CONCLUSIE VAN ADVOCAAT-GENERAAL

Y. BOT

van 24 oktober 2017 (1)

Zaak C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

tegen

Wirtschaftsakademie Schleswig-Holstein GmbH,

in aanwezigheid van

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

[verzoek van het Bundesverwaltungsgericht (hoogste federale bestuursrechter, Duitsland) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Richtlijn 95/46/EG – Artikelen 2, 4 en 28 – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens – Bevel tot deactivering van een fanpagina op het sociale netwerk Facebook – Begrip ‚voor de verwerking verantwoordelijke’ – Verantwoordelijkheid van de beheerder van een fanpagina – Gezamenlijke verantwoordelijkheid – Toepasselijk nationaal recht – Omvang van de bevoegdheden om in te grijpen van de toezichthoudende autoriteiten”

1.        Het onderhavige verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 2, onder d), artikel 4, lid 1, artikel 17, lid 2, en artikel 28, leden 3 en 6, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(2), zoals gewijzigd bij verordening (EG) nr. 1882/2003 van het Europees Parlement en de Raad van 29 september 2003.(3)

2.        Dit verzoek is ingediend in het kader van een geding tussen de Wirtschaftsakademie Schleswig-Holstein GmbH, een privaatrechtelijke onderneming gespecialiseerd op het gebied van onderwijs (hierna: „Wirtschaftsakademie”), en het Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, de regionale gegevensbeschermingsautoriteit van Schleswig-Holstein (hierna: „ULD”), over de rechtmatigheid van een door laatstgenoemde tegen de Wirtschaftsakademie uitgevaardigd bevel tot deactivering van een „fanpagina” (fanpage) op de site van Facebook Ireland Ltd.

3.        Dit bevel berust op de vermeende schending van Duitse bepalingen tot omzetting van richtlijn 95/46, met name doordat de bezoekers van een fanpagina niet worden gewaarschuwd dat hun persoonsgegevens door het sociale netwerk Facebook (hierna: „Facebook”) worden verzameld middels het plaatsen van cookies op hun harde schijf, welke verzameling plaatsvindt om gebruikersstatistieken op te stellen voor de beheerder van deze pagina en om Facebook in staat te stellen gerichte advertenties te verspreiden.

4.        De achtergrond van deze zaak wordt gevormd door het fenomeen „webtracking”, dat bestaat in het observeren en analyseren van het gedrag van internetgebruikers voor handels- en marketingdoeleinden. Deze webtracking maakt het met name mogelijk om de kennelijke interesses van internetgebruikers te identificeren door het observeren van hun surfgedrag. Dit wordt ook wel behaviouraltracking of „gedragstracking” genoemd. Hierbij wordt gewoonlijk gebruikgemaakt van cookies.

5.        Cookies zijn tekstbestandjes die worden opgeslagen op de computer van de internetgebruiker zodra hij een website raadpleegt.

6.        Webtracking wordt met name gebruikt voor het optimaliseren en doelmatiger configureren van een website. Ook kunnen adverteerders hierdoor verschillende segmenten van het publiek gericht aanspreken.

7.        Volgens de definitie van de werkgroep gegevensbescherming „Artikel 29”(4) in haar advies 2/2010 van 22 juni 2010 over online reclame op basis van surfgedrag(5) is „[o]p surfgedrag gebaseerde reclame [...] adverteren op basis van het in de loop der tijd observeren van het gedrag van particulieren. [Deze] reclame is erop gericht de kenmerken van dit gedrag te bestuderen aan de hand van bepaalde handelingen – herhaald bezoek van dezelfde sites, interactie, trefwoorden, online creëren van content – teneinde een specifiek profiel te ontwikkelen en betrokkenen hiermee advertenties aan te bieden die zijn toegesneden op hun kennelijke interesses.”(6) Om dit resultaat te bereiken, moet informatie die afkomstig is van de browser en de eindapparatuur van de gebruiker worden verzameld en vervolgens benut. De voornaamste techniek om de internetgebruikers te volgen maakt gebruik van „tracking cookies”.(7) „Bij deze vorm van reclame wordt [derhalve] gebruikgemaakt van informatie die is verzameld over het surfgedrag van een internetgebruiker, bijvoorbeeld over de pagina’s die hij heeft bezocht of de zoekwoorden die hij heeft opgegeven. Op basis van deze informatie worden de advertenties geselecteerd die aan die persoon worden getoond”.(8)

8.        Het volgen van surfgedrag kan exploitanten van websites ook gebruikersstatistieken verschaffen over de personen die deze sites raadplegen.

9.        Het verzamelen en benutten van persoonsgegevens om gebruikersstatistieken op te stellen en gerichte advertenties te verspreiden, moet aan bepaalde voorwaarden voldoen om in overeenstemming te zijn met de regels inzake de bescherming van persoonsgegevens van richtlijn 95/46. Deze verwerkingen mogen met name niet plaatsvinden zonder voorafgaande kennisgeving aan en toestemming van de betrokkenen.

10.      Het onderzoek van deze overeenstemming veronderstelt evenwel dat vooraf een aantal kwesties wordt afgedaan die betrekking hebben op de definitie van een voor de verwerking verantwoordelijke, de vaststelling van het toepasselijke nationale recht en van de autoriteit die haar bevoegdheden om in te grijpen mag uitoefenen.

11.      De kwestie die betrekking heeft op de aanwijzing van de voor de verwerking verantwoordelijke wordt bijzonder lastig in een situatie waarin een marktdeelnemer besluit om niet over te gaan tot installatie van de tools die nodig zijn voor het opstellen van gebruikersstatistieken en het verspreiden van gerichte advertenties op zijn website, maar om, voor toegang tot vergelijkbare tools, gebruik te maken van een sociaal netwerk als Facebook door het openen van een fanpagina.

12.      De kwesties die betrekking hebben op de vaststelling van het toepasselijke nationale recht en van de autoriteit die bevoegd is om in te grijpen, worden eveneens complex indien bij de betreffende verwerking van persoonsgegevens gebruik wordt gemaakt van meerdere entiteiten, die zowel binnen als buiten de Europese Unie zijn gevestigd.

13.      Nu toezichthoudende autoriteiten van verscheidene lidstaten in de afgelopen maanden hebben besloten geldboeten op te leggen aan Facebook wegens schending van de regels inzake de bescherming van de gegevens van haar gebruikers(9), biedt de ter onderzoek voorliggende zaak het Hof de gelegenheid de omvang te preciseren van de bevoegdheden om in te grijpen van een toezichthoudende autoriteit als het ULD ten aanzien van een verwerking van persoonsgegevens die de deelname van meerdere betrokkenen impliceert.

14.      Voor een goed begrip van de juridische aspecten van deze zaak moet eerst de feitelijke context van het hoofdgeding worden beschreven.

I.      Feiten van het hoofdgeding en prejudiciële vragen

15.      De Wirtschaftsakademie biedt onderwijsdiensten aan door middel van een fanpagina op de site van het sociale netwerk Facebook.

16.      Fanpagina’s zijn gebruikersaccounts die op Facebook kunnen worden geconfigureerd door met name particulieren en bedrijven. De beheerder van de fanpagina moet zich hiertoe bij Facebook registreren en kan vervolgens gebruikmaken van het door laatstgenoemde gecreëerde platform om zich aan de gebruikers van dit sociale netwerk te presenteren en om allerlei soorten berichten te plaatsen, met name met het oog op het ontwikkelen van een handelsactiviteit.

17.      Beheerders van fanpagina’s kunnen gebruikersstatistieken verkrijgen met behulp van de tool „Facebook Insights”, die Facebook hun gratis ter beschikking stelt in het kader van de algemene gebruiksvoorwaarden. Deze statistieken worden opgesteld door Facebook, en door de beheerder van een fanpagina persoonlijk aangepast door middel van verschillende criteria die hij kan selecteren, zoals leeftijd en geslacht. Genoemde statistieken verschaffen aldus anonieme informatie over de kenmerken en de gewoontes van de personen die de fanpagina’s hebben geraadpleegd, waarmee de beheerders van deze pagina’s gerichter kunnen communiceren.

18.      Om dergelijke gebruikersstatistieken op te stellen, wordt ten minste één cookie met een uniek ID-nummer, die gedurende twee jaar werkzaam blijft, door Facebook opgeslagen op de harde schijf van de persoon die de fanpagina heeft geraadpleegd. Het ID-nummer, dat kan worden gelinkt aan de verbindingsgegevens van op Facebook geregistreerde gebruikers, wordt verzameld en verwerkt op het moment dat Facebookpagina’s worden geopend.

19.      Bij besluit van 3 november 2011 heeft het ULD de Wirtschaftsakademie bevolen om, overeenkomstig § 38, lid 5, eerste zin, van het Bundesdatenschutzgesetz (federale wet inzake gegevensbescherming; hierna: „BDSG”)(10), de door haar op Facebook gecreëerde pagina met het volgende internetadres: https://www.facebook.com/wirtschaftsakademie te deactiveren op straffe van een dwangsom voor het niet uitvoeren van het bevel binnen de voorgeschreven termijn, omdat noch de Wirtschaftsakademie, noch Facebook de bezoekers van de fanpagina ervan in kennis stelden dat laatstgenoemde hun persoonsgegevens verzamelde met behulp van cookies en die gegevens vervolgens verwerkte. De Wirtschaftsakademie heeft tegen dit besluit bezwaar ingediend waarbij zij in wezen aanvoerde dat zij, uit het oogpunt van het toepasselijke gegevensbeschermingsrecht, noch verantwoordelijk was voor de gegevensverwerking door Facebook, noch voor de door laatstgenoemde geïnstalleerde cookies.

20.      Bij besluit van 16 december 2011 heeft het ULD dit bezwaar afgewezen omdat het de Wirtschaftsakademie als dienstenaanbieder verantwoordelijk achtte op grond van § 3, lid 3, punt 4, en § 12, lid 1, van het Telemediengesetz (wet inzake elektronische media).(11) Door het aanmaken van een fanpagina droeg de Wirtschaftsakademie tevens actief en bewust bij aan de verzameling van persoonsgegevens door Facebook, waarvan zij gebruikmaakte dankzij de door dit sociale netwerk ter beschikking gestelde gebruikersstatistieken.

21.      De Wirtschaftsakademie heeft daarom tegen dit besluit beroep ingesteld bij het Verwaltungsgericht (bestuursrechter in eerste aanleg, Duitsland), waarbij zij aanvoerde dat de verwerking van gegevens door Facebook niet aan haar kon worden toegerekend en dat zij Facebook evenmin had opgedragen, in de zin van § 11 BDSG(12), een verwerking van gegevens te verrichten waarover zij controle had of waarop zij invloed kon uitoefenen. De Wirtschaftsakademie is derhalve van mening dat het ULD zich ten onrechte tegen haar heeft gericht en niet rechtstreeks tegen Facebook.

22.      Bij uitspraak van 9 oktober 2013 heeft het Verwaltungsgericht het bestreden besluit nietig verklaard door in wezen te oordelen dat de beheerder van een fanpagina op Facebook geen „verantwoordelijk lichaam” in de zin van § 3, lid 7, BDSG(13) is en dat de Wirtschaftsakademie derhalve geen maatregel uit hoofde van § 38, lid 5, BDSG kon worden opgelegd.

23.      Het Oberverwaltungsgericht (bestuursrechter in tweede aanleg, Duitsland) heeft vervolgens het hoger beroep van het ULD tegen deze uitspraak verworpen door in wezen te oordelen dat het in het bestreden besluit opgenomen verbod op de verwerking van persoonsgegevens onrechtmatig was omdat § 38, lid 5, tweede zin, BDSG voorziet in een geleidelijk proces, waarvan de eerste fase uitsluitend toestaat maatregelen vast te stellen die tot doel hebben de bij de gegevensverwerking geconstateerde inbreuken ongedaan te maken. Een onmiddellijk verbod op de verwerking van persoonsgegevens is alleen denkbaar indien een gegevensverwerkingsproces in zijn geheel onrechtmatig is en alleen de opschorting van dit proces dit kan verhelpen. Volgens het Oberverwaltungsgericht is dit in casu echter niet het geval omdat Facebook wel degelijk een einde kan maken aan de door het ULD aangevoerde inbreuken.

