Language of document :

Verzoek om een prejudiciële beslissing ingediend door het Oberlandesgericht Düsseldorf (Duitsland) op 22 april 2021 – Facebook Inc. e.a. / Bundeskartellamt

(Zaak C-252/21)

Procestaal: Duits

Verwijzende rechter

Oberlandesgericht Düsseldorf

Partijen in het hoofdgeding

Verzoekende partijen: Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH

Verwerende partij: Bundeskartellamt

In het geding geroepen partij: Verbraucherzentrale Bundesverband e.V.

Prejudiciële vragen

a)    Is het verenigbaar met de artikelen 51 e.v. van verordening EU) 2016/6791 (AVG), wanneer een nationale mededingingsautoriteit van een lidstaat, zoals het Bundeskartellamt (Duitse mededingingsautoriteit), die geen toezichthoudende autoriteit in de zin van de artikelen 51 e.v. AVG is en in wier lidstaat een buiten de Europese Unie gevestigde onderneming een vestiging heeft, die de in een andere lidstaat gelegen hoofdvestiging van deze onderneming, welke de uitsluitende verantwoordelijkheid draagt voor de verwerking van persoonsgegevens voor het gehele gebied van de Europese Unie, ondersteunt op het gebied van advertenties, communicatie en publiciteit, in het kader van het toezicht op misbruik op het gebied van de mededinging vaststelt dat de contractuele bepalingen van de hoofdvestiging inzake de gegevensverwerking en de uitvoering daarvan inbreuk maken op de AVG, en de beëindiging van die inbreuk beveelt?

b)    Zo ja: is dit verenigbaar met artikel 4, lid 3, VEU, wanneer tegelijkertijd de leidende toezichthoudende autoriteit in de lidstaat van de hoofdvestiging in de zin van artikel 56, lid 1, AVG een onderzoek heeft ingesteld naar haar contractuele bepalingen inzake de gegevensverwerking?

Indien de eerste vraag bevestigend moet worden beantwoord:

a)    In het geval dat een internetgebruiker websites of apps waarop de criteria van artikel 9, lid 1, AVG betrekking hebben, bijvoorbeeld flirting-apps, datingsites voor homoseksuelen, websites van politieke partijen, gezondheidsgerelateerde websites, ofwel slechts opent ofwel daar ook gegevens invoert, zoals bij registratie of bestellingen, en een andere onderneming, zoals Facebook Ireland, via op deze websites en apps geïntegreerde interfaces, zoals „Facebook Business Tools”, of via op de computer of een mobiel apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën, de gegevens over het openen van de websites en apps door de gebruiker en over de daar gegeven invoer van de gebruiker verzamelt, met de gegevens van het Facebook-account van de gebruiker verbindt en gebruikt, dient dit verzamelen en/of verbinden en/of gebruiken dan te worden aangemerkt als de verwerking van gevoelige gegevens in de zin van de bepaling?

b)    Zo ja: kan het openen van deze websites en apps en/of het invoeren van gegevens en/of het aanklikken van de op deze websites of apps geïntegreerde knoppen („sociale plugins” zoals „Vind ik leuk”, „Delen” of „Facebook login” of „Account Kit”) van een aanbieder als Facebook Ireland worden beschouwd als het kennelijk openbaar maken van de gegevens via het openen van de website of app als zodanig en/of via de door de gebruiker gegeven invoer in de zin van artikel 9, lid 2, onder e), AVG?

Kan een onderneming als Facebook Ireland, die een door advertenties gefinancierd, digitaal sociaal netwerk exploiteert en in haar gebruiksvoorwaarden de personalisatie van de inhoud en van de advertenties, de netwerkveiligheid, de productverbetering en het consistente en probleemloze gebruik van alle producten van het concern aanbiedt, zich beroepen op de rechtvaardigingsgrond van de noodzakelijkheid voor de uitvoering van een overeenkomst overeenkomstig artikel 6, lid 1, onder b), AVG of op de rechtvaardigingsgrond van de behartiging van gerechtvaardigde belangen overeenkomstig artikel 6, lid 1, onder f), AVG, wanneer de onderneming voor dit doel gegevens uit andere diensten van het concern en uit websites en apps van derden via daarin geïntegreerde interfaces, zoals „Facebook Business Tools”, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën verzamelt, met het Facebook-account van de gebruiker verbindt en gebruikt?

