direktiv 95/46 skal fortolkes således, at i en situation som den i hovedsagen omhandlede, hvor operatøren af et websted har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, det samtykke, der er omhandlet i disse bestemmelser, skal være indhentet af nævnte operatør eller denne udbyder, dels, om dette direktivs artikel 10 skal fortolkes således, at oplysningspligten, der er fastsat i denne bestemmelse, i en sådan situation påhviler denne operatør.

99 Det følger af besvarelsen af det andet spørgsmål, at operatøren af et websted, der har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, kan anses for at være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46, idet dette ansvar imidlertid begrænses til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilke denne operatør rent faktisk fastlægger, til hvilket formål og på hvilken måde dette må finde sted.

100 Det lader derfor til, at de forpligtelser, der i henhold til direktiv 95/46 ville kunne påhvile denne registeransvarlige, såsom pligten til at indhente samtykke fra den registrerede, der er fastsat i dette direktivs artikel 2, litra h), og artikel 7, litra a), og dennes oplysningspligt, der er fastsat i direktivets artikel 10, skal angå den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilke denne operatør rent faktisk fastlægger, til hvilket formål og på hvilken måde dette må finde sted.

101 Mens operatøren af et websted, der har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, i den foreliggende sag kan anses for at være ansvarlig i fællesskab med denne udbyder for indsamlingen og videregivelsen ved transmission af denne besøgendes personoplysninger, vedrører dennes pligt til at indhente samtykke fra den registrerede, som fastsat i artikel 2, litra h), og artikel 7, litra a), i direktiv 95/46, og dennes oplysningspligt, der er fastsat i dette direktivs artikel 10, alene disse operationer. Disse forpligtelser omfatter derimod ikke operationer, der omfatter behandling af personoplysninger, i andre faser, der indtræder før eller efter nævnte operationer, som i givet fald indebærer den i hovedsagen omhandlede behandling af personoplysninger.

102 Hvad angår det i artikel 2, litra h), og artikel 7, litra a), i direktiv 95/46 omhandlede samtykke fremstår det således, at dette skal være afgivet inden indsamlingen og videregivelsen ved transmission af den registreredes personoplysninger. På denne baggrund påhviler det webstedoperatøren og ikke udbyderen af det sociale modul at indhente dette samtykke, for så vidt som det er den omstændighed, at en besøgende konsulterer dette websted, der udløser behandlingen af personoplysninger. Som generaladvokaten har anført i punkt 132 i sit forslag til afgørelse, vil det ikke være i overensstemmelse med effektiv og rettidig beskyttelse af den registreredes rettigheder, hvis samtykket alene blev givet til den fælles registeransvarlige, som først senere involveres, dvs. udbyderen af nævnte modul. Det samtykke, der skal gives til operatøren, vedrører imidlertid alene den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde denne må finde sted.

103 Det samme gælder for så vidt angår oplysningspligten i henhold til artikel 10 i direktiv 95/46.

104 Det fremgår i denne henseende af denne bestemmelses ordlyd, at den registeransvarlige eller dennes repræsentant skal give den person, hos og om hvem der indsamles oplysninger, mindst de informationer, der er omhandlet i nævnte bestemmelse. Det fremstår derfor således, at den registeransvarlige skal informere herom øjeblikkeligt, dvs. på tidspunktet for indsamlingen af oplysningerne (jf. i denne retning dom af 7.5.2009, Rijkeboer, C-553/07, EU:C:2009:293, præmis 68, og af 7.11.2013, IPI, C-473/12, EU:C:2013:715, præmis 23).

105 Heraf følger, at i en situation som den i hovedsagen omhandlede påhviler den oplysningspligt, der er fastsat i artikel 10 i direktiv 95/46, ligeledes webstedsoperatøren, idet de informationer, som denne skal give den registeransvarlige, imidlertid alene skal vedrøre den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted.

106 Henset til ovenstående betragtninger skal det femte og det sjette spørgsmål besvares med, at artikel 2, litra h), og artikel 7, litra a), i direktiv 95/46 skal fortolkes således, at i en situation som den i hovedsagen omhandlede, hvor operatøren af et websted har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, skal det samtykke, der er omhandlet i disse bestemmelser, være indhentet af denne operatør alene vedrørende den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger, til hvilket formål og på hvilken måde dette må finde sted. Desuden skal dette direktivs artikel 10 fortolkes således, at den oplysningspligt, der er fastsat i denne bestemmelse, i en sådan situation ligeledes påhviler nævnte operatør, idet de informationer, som denne skal give den berørte person, imidlertid alene skal vedrøre den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger, til hvilket formål og på hvilken måde denne må finde sted.

Sagsomkostninger

107 Da sagen i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Anden Afdeling) for ret:

1) Artikel 22-24 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at de ikke er til hinder for en national lovgivning, der gør det muligt for forbrugerbeskyttelsesorganisationer at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger.

2) Operatøren for et websted, såsom Fashion ID GmbH & Co. KG, der på dette websted integrerer et socialt modul, som gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, kan anses for at være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger, til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.

3) I en situation som den i hovedsagen omhandlede, hvor operatøren af et websted har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, er det nødvendigt, at denne operatør og denne udbyder hver især forfølger en legitim interesse som omhandlet i artikel 7, litra f), i direktiv 95/46, for at disse operationer kan retfærdiggøres i forhold til dem.

4) Artikel 2, litra h), og artikel 7, litra a), i direktiv 95/46 skal fortolkes således, at i en situation som den i hovedsagen omhandlede, hvor operatøren af et websted har integreret et socialt modul på dette websted, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, skal det samtykke, der er omhandlet i disse bestemmelser, være indhentet af denne operatør alene vedrørende den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger, til hvilket formål og på hvilken måde dette må finde sted. Desuden skal dette direktivs artikel 10 fortolkes således, at den oplysningspligt, der er fastsat i denne bestemmelse, i en sådan situation ligeledes påhviler nævnte operatør, idet de informationer, som denne skal give den berørte person, imidlertid alene skal vedrøre den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger, til hvilket formål og på hvilken måde denne må finde sted.

Underskrifter

* Processprog: tysk.