24.      Het bevel is ook onrechtmatig omdat verzoekster, wat betreft de gegevens die Facebook naar aanleiding van het beheer van de fanpagina heeft verzameld, geen verantwoordelijk lichaam in de zin van § 3, lid 7, BDSG is en een bevel uit hoofde van § 38, lid 5, BDSG alleen tegen een dergelijk lichaam kan worden uitgevaardigd. In casu bepaalt alleen Facebook het doel van en de middelen voor de verzameling en de verwerking van persoonsgegevens die voor de functie „Facebook Insight” worden gebruikt. Verzoekster zelf ontvangt alleen anoniem gemaakte statistische informatie.

25.      § 38, lid 5, BDSG staat geen bevelen tegen derden toe. De zogeheten „indirecte” verantwoordelijkheid („Störerhaftung”) op internet, ontwikkeld in de rechtspraak van de burgerlijke rechter, kan niet worden toegepast op overheidsprerogatieven. Hoewel § 38, lid 5, BDSG niet uitdrukkelijk de adressaat van het verbodsbevel noemt, volgt uit de opzet, het doel, en de aard van deze regeling, alsook uit de totstandkomingsgeschiedenis ervan, dat alleen het verantwoordelijke lichaam de adressaat kan zijn.

26.      In zijn bij het Bundesverwaltungsgericht (hoogste federale bestuursrechter, Duitsland) ingediende beroep in „Revision” voert het ULD onder meer aan dat § 38, lid 5, BDSG is geschonden en dat het Oberverwaltungsgericht verschillende procedurefouten heeft begaan. Het is van mening dat de door de Wirtschaftsakademie begane inbreuk samenhangt met het feit dat zij een aanbieder die ongeschikt is omdat hij geen rekening houdt met het op de bescherming van gegevens toepasselijke recht – in casu Facebook Ireland – heeft belast met de verwezenlijking, de hosting, en het onderhoud van een website. Het deactiveringsbevel heeft derhalve tot doel om deze door de Wirtschaftsakademie begane inbreuk ongedaan te maken door haar te verbieden de infrastructuur van Facebook als technische basis van haar website te blijven gebruiken.

27.      De verwijzende rechter is van oordeel dat, met betrekking tot de verzameling en de verwerking door interveniënte in het hoofdgeding, te weten Facebook Ireland, van de gegevens van personen die de fanpagina raadplegen, de Wirtschaftsakademie niet „[het] lichaam [is] dat zelf persoonsgegevens verzamelt, verwerkt of benut, dan wel dit aan anderen uitbesteedt” in de zin van § 3, lid 7, BDSG, of het „lichaam [...] dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” in de zin van artikel 2, onder d), van richtlijn 95/46. De Wirtschaftsakademie heeft, door haar beslissing om een fanpagina aan te maken op een door interveniënte in het hoofdgeding of dier moederonderneming (in casu Facebook Inc., USA) geëxploiteerd platform, aan interveniënte in het hoofdgeding objectief gezien weliswaar de mogelijkheid verleend om bij het openen van deze fanpagina cookies te installeren en op die manier gegevens te verzamelen, maar deze beslissing stelt de Wirtschaftsakademie niet in staat om de aard en de omvang van de verwerking van de gegevens van de gebruikers van haar fanpagina door interveniënte in het hoofdgeding te beïnvloeden, te sturen, vorm te geven of te controleren. De gebruiksvoorwaarden van de fanpagina verlenen de Wirtschaftsakademie evenmin rechten op ingrijpen of controle. De eenzijdig door interveniënte in het hoofdgeding vastgestelde gebruiksvoorwaarden zijn niet het resultaat van een individueel onderhandelingsproces en verlenen de Wirtschaftsakademie evenmin het recht om interveniënte in het hoofdgeding te verbieden de gegevens van de gebruikers van de fanpagina te verwerken.

28.      De verwijzende rechter erkent dat de in artikel 2, onder d), van richtlijn 95/46 opgenomen juridische definitie van de „voor de verwerking verantwoordelijke” in beginsel, in het belang van een doeltreffende bescherming van het recht op privéleven, ruim moet worden uitgelegd. De Wirtschaftsakademie voldoet echter niet aan deze definitie omdat zij geen enkele invloed, feitelijk noch rechtens, heeft op de wijzen waarop de persoonsgegevens door interveniënte in het hoofdgeding onder haar eigen verantwoordelijkheid en geheel zelfstandig worden verwerkt. Het volstaat in dit verband niet dat de Wirtschaftsakademie objectief gezien kan profiteren van de door interveniënte in het hoofdgeding geëxploiteerde functie „Facebook Insights” omdat haar anoniem gemaakte gegevens worden doorgegeven voor het gebruik van haar fanpagina.

29.      Volgens de verwijzende rechter kan de Wirtschaftsakademie evenmin verantwoordelijk worden geacht voor een gegevensverwerking in opdracht in de zin van § 11 BDSG en van artikel 2, onder e), en artikel 17, leden 2 en 3, van richtlijn 95/46.

30.      Deze rechter is van oordeel dat moet worden verhelderd of, en onder welke voorwaarden, de controlebevoegdheden en de bevoegdheden om in te grijpen van de toezichthoudende autoriteiten op het gebied van de bescherming van persoonsgegevens uitsluitend kunnen worden uitgeoefend jegens de „voor verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46, of dat het mogelijk is een lichaam verantwoordelijk te achten dat niet de voor verwerking verantwoordelijke is, volgens de definitie van deze bepaling, uit hoofde van de keuze die dit lichaam heeft gemaakt om voor zijn informatieaanbod gebruik te maken van Facebook.

31.      In dit laatste geval vraagt de verwijzende rechter zich af of een dergelijke verantwoordelijkheid kan worden gegrond op een analoge toepassing van de uit artikel 17, lid 2, van richtlijn 95/46 voortvloeiende keuze- en toezichtsverplichtingen in het kader van een gegevensverwerking in opdracht.

32.      Om uitspraak te kunnen doen over de rechtmatigheid van het in casu uitgevaardigde bevel, is het volgens de verwijzende rechter tevens nodig om enkele punten te verhelderen die betrekking hebben op de bevoegdheid van de toezichthoudende autoriteiten en de reikwijdte van hun bevoegdheden om in te grijpen.

33.      De verwijzende rechter vraagt zich met name af hoe de bevoegdheden tussen de toezichthoudende autoriteiten worden verdeeld indien een moederonderneming als Facebook Inc. op het grondgebied van de Unie over verscheidene vestigingen beschikt en de taken die binnen de groep aan die vestigingen zijn toegekend verschillen.

34.      De verwijzende rechter herinnert er in dit verband aan dat het Hof in zijn arrest van 13 mei 2014, Google Spain en Google(14), heeft geoordeeld dat „artikel 4, lid 1, [onder] a, van richtlijn 95/46 aldus moet worden uitgelegd dat er sprake is van een verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de voor de verwerking verantwoordelijke op het grondgebied van [een] lidstaat, in de zin van deze bepaling, wanneer de exploitant van een zoekmachine in een lidstaat ten behoeve van het promoten en de verkoop van door deze zoekmachine aangeboden advertentieruimte een bijkantoor of een dochteronderneming opricht waarvan de activiteiten op de inwoners van die lidstaat zijn gericht”(15). De verwijzende rechter vraagt zich af of, voor de toepasselijkheid van richtlijn 95/46 en de vaststelling van de bevoegde toezichthoudende autoriteit, deze aanknoping bij een vestiging als Facebook Germany GmbH, die volgens de informatie in de verwijzingsbeslissing is belast met de promotie en de verkoop van advertentieruimte en andere op de inwoners van Duitsland gerichte marketingactiviteiten, ook mogelijk is in een situatie waarin een in een andere lidstaat (in casu Ierland) gevestigde dochteronderneming op het gehele grondgebied van de Unie als „voor de verwerking verantwoordelijke” optreedt.

35.      Wat de adressaten van een krachtens artikel 28, lid 3, van richtlijn 95/46 genomen maatregel betreft, merkt de verwijzende rechter op dat het tegen de Wirtschaftsakademie uitgevaardigde bevel op een beoordelingsfout kan berusten en bijgevolg onrechtmatig kan zijn indien de door het ULD aangevoerde inbreuken op het toepasselijke gegevensbeschermingsrecht ongedaan konden worden gemaakt door een rechtstreekse maatregel tegen de dochteronderneming Facebook Germany, die in Duitsland is gevestigd.

36.      De verwijzende rechter merkt tevens op dat het ULD zich niet gebonden acht aan de bevindingen en beoordelingen van de Data Protection Commissioner (gegevensbeschermingsautoriteit, Ierland), die, volgens de door de Wirtschaftsakademie en interveniënte in het hoofdgeding aangeleverde gegevens, de in het hoofdgeding aan de orde zijnde verwerking van persoonsgegevens niet heeft betwist. Deze rechter wenst derhalve ten eerste te vernemen of een dergelijke autonome beoordeling door het ULD is toegestaan en ten tweede of artikel 28, lid 6, tweede zin, van richtlijn 95/46 het ULD verplichtte om, gelet op de onderling afwijkende beoordelingen van deze twee toezichthoudende autoriteiten met betrekking tot de overeenstemming van de het hoofdgeding aan de orde zijnde gegevensverwerking met de regels van richtlijn 95/46, de gegevensbeschermingsautoriteit te verzoeken zijn bevoegdheden jegens Facebook Ireland uit te oefenen.

37.      Daarop heeft het Bundesverwaltungsgericht de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen gesteld:

„1)      Moet artikel 2, onder d), van richtlijn 95/46 aldus worden uitgelegd dat het de aansprakelijkheid en verantwoordelijkheid voor inbreuken op de bescherming van gegevens definitief en uitputtend regelt, of blijft er in het kader van de ‚passende maatregelen’ als bedoeld in artikel 24 van [deze richtlijn] en de ‚effectieve bevoegdheden om in te grijpen’ als bedoeld in artikel 28, lid 3, tweede streepje, [ervan] in meervoudige verhoudingen van informatieaanbieders ruimte voor verantwoordelijkheid van een lichaam dat niet de voor verwerking verantwoordelijke in de zin van artikel 2, onder d), van [genoemde richtlijn] is, op grond van de keuze van een beheerder voor zijn informatieaanbod?

2)      Volgt, a contrario, uit de uit artikel 17, lid 2, van richtlijn 95/46 voortvloeiende verplichting van de lidstaten om bij de gegevensverwerking in opdracht te verlangen dat de voor de verwerking verantwoordelijke ‚een verwerker [kiest] die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking’, dat er, in het kader van ander gebruik dat geen gegevensverwerking ten behoeve van de voor de verwerker verantwoordelijke in de zin van artikel 2, onder e), van [deze richtlijn] impliceert, geen enkele verplichting bestaat om een zorgvuldige keuze te maken en dat deze ook niet kan worden gebaseerd op het nationale recht?

3)      Wanneer een buiten de Unie gevestigde moederonderneming in verscheidene lidstaten over juridisch zelfstandige vestigingen (dochterondernemingen) beschikt, mag dan de toezichthoudende autoriteit van een lidstaat (in casu Duitsland) ook dan krachtens artikel 4 en artikel 28, lid 6, van richtlijn 95/46 de haar door artikel 28, lid 3, van [deze richtlijn] verleende bevoegdheden uitoefenen jegens de op het grondgebied van deze lidstaat gelegen vestiging die alleen de promotie en de verkoop verzekert van advertentieruimte en andere op de inwoners van deze lidstaat gerichte marketingactiviteiten, terwijl de zelfstandige vestiging (dochteronderneming) in een andere lidstaat (in casu Ierland) volgens de taakverdeling binnen de groep exclusief verantwoordelijk is voor de verzameling en de verwerking van persoonsgegevens op het gehele grondgebied van de Unie en dus ook in de andere lidstaat (in casu Duitsland), indien de beslissing betreffende de gegevensverwerking in feite door de moederonderneming wordt genomen?