Kunnen in een dergelijk geval tevens

– de minderjarigheid van de gebruikers voor de personalisatie van inhoud en advertenties, productverbetering, netwerkveiligheid en andere dan marketing-gerelateerde communicatie met de gebruiker,

– het aanbieden van metingen, analysen en andere zakelijke diensten aan adverteerders, ontwikkelaars en overige partners zodat deze hun diensten kunnen evalueren en verbeteren,

– het aanbieden van marketingcommunicatie met de gebruiker, zodat de onderneming haar producten kan verbeteren en direct marketing kan toepassen,

– onderzoek en innovatie voor het maatschappelijk belang, om de stand van de techniek respectievelijk het wetenschappelijk begrip ten aanzien van belangrijke sociale onderwerpen te bevorderen en om de maatschappij en de wereld positief te beïnvloeden,

– het informeren van vervolgings- en handhavingsautoriteiten, het reageren op gerechtelijke verzoeken om strafbare feiten, onrechtmatig gebruik, schending van gebruiksvoorwaarden en beleid alsmede overige nadelige gedragingen te voorkomen, op te sporen en te vervolgen,

gerechtvaardigde belangen in de zin van artikel 6, lid 1, onder f), AVG zijn wanneer de onderneming voor deze doeleinden gegevens uit andere diensten van het concern en uit websites en apps van derden via daarin geïntegreerde interfaces, zoals „Facebook Business Tools”, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën verzamelt, met het Facebook-account van de gebruiker verbindt en gebruikt?

Kan in een dergelijk geval het verzamelen van gegevens uit andere diensten van het concern en uit websites en apps van derden via daarin geïntegreerde interfaces, zoals „Facebook Business Tools”, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën, de verbinding met het Facebook-account van de gebruiker en het gebruik of het gebruik van reeds op andere wijze rechtmatig verzamelde en verbonden gegevens in een afzonderlijk geval ook gerechtvaardigd zijn op grond van artikel 6, lid 1, onder c), d) en e), AVG, om bijvoorbeeld te voldoen aan een rechtsgeldig verzoek om bepaalde gegevens [onder c)], om nadelige gedragingen te bestrijden en de veiligheid te bevorderen [onder d)], in het belang van het onderzoek ten behoeve van het welzijn van de maatschappij en ter bevordering van de bescherming, integriteit en veiligheid [onder e)]?

Kan aan een onderneming met een machtspositie zoals Facebook Ireland een effectieve, in het bijzonder overeenkomstig artikel 4, punt 11, AVG vrijwillige toestemming in de zin van artikel 6, lid 1, onder a), en artikel 9, lid 2, onder a), AVG worden verleend?

Indien de eerste vraag ontkennend moet worden beantwoord:

a)    Kan een nationale mededingingsautoriteit van een lidstaat, zoals het Bundeskartellamt, die geen toezichthoudende autoriteit is in de zin van de artikelen 51 e.v. AVG en die een inbreuk van een onderneming met een machtspositie op het kartelrechtelijke misbruikverbod onderzoekt, welke inbreuk niet bestaat in een inbreuk op de AVG door haar voorwaarden inzake de gegevensverwerking en de uitvoering daarvan, in het kader van bijvoorbeeld de belangenafweging vaststellingen doen ten aanzien van de vraag of de voorwaarden inzake gegevensverwerking van deze onderneming en de uitvoering daarvan voldoen aan de AVG?

b)    Zo ja: geldt dit met het oog op artikel 4, lid 3, VEU ook wanneer tegelijkertijd de op grond van artikel 56, lid 1, AVG bevoegde leidende toezichthoudende autoriteit de voorwaarden van deze onderneming inzake de gegevensverwerking onderzoekt?

Indien de zevende vraag bevestigend moet worden beantwoord, moeten de vragen 3 tot en met 5 worden beantwoord ten aanzien van het gebruik van de gegevens voortvloeiende uit het gebruik van de dienst van het concern Instagram.

____________

1     Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1).