4)      Moeten artikel 4, lid 1, onder a), en artikel 28, lid 3, van richtlijn 95/46 aldus worden uitgelegd dat, wanneer de voor de verwerking verantwoordelijke een vestiging op het grondgebied van een lidstaat (in casu Ierland) bezit en er op het grondgebied van een andere lidstaat (in casu Duitsland) een andere, juridisch zelfstandige vestiging is die onder meer is belast met de verkoop van advertentieruimte en waarvan de activiteit op de inwoners van deze staat is gericht, de bevoegde toezichthoudende autoriteit in deze andere lidstaat (in casu Duitsland) ook maatregelen en bevelen tot handhaving van het op de gegevensbescherming toepasselijke recht kan richten tot de andere vestiging (in casu in Duitsland) die volgens de taak- en verantwoordelijkheidsverdeling binnen de groep niet voor de gegevensverwerking verantwoordelijk is, of kunnen maatregelen en bevelen dan slechts worden genomen of uitgevaardigd door de toezichthoudende autoriteit van de lidstaat (in casu Ierland) op wiens grondgebied het binnen de groep verantwoordelijke lichaam zijn zetel heeft?

5)      Moeten artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn 95/46 aldus worden uitgelegd dat, wanneer de toezichthoudende autoriteit van een lidstaat (in casu Duitsland) als gevolg van de onzorgvuldige keuze van een bij het gegevensverwerkingsproces betrokken derde (in casu Facebook) krachtens artikel 28, lid 3, van [deze richtlijn] optreedt tegen een persoon die of lichaam dat zijn activiteiten uitoefent op het grondgebied van deze lidstaat omdat deze derde het op de gegevensbescherming toepasselijke recht heeft geschonden, de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) is gebonden aan de beoordeling in het licht van het op de gegevensbescherming toepasselijke recht door de toezichthoudende autoriteit van de andere lidstaat (in casu Ierland) waar de voor de gegevensverwerking verantwoordelijke derde is gevestigd, in die zin dat zij geen hiervan afwijkend juridisch oordeel mag formuleren, of mag de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) de rechtmatigheid van de gegevensverwerking door de in een andere lidstaat (in casu Ierland) gevestigde derde voorafgaand autonoom toetsen?

6)      Indien de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) een autonome toetsing mag uitvoeren: moet artikel 28, lid 6, tweede zin, van richtlijn 95/46 dan aldus worden uitgelegd dat deze toezichthoudende autoriteit de effectieve bevoegdheden om in te grijpen waarover zij krachtens artikel 28, lid 3, van [deze richtlijn] beschikt alleen mag uitoefenen jegens op een haar grondgebied gevestigd persoon of lichaam wegens medeverantwoordelijkheid voor de inbreuken op de bescherming van gegevens die de in een andere lidstaat gevestigde derde heeft begaan wanneer zij vooraf de toezichthoudende autoriteit van deze andere lidstaat (in casu Ierland) heeft verzocht haar bevoegdheden uit te oefenen?”

II.    Mijn analyse

38.      Gepreciseerd moet worden dat de prejudiciële vragen van de verwijzende rechter geen betrekking hebben op de vraag of de verwerking van persoonsgegevens waarop de door het ULD geformuleerde verwijten betrekking hebben, te weten het verzamelen en het benutten van de gegevens van personen die fanpagina’s raadplegen zonder dat zij vooraf daarvan in kennis zijn gesteld, al dan niet in strijd is met de regels van richtlijn 95/46.

39.      Volgens de toelichting van de verwijzende rechter hangt de rechtmatigheid van het hem ter beoordeling voorgelegde bevel af van de volgende factoren. Hij is van oordeel dat allereerst moet worden vastgesteld of het ULD gerechtigd was zijn bevoegdheden om in te grijpen uit te oefenen jegens een persoon die niet de hoedanigheid van voor de verwerking verantwoordelijke bezit in de zin van artikel 2, onder d), van richtlijn 95/46. Vervolgens meent de verwijzende rechter dat de rechtmatigheid van het bevel tevens afhangt van de vragen of het ULD bevoegd was op te treden tegen de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is, of het feit dat het ULD het bevel niet aan Facebook Germany maar aan de Wirtschaftsakademie heeft gericht geen beoordelingsfout vormt, en tot slot of het ULD geen andere beoordelingsfout heeft begaan door de Wirtschaftsakademie te bevelen haar fanpagina te sluiten terwijl het eerst de gegevensbeschermingsautoriteit had moeten verzoeken zijn bevoegdheden jegens Facebook Ireland uit te oefenen.

A.      Eerste en tweede prejudiciële vraag

40.      Met zijn eerste en tweede prejudiciële vraag, die mijns inziens samen moeten worden onderzocht, verzoekt de verwijzende rechter het Hof in wezen voor recht te verklaren of artikel 17, lid 2, artikel 24 en artikel 28, lid 3, tweede streepje, van richtlijn 95/46 aldus moeten worden uitgelegd dat zij de toezichthoudende autoriteiten toestaan hun bevoegdheden om in te grijpen uit te oefenen jegens een lichaam dat niet kan worden beschouwd als „voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van deze richtlijn maar dat desondanks verantwoordelijk kan worden gehouden voor inbreuken op de regels inzake de bescherming van persoonsgegevens vanwege de keuze die dit lichaam heeft gemaakt om voor de verspreiding van zijn informatieaanbod gebruik te maken van een sociaal netwerk als Facebook.

41.      Deze vragen berusten op de premisse dat de Wirtschaftsakademie geen „voor de verwerking verantwoordelijke” is in de zin van artikel 2, onder d), van deze richtlijn. Daarom wenst de verwijzende rechter te vernemen of een bevel als in het hoofdgeding kan worden gericht tegen een persoon die niet voldoet aan de in deze bepaling vastgestelde criteria.

42.      Ik ben evenwel van mening dat deze premisse onjuist is. De Wirtschaftsakademie moet mijns inziens namelijk medeverantwoordelijk worden geacht voor de fase van de verwerking die bestaat in het verzamelen van persoonsgegevens door Facebook.

43.      Onder de „voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46 wordt verstaan „de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.(16)

44.      De voor een verwerking verantwoordelijke speelt een fundamentele rol in het kader van het bij richtlijn 95/46 ingestelde systeem en het is derhalve cruciaal hem aan te wijzen. Deze richtlijn bepaalt immers dat op de voor de verwerking verantwoordelijke een aantal verplichtingen rusten die tot doel hebben de bescherming van persoonsgegevens te verzekeren.(17) Deze fundamentele rol wordt door het Hof beschreven in zijn arrest van 13 mei 2014, Google Spain en Google.(18) Het heeft namelijk geoordeeld dat de voor de verwerking verantwoordelijke, in het kader van zijn verantwoordelijkheden, zijn bevoegdheden en zijn mogelijkheden, moet verzekeren dat de betrokken gegevensbewerking voldoet aan de vereisten van richtlijn 95/46, opdat de daarin vervatte waarborgen hun volle werking kunnen krijgen en een doelmatige en volledige bescherming van de betrokkenen, en met name van hun recht op eerbiediging van het privéleven, daadwerkelijk tot stand kan worden gebracht.(19)

45.      Uit de rechtspraak van het Hof blijkt tevens dat dit begrip ruim moet worden omschreven om een doeltreffende en volledige bescherming van de betrokkenen te verzekeren.(20)

46.      De verantwoordelijke voor de verwerking van persoonsgegevens is de persoon die beslist waarom en hoe deze gegevens worden verwerkt. Zoals de werkgroep „Artikel 29” aangeeft „[is] het begrip ‚voor de verwerking verantwoordelijke’ [...] een functioneel begrip, dat is bedoeld om verantwoordelijkheden te leggen op de plaats waar de feitelijke invloed ligt [en] dus meer op een feitelijke dan op een formele analyse [is] gebaseerd”(21).

47.      Als bedenkers van deze verwerking zijn het mijns inziens in de eerste plaats Facebook Inc. en, wat de Unie betreft, Facebook Ireland die de doelen en de wijze van uitvoering ervan hebben bepaald.

48.      Beter gezegd, Facebook Inc. heeft het algemene economische model uitgewerkt dat meebrengt dat, door de verzameling van persoonsgegevens bij het raadplegen van fanpagina’s en het erop volgende gebruik van deze gegevens, ten eerste gepersonaliseerde advertenties kunnen worden verspreid en ten tweede gebruikersstatistieken kunnen worden opgesteld voor de beheerders van die pagina’s.

49.      Voorts blijkt uit de stukken van het dossier dat Facebook Ireland door Facebook Inc. is belast met de verwerking van persoonsgegevens binnen de Unie. Volgens de toelichting van Facebook Ireland kunnen er voor de wijze van functioneren van het sociale netwerk in de Unie bepaalde aanpassingen gelden.(22)

50.      Bovendien moet worden opgemerkt dat, ofschoon vaststaat dat degenen die op het grondgebied van de Unie wonen en Facebook willen gebruiken, bij hun inschrijving een overeenkomst moeten sluiten met Facebook Ireland, de persoonsgegevens van de Facebookgebruikers die op het grondgebied van de Unie wonen geheel of gedeeltelijk worden doorgegeven naar servers van Facebook Inc., die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt.(23)

51.      Gelet op de betrokkenheid van Facebook Inc. en, wat meer in het bijzonder de Unie betreft, Facebook Ireland bij de vaststelling van de doelen van en de middelen voor de verwerking van persoonsgegevens als in het hoofdgeding, moeten deze twee entiteiten, in het licht van de mij ter beschikking staande gegevens, gezamenlijk verantwoordelijk worden geacht voor deze verwerking. In dit verband moet worden opgemerkt dat artikel 2, onder d), van richtlijn 95/46 uitdrukkelijk voorziet in de mogelijkheid van een dergelijke gezamenlijke verantwoordelijkheid. Zoals de verwijzende rechter zelf aangeeft staat het, in de laatste plaats, aan hem om de besluitvormings- en gegevensverwerkingsstructuren binnen de Facebookgroep te verhelderen teneinde vast te stellen welke vestiging of vestigingen voor de verwerking verantwoordelijk is of zijn in de zin van artikel 2, onder d), van richtlijn 95/46.(24)

52.      Mijns inziens moet, wat betreft de fase van de verwerking die wordt gevormd door de verzameling van persoonsgegevens door Facebook(25), aan de gezamenlijke verantwoordelijkheid van Facebook Inc. en Facebook Ireland die van een beheerder van een fanpagina als de Wirtschaftsakademie worden toegevoegd.

53.      Een beheerder van een fanpagina is weliswaar vóór alles een gebruiker van Facebook, waarop hij een beroep doet om gebruik te maken van diens tools en aldus te profiteren van een betere zichtbaarheid, maar deze vaststelling sluit niet uit dat hij tevens verantwoordelijk kan worden geacht voor de fase van de verwerking van persoonsgegevens die het voorwerp is van het hoofdgeding, te weten de verzameling van die gegevens door Facebook.

54.      Wat de vraag betreft of de beheerder van een fanpagina de doelen van en de middelen voor de verwerking „vaststelt”, moet worden nagegaan of deze beheerder feitelijk of rechtens invloed uitoefent op deze doelen en middelen. Dit onderdeel van de definitie maakt het mogelijk aan te nemen dat de voor de verwerking verantwoordelijke niet degene is die de verwerking van persoonsgegevens verricht, maar degene die de middelen ervoor en de doelen ervan vaststelt.

55.      Door gebruik te maken van Facebook om zijn informatieaanbod te verspreiden stemt de beheerder van een fanpagina in met het principe dat de persoonsgegevens van de bezoekers van zijn fanpagina worden verwerkt om gebruikersstatistieken op te stellen.(26) Ook al is hij natuurlijk niet de bedenker van de tool „Facebook Insights”, hij draagt, door zijn gebruik ervan, bij aan de vaststelling van de doelen van de verwerking van de persoonsgegevens van de bezoekers van zijn pagina en de wijze waarop deze verwerking wordt verricht.

56.      Ten eerste kan deze verwerking immers niet plaatsvinden zonder voorafgaande beslissing van de beheerder van een fanpagina om deze pagina op het sociale netwerk Facebook aan te maken en te exploiteren. Door de verwerking van de persoonsgegevens van de gebruikers van de fanpagina mogelijk te maken stemt de beheerder van deze pagina in met het door Facebook ingestelde systeem. Hij krijgt aldus een beter zicht op het profiel van de gebruikers van zijn fanpagina en stelt tegelijkertijd Facebook in staat de advertenties op dit sociale netwerk doelgerichter te verspreiden. Door in te stemmen met de middelen voor en de doelen van de verwerking van persoonsgegevens, zoals vooraf door Facebook vastgesteld, moet de beheerder van de fanpagina worden geacht aan de vaststelling ervan bij te dragen. Net zoals de beheerder van een fanpagina een beslissende invloed uitoefent op het op gang brengen van de verwerking van de persoonsgegevens van de personen die deze pagina raadplegen, kan hij aan deze verwerking ook een einde maken door zijn fanpagina te sluiten.

57.      Ten tweede kan, ofschoon de doelen en werkwijze van de tool „Facebook Insights” als zodanig op algemene wijze worden vastgesteld door Facebook Inc. tezamen met Facebook Ireland, de beheerder van een fanpagina invloed uitoefenen op de concrete werking van deze tool door de criteria vast te stellen op basis waarvan de gebruikersstatistieken worden opgesteld. Wanneer Facebook de beheerder van een fanpagina uitnodigt een doelgroep voor zijn pagina te creëren of aan te passen, deelt zij hem mee dat zij haar uiterste best zal doen om deze pagina te tonen aan de voor hem belangrijkste personen. De beheerder van een fanpagina kan, met behulp van filters, een gepersonaliseerde doelgroep vaststellen, waardoor hij niet alleen de groep personen kan verfijnen onder wie de informatie betreffende zijn handelsaanbod zal worden verspreid, maar vooral de categorieën personen kan aanwijzen wier persoonsgegevens door Facebook zullen worden verzameld. Door het vaststellen van de doelgroep die hij wenst te bereiken identificeert de beheerder van een fanpagina dus tegelijkertijd het publiek waarvan Facebook persoonsgegevens kan verzamelen en vervolgens benutten. Behalve dat hij degene is die een verwerking van dergelijke gegevens op gang brengt wanneer hij een fanpagina maakt, speelt de beheerder van deze pagina dus een dominerende rol bij deze verwerking door Facebook. Hij draagt op die manier bij aan de vaststelling van de middelen voor en de doelen van deze verwerking door hierop een feitelijke invloed uit te oefenen.

58.      Ik leid uit het voorgaande af dat, in omstandigheden als die van het hoofdgeding, een beheerder van een fanpagina van een sociaal netwerk als Facebook verantwoordelijk moet worden geacht voor de fase van de verwerking van persoonsgegevens die bestaat in de verzameling door dit sociale netwerk van gegevens over personen die deze pagina raadplegen.

59.      Deze conclusie wordt kracht bijgezet door de vaststelling dat een beheerder van een fanpagina als de Wirtschaftsakademie enerzijds, en aanbieders van diensten als Facebook Inc. en Facebook Ireland anderzijds, elk nauw verbonden doelen nastreven. De Wirtschaftsakademie wil gebruikersstatistieken verkrijgen voor de promotie van haar activiteit, waarvoor een verwerking van persoonsgegevens nodig is. Deze verwerking stelt Facebook in staat de advertenties die zij via haar netwerk verspreidt beter te richten.

60.      Een uitlegging die uitsluitend is gebaseerd op de bepalingen en de voorwaarden van de overeenkomst tussen de Wirtschaftsakademie en Facebook Ireland moet derhalve worden verworpen. De contractuele taakverdeling kan immers slechts een aanwijzing verschaffen over de werkelijke rol van de contractpartijen bij een verwerking van persoonsgegevens. Anders zouden deze partijen de verantwoordelijkheid voor de verwerking kunstmatig aan één van hen kunnen toebedelen. Dit geldt temeer in een situatie waarin de algemene voorwaarden vooraf door het sociale netwerk zijn opgesteld en niet onderhandelbaar zijn. Derhalve kan niet worden gesteld dat degene die de overeenkomst alleen kan aanvaarden of weigeren geen voor de verwerking verantwoordelijke kan zijn. Wanneer deze medecontractant de overeenkomst uit vrije wil heeft gesloten kan hij altijd een voor de verwerking verantwoordelijke zijn gelet op zijn concrete invloed op de middelen voor en de doelen van deze verwerking.

61.      Het feit dat de overeenkomst en de algemene voorwaarden ervan worden opgesteld door een dienstverlener en dat de ondernemer die gebruikmaakt van de door deze dienstverlener aangeboden diensten geen toegang heeft tot de gegevens, sluit derhalve niet uit dat hij als voor de verwerking verantwoordelijke kan worden beschouwd omdat hij uit vrije wil heeft ingestemd met de contractbepalingen en daarmee de volledige verantwoordelijkheid ervoor aanvaardt.(27) In navolging van de werkgroep „Artikel 29” moet tevens worden erkend dat een mogelijke onevenwichtigheid in de machtsverhouding tussen de aanbieder en de afnemer van de dienst niet eraan in de weg staat dat laatstgenoemde als „voor de verwerking verantwoordelijke” kan worden aangemerkt.(28)

62.      Bovendien is het, om een persoon als voor de verwerking verantwoordelijke in de zin van artikel 2, onder d), van richtlijn 95/46 te kunnen beschouwen, niet nodig dat die persoon alle aspecten van een verwerking volledig kan controleren. Zoals de Belgische regering ter terechtzitting terecht heeft opgemerkt, komt een dergelijke controle in de praktijk steeds minder voor. Verwerkingen zijn steeds complexer van aard in de zin dat zij uit verscheidene afzonderlijke verwerkingen bestaan waarbij verschillende partijen zijn betrokken die zelf een verschillende mate van controle uitoefenen. Derhalve kan de uitlegging volgens welke er sprake moet zijn van een volledige controlebevoegdheid met betrekking tot alle aspecten van de verwerking leiden tot ernstige leemten op het gebied van de bescherming van persoonsgegevens.

63.      De feiten die ten grondslag liggen aan het arrest van 13 mei 2014, Google Spain en Google(29), illustreren dit. In deze zaak was er namelijk sprake van een situatie waarin een meervoudige verhouding bestond tussen aanbieders van informatie en waarin verschillende partijen elk een andere invloed op de verwerking uitoefenden. In deze zaak heeft het Hof geweigerd het begrip „voor de verwerking verantwoordelijke” strikt uit te leggen. Het was van oordeel dat de exploitant van een zoekmachine „– als persoon die het doel van en de middelen voor [zijn] activiteit vaststelt – in het kader van zijn verantwoordelijkheden, zijn bevoegdheden en zijn mogelijkheden [moet] verzekeren dat deze activiteit voldoet aan de vereisten van richtlijn 95/46”(30). Het Hof noemde voorts de mogelijkheid dat de exploitant van de zoekmachine en de webredacteurs gezamenlijk verantwoordelijk zijn.(31)

64.      Net als de Belgische regering ben ik van mening dat de ruime uitlegging van het begrip „voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46, die mijns inziens de voorkeur geniet in het kader van de onderhavige zaak, misbruik voorkomt. Anders zou immers een onderneming enkel door gebruik te maken van de diensten van een derde zich kunnen onttrekken aan haar verplichtingen inzake de bescherming van persoonsgegevens. Met andere woorden: er moet mijns inziens geen onderscheid worden gemaakt tussen de onderneming die haar website voorziet van tools die vergelijkbaar zijn met die welke door Facebook worden aangeboden en de onderneming die zich aansluit bij het sociale netwerk Facebook om van de door laatstgenoemde aangeboden tools gebruik te maken. Derhalve moet worden gewaarborgd dat marktdeelnemers die voor hun website gebruikmaken van een hostingdienst zich niet kunnen onttrekken aan hun verantwoordelijkheid door zich te onderwerpen aan de algemene voorwaarden van een dienstverlener. Bovendien is het, zoals deze regering ter terechtzitting heeft opgemerkt, niet onredelijk om van ondernemingen te verwachten dat zij hun dienstverlener zorgvuldig kiezen.

65.      Ik ben derhalve van mening dat het feit dat een beheerder van een fanpagina het door Facebook aangeboden platform en de daarmee verbonden diensten gebruikt hem niet ontslaat van zijn verplichtingen inzake de bescherming van persoonsgegevens. Ik merk in dit verband op dat, indien de Wirtschaftsakademie buiten Facebook om een website had geopend met een met „Facebook Insights” vergelijkbare tool om gebruikersstatistieken op te stellen, zij zou worden beschouwd als de verantwoordelijke voor de verwerking die voor het opstellen van dergelijke statistieken nodig is. Mijns inziens zou een dergelijke marktdeelnemer niet moeten zijn vrijgesteld van de naleving van de uit richtlijn 95/46 voortvloeiende bepalingen op het gebied van de bescherming van persoonsgegevens om de enkele reden dat hij het platform van het sociale netwerk Facebook gebruikt om zijn activiteiten te promoten. Zoals de verwijzende rechter zelf terecht aangeeft, moet een aanbieder van informatie zichzelf niet, door de keuze voor een bepaalde aanbieder van infrastructuren, kunnen onttrekken aan de verplichtingen die het op de gegevensbescherming toepasselijke recht hem oplegt ten aanzien van de gebruikers van zijn informatieaanbod, en waaraan hij zou moeten voldoen indien hij alleen een aanbieder van content was.(32) Een tegengestelde uitlegging zou een risico op het ontduiken van de regels inzake de bescherming van persoonsgegevens creëren.

66.      Mijns inziens moet er evenmin een kunstmatig onderscheid worden gemaakt tussen de situatie die in deze zaak aan de orde is en die welke aan de orde is in zaak C‑40/17, Fashion ID(33).

67.      Laatstgenoemde zaak betreft de situatie waarin de beheerder van een website in zijn site een zogeheten „sociale module” (in dit geval de knop „vind ik leuk” van Facebook) van een derde aanbieder (dat wil zeggen Facebook) integreert die een doorgifte van persoonsgegevens van de computer van de gebruiker van de website naar de externe aanbieder meebrengt.

68.      In het kader van het geschil dat tot die zaak heeft geleid verwijt een vereniging voor consumentenbescherming de vennootschap Fashion ID dat zij, door in haar website de door het sociale netwerk Facebook aangeboden module „vind ik leuk” te integreren, Facebook toegang heeft verleend tot de persoonsgegevens van de gebruikers van deze site, zonder hun toestemming en in strijd met de informatieverplichtingen waarin de bepalingen inzake de bescherming van persoonsgegevens voorzien. Derhalve doet zich het probleem voor of Fashion ID, doordat zij Facebook toegang verleent tot de persoonsgegevens van de gebruikers van haar website, al dan niet als „voor de verwerking verantwoordelijke” kan worden aangemerkt in de zin van artikel 2, onder d), van richtlijn 95/46.

69.      Ik zie in dit verband geen fundamenteel verschil tussen de situatie van een beheerder van een fanpagina en die van de exploitant van een website die de code van een aanbieder van webtrackingdiensten in zijn website integreert en aldus, buiten medeweten van de internetgebruiker, de doorgifte van gegevens, de installatie van cookies en de verzameling van gegevens ten gunste van de aanbieder van webtrackingdiensten bevordert.

70.      Sociale plug-ins stellen de exploitanten van websites in staat bepaalde diensten van sociale netwerken op hun eigen websites te gebruiken om de zichtbaarheid ervan te verbeteren, bijvoorbeeld door de knop „vind ik leuk” van Facebook in hun website te integreren. Net als beheerders van fanpagina’s kunnen exploitanten van websites die sociale plug-ins integreren gebruikmaken van de dienst „Facebook Insights” om nauwkeurige statistische informatie over de gebruikers van hun site te verkrijgen.

71.      Zoals gebeurt bij het raadplegen van een fanpagina, brengt het raadplegen van een website die een sociale plug-in bevat een doorgifte van persoonsgegevens naar de betrokken aanbieder op gang.

72.      Mijns inziens moet een beheerder van een website die een sociale plug-in bevat, in deze context en net als een beheerder van een fanpagina, worden aangemerkt als „voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46, omdat hij een feitelijke invloed uitoefent op de fase van de verwerking die betrekking heeft op de doorgifte van persoonsgegevens naar Facebook.(34)

73.      Ik voeg hieraan toe dat, zoals de Belgische regering terecht stelt, de vaststelling dat de Wirtschaftsakademie als een medeverantwoordelijke voor de verwerking handelt wanneer zij beslist voor haar informatieaanbod gebruik te maken van de diensten van Facebook, niets afdoet aan de verplichtingen die op Facebook Inc. en Facebook Ireland rusten in hun hoedanigheid van voor de verwerking verantwoordelijken. Het is immers duidelijk dat deze twee entiteiten een beslissende invloed uitoefenen op de doelen van en de middelen voor de verwerking van persoonsgegevens die plaatsvindt in het kader van het raadplegen van een fanpagina en dat zij deze gegevens tevens gebruiken voor hun eigen doelen en belangen.

74.      De erkenning dat beheerders van fanpagina’s medeverantwoordelijk zijn voor de fase van de verwerking die bestaat in de verzameling van persoonsgegevens door Facebook, draagt evenwel bij aan een volledigere bescherming van de rechten van de personen die dit soort pagina’s raadplegen. Het actief betrekken van de beheerders van fanpagina’s bij de naleving van de regels inzake de bescherming van persoonsgegevens door hen als voor de verwerking verantwoordelijken aan te wijzen heeft bovendien indirect tot gevolg dat het sociale-netwerkplatform wordt aangespoord zich aan die regels aan te passen.

75.      Tevens moet worden gepreciseerd dat het bestaan van een gezamenlijke verantwoordelijkheid niet een verantwoordelijkheid op gelijke voet betekent. Integendeel, de diverse voor de verwerking verantwoordelijken kunnen in diverse fasen en in verschillende mate betrokken zijn bij een verwerking van persoonsgegevens.(35)

76.      Volgens de werkgroep „Artikel 29” „[houdt] de mogelijkheid van gezamenlijke verantwoordelijkheid [...] rekening met het steeds toenemende aantal situaties waarin verschillende partijen als voor de verwerking verantwoordelijke optreden. Deze gezamenlijke verantwoordelijkheid dient op dezelfde wijze te worden beoordeeld als de ‚individuele’ verantwoordelijkheid. Daarbij dient een inhoudelijke en functionele benadering te worden gevolgd, en met name te worden bezien of de wezenlijke aspecten van de middelen door meer dan een partij worden vastgesteld. Wanneer van gezamenlijke verantwoordelijkheid sprake is, hebben partijen bij het vaststellen van doelen van en middelen voor de verwerking niet altijd een even grote rol en inbreng”(36). „Bij een gezamenlijke verantwoordelijkheid kunnen de partijen [immers] in verschillende mate betrokken zijn bij de gezamenlijke vaststelling en hoeft hun inbreng niet even groot te zijn. Wanneer er namelijk sprake is van meerdere partijen, kunnen zij zeer nauwe banden hebben (en bijvoorbeeld alle doelen en middelen van een verwerking delen) of een lossere relatie hebben (en bijvoorbeeld alleen doelen of middelen delen). Daarom moet een breed scala van typologieën voor gezamenlijke verantwoordelijkheid worden onderzocht en moeten hun juridische gevolgen worden beoordeeld. Daarbij dient enige souplesse te worden betracht, om rekening te houden met de toenemende complexiteit van de huidige realiteit van de gegevensverwerking”(37).

77.      Uit het voorgaande volgt mijns inziens dat de beheerder van een fanpagina op het sociale netwerk Facebook, naast Facebook Inc. en Facebook Ireland, verantwoordelijk moet worden geacht voor de verwerking van persoonsgegevens die wordt verricht om gebruikersstatistieken met betrekking tot deze pagina op te stellen.

B.      Derde en vierde prejudiciële vraag

78.      Met zijn derde en vierde prejudiciële vraag, die mijns inziens samen moeten worden onderzocht, wenst de verwijzende rechter van het Hof meer duidelijkheid te verkrijgen over de uitlegging van artikel 4, lid 1, onder a), en artikel 28, leden 1, 3 en 6, van richtlijn 95/46 in een situatie waarin een buiten de Unie gevestigde moederonderneming als Facebook Inc. via verschillende vestigingen diensten met betrekking tot een sociaal netwerk aanbiedt op het grondgebied van de Unie. Eén van deze vestigingen is door de moederonderneming aangewezen als de verantwoordelijke voor de verwerking van persoonsgegevens op het grondgebied van de Unie (Facebook Ireland) en de andere verzekert de promotie en de verkoop van advertentieruimte en andere op de inwoners van Duitsland gerichte marketingactiviteiten (Facebook Germany). Tegen deze achtergrond wenst de verwijzende rechter ten eerste te vernemen of de Duitse toezichthoudende autoriteit haar bevoegdheden om in te grijpen mag uitoefenen om de bestreden verwerking van persoonsgegevens te doen staken, en ten tweede jegens welke vestiging deze bevoegdheden moeten worden uitgeoefend.

79.      In antwoord op door het ULD en de Italiaanse regering geuite twijfels over de ontvankelijkheid van de derde en de vierde prejudiciële vraag merk ik op dat het Bundesverwaltungsgericht in zijn verwijzingsbeslissing uitlegt dat het behoefte heeft aan duidelijkheid op deze punten teneinde over de rechtmatigheid van het in het hoofdgeding aan de orde zijnde bevel te kunnen oordelen. Deze rechter voert met name aan dat het tegen de Wirtschaftsakademie uitgevaardigde bevel op een beoordelingsfout kan berusten en bijgevolg onrechtmatig kan zijn indien de door het ULD aangevoerde inbreuken op het toepasselijke gegevensbeschermingsrecht ongedaan konden worden gemaakt door een rechtstreekse maatregel tegen de in Duitsland gevestigde dochteronderneming Facebook Germany.(38) Deze gedachtegang van de verwijzende rechter maakt mijns inziens goed duidelijk waarom hij de derde en de vierde prejudiciële vraag aan het Hof stelt. Gelet op het vermoeden van relevantie dat op verzoeken om een prejudiciële beslissing rust(39), geef ik het Hof derhalve in overweging deze vragen te beantwoorden.

80.      Artikel 4 van richtlijn 95/46, met het opschrift „Toepasselijk nationaal recht”, luidt:

„1.      Elke lidstaat past zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien:

a)      die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke; wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene lidstaten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving

[…]”.

81.      In haar advies 8/2010 van 16 december 2010 over toepasselijk recht(40) schetst de werkgroep „Artikel 29” de toepassing van artikel 4, lid 1, onder a), van richtlijn 95/46 in de volgende situatie: „Een sociaal netwerk heeft zijn hoofdkantoor in een derde land en een vestiging in een lidstaat. De vestiging stelt het beleid vast ten aanzien van de verwerking van persoonsgegevens van inwoners van de [Unie] en voert dit beleid uit. Het sociale netwerk richt zich actief op de inwoners van alle [lidstaten van de Unie], die een aanzienlijk deel van zijn klantenbestand vormen en goed zijn voor een aanmerkelijk deel van zijn inkomsten. Het netwerk installeert ook cookies op de computers van gebruikers in de [Unie]. In dit geval is het toepasselijke recht op grond van artikel 4, lid 1, onder a), [van richtlijn 95/46] het gegevensbeschermingsrecht van de lidstaat waar het bedrijf binnen de [Unie] is gevestigd. De vraag of het sociale netwerk gebruikmaakt van apparatuur die zich op het grondgebied van andere lidstaten bevindt is irrelevant, omdat alle verwerkingen worden verricht in het kader van de activiteiten van de vestiging en de richtlijn de cumulatieve toepassing van de artikelen 4, lid 1, onder a), en 4, lid 1, onder c), [van richtlijn 95/46] uitsluit”.(41) De werkgroep „Artikel 29” preciseert tevens dat „[d]e toezichthoudende autoriteit van de lidstaat waar het sociale netwerk in de [Unie] is gevestigd [...] – op grond van artikel 28, lid 6, [van deze richtlijn] – de plicht [heeft] samen te werken met andere toezichthoudende autoriteiten, bijvoorbeeld om verzoeken of klachten af te handelen die afkomstig zijn van inwoners van andere [lidstaten]”.(42)

82.      De in het voorgaande punt uiteengezette situatie levert nauwelijks moeilijkheden op voor de vaststelling van het toepasselijke nationale recht. Immers, omdat, in deze situatie, de moederonderneming binnen de Unie over slechts één vestiging beschikt, is het recht van de lidstaat waar deze vestiging zich bevindt van toepassing op de betreffende verwerking van persoonsgegevens.

83.      De situatie wordt ingewikkelder indien, zoals in de onderhavige zaak, een in een derde staat gevestigde onderneming als Facebook Inc. haar activiteiten binnen de Unie enerzijds ontplooit via een vestiging die door haar is aangewezen als uitsluitend verantwoordelijke binnen de Facebook-groep voor de verzameling en verwerking van persoonsgegevens op het gehele grondgebied van de Unie (Facebook Ireland), en anderzijds via andere vestigingen, waarvan er één zich in Duitsland bevindt (Facebook Germany) en, volgens de informatie in de verwijzingsbeslissing, is belast met de promotie en de verkoop van advertentieruimte en andere op de inwoners van die lidstaat gerichte marketingactiviteiten.(43)

84.      Mag, in een dergelijke situatie, de Duitse toezichthoudende autoriteit haar bevoegdheden om in te grijpen uitoefenen om een eind te maken aan de verwerking van persoonsgegevens waarvoor Facebook Inc. en Facebook Ireland gezamenlijk verantwoordelijk zijn?

85.      Om deze vraag te beantwoorden, moet worden vastgesteld of de Duitse toezichthoudende autoriteit gerechtigd is haar nationale recht op een dergelijke verwerking toe te passen.

86.      Uit artikel 4, lid 1, onder a), van richtlijn 95/46 vloeit in dit verband voort dat een gegevensverwerking die wordt verricht in het kader van de activiteiten van een vestiging wordt beheerst door het recht van de lidstaat op wiens grondgebied die vestiging is gelegen.

87.      Het Hof heeft al geoordeeld dat, gelet op de doelstelling van deze richtlijn om in verband met de verwerking van persoonsgegevens een doeltreffende en volledige bescherming te waarborgen van de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op eerbiediging van het privéleven, de in artikel 4, lid 1, onder a) van genoemde richtlijn opgenomen uitdrukking „in het kader van de activiteiten van een vestiging” niet restrictief mag worden uitgelegd.(44)

88.      De toepasselijkheid van een omzettingswet van een lidstaat op een verwerking van persoonsgegevens veronderstelt dat aan twee voorwaarden is voldaan. Ten eerste moet de voor deze verwerking verantwoordelijke over een „vestiging” in deze lidstaat beschikken. Ten tweede moet genoemde verwerking plaatsvinden „in het kader van de activiteiten” van deze vestiging.

89.      Wat in de eerste plaats het begrip „vestiging” in de zin van artikel 4, lid 1, onder a), van richtlijn 95/46 betreft, heeft het Hof, door dit begrip ruim en flexibel uit te leggen, al bepaald dat het betrekking heeft op iedere vorm van, zelfs geringe, reële en daadwerkelijke activiteit die via een duurzame vestiging wordt uitgeoefend(45), en daarmee elke formalistische zienswijze afgewezen.(46)

90.      In dit perspectief dient zowel de mate van duurzaamheid van de vestiging als het daadwerkelijk uitoefenen van de activiteiten in de betrokken lidstaat te worden beoordeeld(47), waarbij rekening wordt gehouden met de specifieke aard van de bedrijfsuitoefening en de betrokken dienstverlening.(48) In dit verband wordt niet betwist dat Facebook Germany, die haar zetel in Hamburg (Duitsland) heeft, een daadwerkelijke en reële activiteit uitoefent door middel van een duurzame vestiging in Duitsland. Zij is bijgevolg een „vestiging” in de zin van artikel 4, lid 1, onder a), van richtlijn 95/46.

91.      Wat in de tweede plaats de vraag betreft of de betrokken verwerking van persoonsgegevens wordt verricht „in het kader van de activiteiten” van die vestiging in de zin van artikel 4, lid 1, onder a), van richtlijn 95/46, heeft het Hof er al aan herinnerd dat deze bepaling niet vereist dat de betrokken verwerking van persoonsgegevens wordt verricht „door” de betrokken vestiging zelf, maar enkel dat deze wordt verricht „in het kader van de activiteiten” ervan.(49)

92.      Zoals blijkt uit advies 8/2010 „[is] het begrip ‚kader van de activiteiten’ – en niet de plaats van de gegevens – een doorslaggevende factor bij het vaststellen van het toepasselijke recht. [Dit begrip] houdt in dat het toepasselijke recht niet het recht is van de lidstaat waar de voor de verwerking verantwoordelijke is gevestigd, maar dat van de lidstaat waar een vestigingvan de voor de verwerking verantwoordelijke betrokken is bij activiteiten die verband houden met de verwerking van [persoons]gegevens [of deze verwerking inhouden]. In dit verband is de mate van betrokkenheid van de vestiging(en) bij de activiteiten in het kader waarvan persoonsgegevens worden verwerkt van cruciaal belang. Daarnaast moet de aard van de activiteiten van de vestigingen en de noodzaak om de doeltreffende bescherming van de rechten van mensen te garanderen in overweging worden genomen. Er moet bij de analyse van deze criteria een functionele benadering worden gehanteerd: de doorslaggevende factoren zijn niet zozeer de theoretische inschatting die de partijen maken van het toepasselijke recht, maar hun feitelijke gedragingen en interactie”.(50)

93.      In het arrest van 13 mei 2014, Google Spain en Google(51), heeft het Hof de naleving van deze voorwaarde moeten nagaan. Het heeft een ruime uitlegging gehanteerd door te oordelen dat de verwerking van persoonsgegevens ten behoeve van een dienst van een zoekmachine als Google Search, die wordt geëxploiteerd door een onderneming die is gezeteld in een derde land maar beschikt over een vestiging in een lidstaat, wordt verricht „in het kader van de activiteiten” van deze vestiging indien die vestiging bestemd is om in die lidstaat de promotie en de verkoop te verzekeren van door deze zoekmachine aangeboden advertentieruimte, die de door deze machine aangeboden dienst rendabel moet maken.(52) Het Hof merkte op dat „[i]n dergelijke omstandigheden [...] de activiteiten van de exploitant van de zoekmachine en die van zijn in de betrokken lidstaat gevestigde vestiging immers onlosmakelijk met elkaar verbonden [zijn], daar de activiteiten inzake de advertentieruimtes het middel vormen om de betrokken zoekmachine economisch rendabel te maken en deze machine tegelijkertijd het middel is waardoor deze activiteiten kunnen worden verricht”.(53) Het voegde, ter ondersteuning van zijn oplossing, hieraan toe dat, aangezien de weergave van persoonsgegevens in een resultatenlijst „gepaard gaat met de weergave, op dezelfde webpagina, van met de zoektermen verbonden advertenties, moet worden vastgesteld dat de betrokken verwerking van persoonsgegevens wordt verricht in het kader van de reclame- en handelsactiviteit van de vestiging van de voor de verwerking verantwoordelijke op het grondgebied van een lidstaat, in casu op het Spaanse grondgebied”.(54)

94.      Volgens de informatie in de verwijzingsbeslissing is Facebook Germany belast met de promotie en de verkoop van advertentieruimte en andere op de inwoners van Duitsland gerichte marketingactiviteiten. Aangezien de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is, welke verwerking bestaat in de verzameling van deze gegevens door middel van op de computers van de bezoekers van fanpagina’s geïnstalleerde cookies, met name tot doel heeft om Facebook in staat te stellen advertenties doelgerichter te verspreiden, moet een dergelijke verwerking worden geacht plaats te vinden in het kader van de activiteiten van Facebook Germany in Duitsland. Gelet op het feit dat een sociaal netwerk als Facebook het grootste deel van zijn inkomsten genereert door middel van advertenties op webpagina’s die door gebruikers zijn opgezet en worden bezocht(55), moet in dit verband worden aangenomen dat de activiteiten van de gezamenlijke voor de verwerking verantwoordelijken, Facebook Inc. en Facebook Ireland, onlosmakelijk zijn verbonden met die van een vestiging als Facebook Germany. Als gevolg van de verwerking van persoonsgegevens die mogelijk wordt gemaakt door de installatie van een cookie op de computer van degene die een aan de domeinnaam Facebook.com toebehorende pagina bezoekt, worden bij het raadplegen van een Facebook-pagina op deze webpagina advertenties getoond die aansluiten bij de interesses van deze bezoeker. Daaruit moet worden afgeleid dat de betreffende verwerking van persoonsgegevens wordt verricht in het kader van de reclame- en handelsactiviteiten van de vestiging van de voor de verwerking verantwoordelijke op het grondgebied van een lidstaat, in casu op het Duitse grondgebied.

95.      De omstandigheid dat de Facebook-groep, anders dan het geval was in het kader van de zaak die heeft geleid tot het arrest van 13 mei 2014, Google Spain en Google(56), over een Europese zetel beschikt, in casu in Ierland, staat er niet aan in de weg dat de uitlegging door het Hof in dit arrest van artikel 4, lid 1, onder a), van richtlijn 95/46 wordt toegepast in het kader van de onderhavige zaak. In genoemd arrest heeft het Hof uiting gegeven aan de wens te voorkomen dat een verwerking van persoonsgegevens wordt onttrokken aan de in deze richtlijn vervatte verplichtingen en waarborgen. In het kader van de onderhavige procedure is aangevoerd dat het probleem van een dergelijke ontduiking zich hier niet voordoet omdat de voor de verwerking verantwoordelijke is gevestigd in een lidstaat, in casu in Ierland. Volgens deze logica moet artikel 4, lid 1, onder a), van genoemde richtlijn derhalve aldus worden uitgelegd dat deze voor de verwerking verantwoordelijke slechts rekening hoeft te houden met één nationale wetgeving en onder slechts één toezichthoudende autoriteit valt, te weten de Ierse wetgeving en autoriteit.

96.      Deze uitlegging is echter in strijd met de bewoordingen van artikel 4, lid 1, onder a), van richtlijn 95/46 en met de totstandkomingsgeschiedenis van deze bepaling. Zoals de Belgische regering ter terechtzitting terecht heeft opgemerkt, is bij deze richtlijn immers geen éénloketsmechanisme ingevoerd, noch het beginsel van het land van oorsprong.(57) In dit verband mag hetgeen onder de politieke doelstelling viel die de Europese Commissie in haar voorstel voor een richtlijn nastreefde niet worden verward met de oplossing die uiteindelijk door de Raad van de Europese Unie is bekrachtigd. In genoemde richtlijn heeft deze wetgever ervoor gekozen geen voorrang te geven aan de toepassing van het nationale recht van de lidstaat waar de hoofdvestiging van de voor de verwerking verantwoordelijke zich bevindt. De oplossing van richtlijn 95/46 vertaalt de wens van de lidstaten om hun nationale uitvoeringsbevoegdheid te behouden. Door niet te kiezen voor het beginsel van het land van oorsprong heeft de Uniewetgever de lidstaten de mogelijkheid geboden hun eigen nationale wetgeving toe te passen, waardoor de wetgeving van meerdere lidstaten naast elkaar van toepassing kan zijn.(58)

97.      Met artikel 4, lid 1, onder a), van deze richtlijn heeft de Uniewetgever bewust ervoor gekozen dat, wanneer de voor de verwerking verantwoordelijke verscheidene vestigingen binnen de Unie heeft, de nationale wetgeving inzake de bescherming van persoonsgegevens van verschillende lidstaten naast elkaar van toepassing kan zijn op de verwerking van persoonsgegevens van inwoners van de betrokken lidstaten teneinde een doeltreffende bescherming van hun rechten binnen die lidstaten te waarborgen.

98.      Dit wordt bevestigd door overweging 19 van richtlijn 95/46 waarin wordt benadrukt dat „wanneer een en dezelfde voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene lidstaten, met name door middel van een dochteronderneming, hij dient te waarborgen, in het bijzonder om elke vorm van wetsontduiking te voorkomen, dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt”.

99.      Uit artikel 4, lid 1, onder a), van richtlijn 95/46, waarvan de tweede zin, in de lijn van overweging 19 van deze richtlijn, preciseert dat, wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene lidstaten, hij de nodige maatregelen dient te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving, leid ik derhalve af dat de structuur van een groep die wordt gekenmerkt door de aanwezigheid van vestigingen van de voor de verwerking verantwoordelijke in verscheidene lidstaten niet tot gevolg mag hebben dat laatstgenoemde het recht van de lidstaat in wiens rechtsgebied ieder van deze vestigingen is gelegen, kan ontduiken.

100. Ik voeg hieraan toe dat de uitlegging die de voorkeur geeft aan een uitsluitende toepassing van het recht van de lidstaat waar de Europese zetel van een internationale groep zich bevindt mijns inziens niet meer kan worden verdedigd sinds het arrest van 28 juli 2016, Verein für Konsumenteninformation.(59) In dit arrest heeft het Hof beslist dat de verwerking van persoonsgegevens door een e-commercebedrijf wordt beheerst door het recht van de lidstaat waarop dit bedrijf zijn activiteiten richt indien blijkt dat dit bedrijf de betrokken gegevensverwerking verricht in het kader van de activiteiten van een vestiging die zich in die lidstaat bevindt. Het Hof heeft in deze zin beslist ondanks het feit dat Amazon, net als Facebook, een onderneming is die niet alleen over een Europese zetel in een lidstaat beschikt maar ook fysiek aanwezig is in verscheidene lidstaten. Ook in een dergelijk geval moet worden onderzocht of de gegevensverwerking wordt verricht in het kader van de activiteiten van een vestiging in een andere lidstaat dan die waar de Europese zetel van de voor de verwerking verantwoordelijke zich bevindt.

101. Zoals de Belgische regering opmerkt is het dus zeer goed mogelijk dat een andere vestiging dan die van de Europese zetel van een onderneming relevant is voor de toepassing van artikel 4, lid 1, onder a), van richtlijn 95/46.

102. In het kader van het bij deze richtlijn ingestelde systeem zijn de plaats waar de verwerking wordt verricht en de plaats waar de voor de verwerking verantwoordelijke zijn zetel binnen de Unie heeft gevestigd, wanneer deze verantwoordelijke binnen de Unie verscheidene vestigingen heeft, dus niet bepalend voor het vaststellen van het op een verwerking van persoonsgegevens toepasselijke nationale recht en voor het toekennen aan een toezichthoudende autoriteit van de mogelijkheid om haar bevoegdheden om in te grijpen uit te oefenen.

103. In dit verband mag het Hof mijns inziens niet anticiperen op de regeling van de algemene verordening inzake gegevensbescherming(60) die op 25 mei 2018 in werking treedt. In het kader van deze regeling wordt een éénloketsmechanisme ingevoerd. Dit betekent dat een voor de verwerking verantwoordelijke die grensoverschrijdende verwerkingen verricht, zoals Facebook, slechts één toezichthoudende autoriteit als gesprekspartner heeft, te weten de leidende toezichthoudende autoriteit, die de autoriteit is van de plaats waar de hoofdvestiging van de voor de verwerking verantwoordelijke zich bevindt. Deze regeling en het geavanceerde samenwerkingsmechanisme dat zij invoert, zijn evenwel nog niet van toepassing.

104. Aangezien Facebook ervoor heeft gekozen haar hoofdzetel in de Unie in Ierland te vestigen, moet de toezichthoudende autoriteit van deze lidstaat weliswaar een belangrijke rol spelen bij het toezicht op de naleving door Facebook van de regels van richtlijn 95/46, maar dit betekent, zoals deze autoriteit zelf erkent, niet dat zij, in het kader van het huidige op deze richtlijn gegronde systeem, over een exclusieve bevoegdheid beschikt met betrekking tot de activiteiten van Facebook binnen de Unie.(61)

105. Op grond van het voorgaande ben ik, net als de Belgische en de Nederlandse regering en het ULD, van mening dat de uitlegging door het Hof van artikel 4, lid 1, onder a), van richtlijn 95/46 in zijn arrest van 13 mei 2014, Google Spain en Google(62), ook van toepassing is in een situatie als in het hoofdgeding waarin een voor de verwerking verantwoordelijke zijn zetel heeft in een lidstaat van de Unie en binnen de Unie over verscheidene vestigingen beschikt.

106. Bijgevolg moet, op basis van de door de verwijzende rechter aangeleverde informatie over de aard van de activiteiten van Facebook Germany, worden aangenomen dat de litigieuze verwerking van persoonsgegevens wordt verricht in het kader van de activiteiten van deze vestiging en dat artikel 4, lid 1, onder a), van richtlijn 95/46, in een situatie als in het hoofdgeding, de toepassing van het Duitse recht inzake de bescherming van persoonsgegevens toestaat.(63)

107. De Duitse toezichthoudende autoriteit is derhalve bevoegd om haar nationale recht toe te passen op de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is.

108. Uit artikel 28, lid 1, van deze richtlijn volgt dat iedere door een lidstaat ingestelde toezichthoudende autoriteit toeziet op de naleving, op het grondgebied van deze lidstaat, van de ter uitvoering van genoemde richtlijn door de lidstaten vastgestelde bepalingen.

109. Krachtens artikel 28, lid 3, van richtlijn 95/46 beschikken deze toezichthoudende autoriteiten met name over onderzoeksbevoegdheden, zoals het recht om alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn, en over effectieve bevoegdheden om in te grijpen, zoals de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, de bevoegdheid om een verwerking voorlopig of definitief te verbieden, en de bevoegdheid om de voor de verwerking verantwoordelijke te waarschuwen of te berispen. Deze bevoegdheden om in te grijpen kunnen ook de bevoegdheid omvatten om de voor de gegevensverwerking verantwoordelijke te bestraffen door hem in voorkomend geval een geldboete op te leggen.(64)

110. Artikel 28, lid 6, van richtlijn 95/46 luidt als volgt:

„Elke toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, op het grondgebied van haar eigen lidstaat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen. Elke autoriteit kan door een autoriteit van een andere lidstaat worden verzocht haar bevoegdheden uit te oefenen.

De toezichthoudende autoriteiten werken onderling samen voor zover zulks noodzakelijk is voor de uitvoering van hun taken, met name door de uitwisseling van alle nuttige inlichtingen.”

111. Omdat het recht van de lidstaat waartoe zij behoort van toepassing is op de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is, kan de Duitse toezichthoudende autoriteit al haar bevoegdheden om in te grijpen uitoefenen om te waarborgen dat het Duitse recht door Facebook wordt toegepast en nageleefd op het Duitse grondgebied. Deze vaststelling vloeit voort uit het arrest van 1 oktober 2015, Weltimmo(65), waarin de reikwijdte van artikel 28, leden 1, 3 en 6, van richtlijn 95/46 nader kon worden bepaald.

112. Die zaak draaide vooral om het vaststellen van de bevoegdheid van de Hongaarse toezichthoudende autoriteit om een geldboete op te leggen aan een in een andere lidstaat, te weten Slowakije, gevestigde dienstverlener. Daartoe moest eerst worden onderzocht of, volgens het criterium van artikel 4, lid 1, onder a), van richtlijn 95/46, het Hongaarse recht al dan niet van toepassing was.

113. In het eerste deel van zijn antwoord heeft het Hof de verwijzende rechter een aantal aanwijzingen gegeven op basis waarvan deze rechter kon vaststellen of de voor de verwerking verantwoordelijke een vestiging in Hongarije had,. Verder heeft het Hof geoordeeld dat de verwerking was verricht in het kader van de activiteiten van deze vestiging, en dat artikel 4, lid 1, onder a), van richtlijn 95/46, in een situatie als in deze zaak aan de orde, de toepassing van het Hongaarse recht inzake de bescherming van persoonsgegevens mogelijk maakte.

114. Dit eerste deel van het antwoord van het Hof was dus bedoeld om te bevestigen dat de Hongaarse toezichthoudende autoriteit bevoegd was om, op grond van het Hongaarse recht, een geldboete op te leggen aan een in een andere lidstaat gevestigde dienstverlener, in dit geval Weltimmo.

115. Anders gezegd, zodra, volgens het criterium van artikel 4, lid 1, onder a), van richtlijn 95/46, het Hongaarse recht als het toepasselijke nationale recht kon worden erkend, beschikte de Hongaarse toezichthoudende autoriteit over de bevoegdheid om de naleving van dit recht te verzekeren in geval van schending ervan door een voor de verwerking verantwoordelijke, ook al was laatstgenoemde geregistreerd in Slowakije. Op basis van deze bepaling van richtlijn 95/46 kon worden aangenomen dat Weltimmo, ook al was zij geregistreerd in Slowakije, tevens in Hongarije was gevestigd. De aanwezigheid in Hongarije van een vestiging van de voor de verwerking verantwoordelijke die activiteiten uitoefende in het kader waarvan deze verwerking werd verricht, vormde derhalve het aanknopingspunt dat nodig was voor de erkenning van de toepasselijkheid van het Hongaarse recht en bijgevolg de bevoegdheid van de Hongaarse toezichthoudende autoriteit om de naleving van dit recht te verzekeren op het Hongaarse grondgebied.

116. Het tweede deel van het antwoord van het Hof, waarin het Hof het principe van de territoriale toepassing van de bevoegdheden van iedere toezichthoudende autoriteit moest belichten, is slechts subsidiair, te weten „voor het geval dat de Hongaarse toezichthoudende autoriteit zou menen dat Weltimmo niet in Hongarije maar in een andere lidstaat beschikt over een vestiging in de zin van artikel 4, lid 1, onder a), van richtlijn 95/46 die activiteiten ontplooit in het kader waarvan de betrokken persoonsgegevens worden verwerkt”.(66) Het betrof dus het antwoord op de vraag of „in het geval dat de Hongaarse toezichthoudende autoriteit tot de conclusie zou komen dat [...] niet het Hongaarse recht van toepassing is op de verwerking van persoonsgegevens maar het recht van een andere lidstaat, artikel 28, leden 1, 3 en 6, van richtlijn 95/46 aldus moet worden uitgelegd dat die autoriteit slechts de in artikel 28, lid 3, van die richtlijn vastgestelde bevoegdheden zou kunnen uitoefenen, en dit in overeenstemming met het recht van die andere lidstaat, en geen sancties zou kunnen opleggen”.(67)

117. In dit tweede deel van zijn antwoord heef het Hof derhalve zowel de materiële als de territoriale reikwijdte gepreciseerd van de bevoegdheden die een toezichthoudende autoriteit kan uitoefenen in een specifieke situatie, te weten die waarin het recht van de lidstaat waartoe zij behoort niet van toepassing is.

118. In dat geval heeft het Hof geoordeeld dat „de bevoegdheden van [genoemde] autoriteit [...] niet noodzakelijkerwijze alle bevoegdheden [omvatten] die haar in overeenstemming met het recht van de [lid]staat waartoe zij behoort zijn toegekend”.(68) Aldus „kan een toezichthoudende autoriteit [...] ongeacht het toepasselijke recht haar onderzoeksbevoegdheden uitoefenen en zelfs voordat zij weet welk nationaal recht op de betrokken verwerking van toepassing is. Toch kan zij, wanneer zij tot de conclusie komt dat het recht van een andere lidstaat van toepassing is, geen sancties opleggen buiten het grondgebied van de lidstaat waartoe zij behoort. In een dergelijke situatie dient zij, uit hoofde van de samenwerkingsverplichting van artikel 28, lid 6, van die richtlijn, aan de toezichthoudende autoriteit van die andere lidstaat te vragen om een mogelijke schending van dat recht vast te stellen en, indien dat recht dat toestaat, sancties op te leggen, waarbij zij zich in voorkomend geval kan verlaten op de informatie die zij haar zal hebben doorgegeven”.(69)

119. Ik trek uit het arrest van 1 oktober 2015, Weltimmo(70), de volgende lessen voor de onderhavige zaak.

120. Anders dan de situatie waarop het Hof in dit tweede deel van het arrest van 1 oktober 2015, Weltimmo(71), zijn argumentatie met betrekking tot de bevoegdheden van de toezichthoudende autoriteiten heeft gebaseerd, betreft de onderhavige zaak een situatie, soortgelijk aan die in het eerste deel van dit arrest, waarin, zoals gezegd, het recht van de lidstaat waartoe de toezichthoudende autoriteit die haar bevoegdheden om in te grijpen uitoefent behoort, het toepasselijke nationale recht is als gevolg van de aanwezigheid op het grondgebied van deze lidstaat van een vestiging van de voor verwerking verantwoordelijke waarvan de activiteit onlosmakelijk met deze verwerking is verbonden. De aanwezigheid in Duitsland van deze vestiging vormt het aanknopingspunt dat nodig is voor de toepassing van het Duitse recht op de litigieuze verwerking van persoonsgegevens.

121. Wanneer deze voorafgaande voorwaarde is vervuld, moet de Duitse toezichthoudende autoriteit bevoegd worden geacht de naleving van de regels inzake de bescherming van persoonsgegevens op het Duitse grondgebied te verzekeren door aanwending van alle bevoegdheden waarover zij krachtens de Duitse omzettingsbepalingen van artikel 28, lid 3, van richtlijn 95/46 beschikt. Deze bevoegdheden kunnen ook een bevel omvatten dat bestaat in het tijdelijk of definitief verbieden van een verwerking.

122. Wat de vraag betreft welke entiteit de adressaat van een dergelijke maatregel moet zijn, lijken twee oplossingen denkbaar.

123. De eerste oplossing bestaat erin om, na een strikte uitlegging van de territoriale werkingssfeer van de bevoegdheden om in te grijpen waarover de toezichthoudende autoriteiten beschikken, aan te nemen dat zij deze bevoegdheden uitsluitend kunnen uitoefenen jegens de vestiging van de voor de verwerking verantwoordelijke die zich bevindt op het grondgebied van de lidstaat waartoe zij behoren. Indien, zoals in de onderhavige zaak, deze vestiging, in casu Facebook Germany, niet de voor de verwerking verantwoordelijke is en dus niet zelf gevolg kan geven aan een verzoek van de toezichthoudende autoriteit om een gegevensverwerking te beëindigen, moet deze vestiging dit verzoek doorgeven aan de voor de verwerking verantwoordelijke opdat laatstgenoemde het verzoek kan uitvoeren.

124. Daarentegen bestaat de tweede oplossing erin om, aangezien de voor de verwerking verantwoordelijke de enige is die een beslissende invloed uitoefent op de betrokken gegevensverwerking, aan te nemen dat een maatregel houdende een bevel om die verwerking te beëindigen alleen rechtstreeks aan hem moet worden gericht.

125. Deze tweede oplossing verdient mijns inziens de voorkeur omdat zij strookt met de fundamentele rol die de voor de verwerking verantwoordelijke vervult in het kader van het bij richtlijn 95/46 ingestelde systeem.(72) Deze oplossing waarborgt, door de vermijding van de verplichte tussenkomst van de vestiging die de activiteiten uitoefent in het kader waarvan een verwerking wordt verricht, een onmiddellijke en effectieve toepassing van de nationale regels inzake de bescherming van persoonsgegevens. Bovendien blijft de toezichthoudende autoriteit die een maatregel houdende een bevel tot beëindiging van de gegevensverwerking rechtstreeks richt aan een voor de verwerking verantwoordelijke die niet is gevestigd op het grondgebied van de lidstaat waartoe zij behoort, zoals Facebook Inc. of Facebook Ireland, binnen de grenzen van haar bevoegdheid om te verzekeren dat deze verwerking in overeenstemming is met het recht van deze staat op zijn grondgebied. Het maakt in dit verband weinig uit of de voor de verwerking verantwoordelijke of verantwoordelijken is of zijn gevestigd in een andere lidstaat of een derde staat.

126. Ik preciseer eveneens, in verband met mijn voorstel voor een antwoord op de eerste en de tweede prejudiciële vraag, dat, gelet op de doelstelling om een zo volledig mogelijke bescherming van de rechten van de personen die dit soort pagina’s raadplegen te verzekeren, de mogelijkheid die het ULD heeft om zijn bevoegdheden om in te grijpen jegens Facebook Inc. en Facebook Ireland uit te oefenen, in mijn ogen geenszins uitsluit dat maatregelen tegen de Wirtschaftsakademie worden genomen en dus de rechtmatigheid van die maatregelen als zodanig niet kan aantasten.(73)

127. Uit het voorgaande volgt dat artikel 4, lid 1, onder a), van richtlijn 95/46 aldus moet worden uitgelegd dat een verwerking van persoonsgegevens als in het hoofdgeding wordt verricht in het kader van de activiteiten van een vestiging van de voor deze verwerking verantwoordelijke op het grondgebied van een lidstaat, in de zin van deze bepaling, wanneer een onderneming die een sociaal netwerk exploiteert in deze lidstaat een dochteronderneming opricht om de promotie en de verkoop van de door deze onderneming aangeboden advertentieruimte te verzekeren, wier activiteit op de inwoners van deze lidstaat is gericht.

128. Voorts moet, in een situatie als in het hoofdgeding, waarin het op de betrokken verwerking van persoonsgegevens toepasselijke nationale recht datgene is van de lidstaat waartoe een toezichthoudende autoriteit behoort, artikel 28, leden 1, 3 en 6, van richtlijn 95/46 aldus worden uitgelegd dat deze toezichthoudende autoriteit alle door artikel 28, lid 3, van deze richtlijn aan haar toegekende effectieve bevoegdheden om in te grijpen kan uitoefenen jegens de voor de verwerking verantwoordelijke, ook als die verantwoordelijke in een andere lidstaat of in een derde staat is gevestigd.

C.      Vijfde en zesde prejudiciële vraag

129. Met zijn vijfde en zesde prejudiciële vraag, die mijns inziens samen moeten worden onderzocht, verzoekt de verwijzende rechter het Hof in wezen voor recht te verklaren of artikel 28, leden 1, 3 en 6, van richtlijn 95/46 aldus moet worden uitgelegd dat, in omstandigheden als die in het hoofdgeding, de toezichthoudende autoriteit van de lidstaat waarin de vestiging van de voor de verwerking verantwoordelijke (Facebook Germany) zich bevindt haar bevoegdheden om in te grijpen autonoom mag uitoefenen zonder eerst de toezichthoudende autoriteit van de lidstaat waarin de voor de verwerking verantwoordelijke (Facebook Ireland) zich bevindt, te hoeven verzoeken haar bevoegdheden uit te oefenen.

130. In zijn verwijzingsbeslissing legt het Bundesverwaltungsgericht het verband uit tussen deze twee prejudiciële vragen en de toetsing van de rechtmatigheid van het bevel die het in het kader van het hoofdgeding moet verrichten. Deze rechter betoogt in wezen dat het uitvaardigen van een bevel tegen de Wirtschaftsakademie zou kunnen berusten op een beoordelingsfout van het ULD indien artikel 28, lid 6, van richtlijn 95/46 aldus moet worden uitgelegd dat het, in omstandigheden als die in het hoofdgeding, een toezichthoudende autoriteit als het ULD ertoe verplicht om de toezichthoudende autoriteit van een andere lidstaat, in casu de Data Protection Commissioner, te verzoeken haar bevoegdheden uit te oefenen wanneer de beoordelingen van deze twee autoriteiten met betrekking tot de overeenstemming van de gegevensverwerking door Facebook Ireland met de regels van richtlijn 95/46 onderling afwijken.

131. Zoals het Hof in zijn arrest van 1 oktober 2015, Weltimmo(74), heeft geoordeeld moet, indien het op de betrokken verwerking van persoonsgegevens toepasselijke recht niet het recht is van de lidstaat waartoe de toezichthoudende autoriteit die haar bevoegdheden wenst uit te oefenen behoort, maar dat van een andere lidstaat, artikel 28, leden 1, 3 en 6, van richtlijn 95/46 aldus worden uitgelegd dat deze autoriteit op grond van het recht van de lidstaat waartoe zij behoort geen sancties kan opleggen aan de voor de verwerking verantwoordelijke die niet op het grondgebied van die lidstaat is gevestigd, maar, ingevolge artikel 28, lid 6, van die richtlijn, de toezichthoudende autoriteit van de lidstaat waarvan het recht van toepassing is zou moeten verzoeken om in te grijpen.(75)

132. In een dergelijke situatie verliest de toezichthoudende autoriteit van de eerste lidstaat haar bevoegdheid om een sanctie op te leggen aan een voor de verwerking verantwoordelijke die in een andere lidstaat is gevestigd. Zij dient derhalve, uit hoofde van de samenwerkingsverplichting van artikel 28, lid 6, van genoemde richtlijn, de toezichthoudende autoriteit van die andere lidstaat te verzoeken een mogelijke schending van het recht van die lidstaat vast te stellen en, indien dat recht dat toestaat, sancties op te leggen, waarbij deze andere autoriteit zich in voorkomend geval kan verlaten op de informatie die zij haar zal hebben doorgegeven.(76)

133. Zoals ik hiervoor heb vermeld, is de situatie in deze zaak een geheel andere omdat het toepasselijke recht datgene is van de lidstaat waartoe de toezichthoudende autoriteit die haar bevoegdheden om in te grijpen wenst uit te oefenen, behoort. In deze situatie moet artikel 28, lid 6, van richtlijn 95/46 aldus worden uitgelegd dat het deze toezichthoudende autoriteit niet verplicht de toezichthoudende autoriteit van de lidstaat waarin de voor de verwerking verantwoordelijke is gevestigd te verzoeken haar bevoegdheden om in te grijpen jegens laatstgenoemde uit te oefenen.

134. Ik voeg hieraan toe dat, overeenkomstig het bepaalde in artikel 28, lid 1, tweede zin, van richtlijn 95/46, de toezichthoudende autoriteit die haar bevoegdheden om in te grijpen mag uitoefenen jegens een voor de verwerking verantwoordelijke die is gevestigd in een andere lidstaat dan die waartoe zij behoort, de haar opgedragen taken in volledige onafhankelijkheid uitoefent.

135. Zoals uit het voorgaande volgt, voorziet richtlijn 95/46 noch in het beginsel van het land van oorsprong, noch in een éénloketsmechanisme als dat van verordening 2016/679. Een voor de verwerking verantwoordelijke die in verscheidene lidstaten over vestigingen beschikt is bijgevolg volledig onderworpen aan het toezicht van verschillende toezichthoudende autoriteiten wanneer het recht van de lidstaten waartoe deze autoriteiten behoren van toepassing is. Hoewel het overleg en de samenwerking tussen deze toezichthoudende autoriteiten natuurlijk wenselijk zijn, verplicht niets een toezichthoudende autoriteit wier bevoegdheid is erkend ertoe haar standpunt aan te passen aan dat van een andere toezichthoudende autoriteit.

136. Ik leid uit het voorgaande af dat artikel 28, leden 1, 3 en 6, van richtlijn 95/46 aldus moet worden uitgelegd dat, in omstandigheden als die in het hoofdgeding, de toezichthoudende autoriteit van de lidstaat waarin de vestiging van de voor de verwerking verantwoordelijke zich bevindt, haar bevoegdheden om in te grijpen autonoom jegens deze verantwoordelijke mag uitoefenen zonder eerst de toezichthoudende autoriteit van de lidstaat waarin deze voor de verwerking verantwoordelijke zich bevindt, te hoeven verzoeken haar bevoegdheden uit te oefenen.

III. Conclusie

137. Gelet op het voorgaande geef ik het Hof in overweging de prejudiciële vragen van het Bundesverwaltungsgericht te beantwoorden als volgt:

„1)      Artikel 2, onder d), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, zoals gewijzigd bij verordening (EG) nr. 1882/2003 van het Europees Parlement en de Raad van 29 september 2003, moet aldus worden uitgelegd dat een beheerder van een fanpagina op een sociaal netwerk als Facebook een voor de verwerking verantwoordelijke in de zin van deze bepaling is met betrekking tot de fase van de verwerking van persoonsgegevens die bestaat in de verzameling door dit sociale netwerk van gegevens betreffende de personen die deze pagina raadplegen, om gebruikersstatistieken met betrekking tot deze pagina op te stellen.

2)      Artikel 4, lid 1, onder a), van richtlijn 95/46, zoals gewijzigd bij verordening nr. 1882/2003, moet aldus worden uitgelegd dat een verwerking van persoonsgegevens als in het hoofdgeding wordt verricht in het kader van de activiteiten van een vestiging van de voor deze verwerking verantwoordelijke op het grondgebied van een lidstaat, in de zin van deze bepaling, wanneer een onderneming die een sociaal netwerk exploiteert in deze lidstaat een dochteronderneming opricht om de promotie en de verkoop van de door deze onderneming aangeboden advertentieruimte te verzekeren, wier activiteit op de inwoners van deze lidstaat is gericht.

3)      In een situatie als in het hoofdgeding, waarin het op de betrokken verwerking van persoonsgegevens toepasselijke nationale recht datgene is van de lidstaat waartoe een toezichthoudende autoriteit behoort, moet artikel 28, leden 1, 3 en 6, van richtlijn 95/46, zoals gewijzigd bij verordening nr. 1882/2003, aldus worden uitgelegd dat deze toezichthoudende autoriteit alle door artikel 28, lid 3, van deze overeenkomst aan haar toegekende effectieve bevoegdheden om in te grijpen, kan uitoefenen jegens de voor de verwerking verantwoordelijke, ook als die verantwoordelijke in een andere lidstaat of in een derde staat is gevestigd.

4)      Artikel 28, leden 1, 3 en 6, van richtlijn 95/46, zoals gewijzigd bij verordening nr. 1882/2003, moet aldus worden uitgelegd dat, in omstandigheden als die in het hoofdgeding, de toezichthoudende autoriteit van de lidstaat waarin de vestiging van de voor de verwerking verantwoordelijke zich bevindt, haar bevoegdheden om in te grijpen autonoom jegens deze verantwoordelijke mag uitoefenen zonder eerst de toezichthoudende autoriteit van de lidstaat waarin deze voor de verwerking verantwoordelijke zich bevindt, te hoeven verzoeken haar bevoegdheden uit te oefenen.”

1      Oorspronkelijke taal: Frans.

2      PB 1995, L 281, blz. 31.

3      PB 2003, L 284, blz. 1; hierna: „richtlijn 95/46”.

4      Hierna: „werkgroep ‚Artikel 29’”.

5      Hierna: „advies 2/2010”.

6      Advies 2/2010, blz. 5.

7      Advies 2/2010, blz. 6. Volgens de toelichting van de werkgroep „Artikel 29” in dit advies „werkt [het] meestal zo: de aanbieder van advertentienetwerken plaatst een tracking cookie op de eindapparatuur van betrokkenen [...] die voor het eerst websites bezoeken waarop een advertentie van zijn netwerk staat. De cookie is een klein alfanumeriek tekstbestandje dat door de aanbieder van een netwerk wordt opgeslagen op (en later weer wordt onttrokken aan) de eindapparatuur van de betrokkene [...]. Bij reclame op basis van surfgedrag stelt de cookie de aanbieder van een advertentienetwerk in staat een eerdere bezoeker te herkennen die naar deze website terugkeert of een bezoek brengt aan enige andere website die deel uitmaakt van het advertentienetwerk. Aan de hand van deze herhaalde bezoeken kan de aanbieder van een advertentienetwerk profielen van de gebruiker samenstellen, waarmee advertenties kunnen worden aangeboden die op de particulier zijn toegesneden.”

8      Advies 1/2010 van de werkgroep „Artikel 29” over de begrippen „voor de verwerking verantwoordelijke” en „verwerker”; hierna: „advies 1/2010”, blz. 27.

9      Zo heeft de Agencia española de protección de datos (Spaanse gegevensbeschermingsautoriteit) op 11 september 2017 bekend gemaakt dat zij Facebook Inc. een geldboete van 1,2 miljoen EUR heeft opgelegd. Eerder had de Commission nationale de l’informatique et des libertés (CNIL, Franse gegevensbeschermingsautoriteit), bij besluit van 27 april 2017, Facebook Inc. en Facebook Ireland hoofdelijk al een geldboete van 150 000 EUR opgelegd.

10      § 38, lid 5, BDSG bepaalt:

      „Om de naleving van deze wet en andere bepalingen inzake gegevensbescherming te waarborgen kan de toezichthoudende autoriteit maatregelen bevelen om geconstateerde inbreuken bij het verzamelen, verwerken, of benutten van persoonsgegevens ongedaan te maken, dan wel technische of organisatorische tekortkomingen te verhelpen. In geval van ernstige inbreuken of tekortkomingen, met name wanneer deze een bijzonder risico vormen voor schending van het recht op privéleven, kan zij het verzamelen, verwerken of benutten van persoonsgegevens en het beroep op bepaalde procedures verbieden wanneer de inbreuken of tekortkomingen in strijd met het in de eerste zin bedoelde bevel en in weerwil van de toepassing van een dwangsom niet tijdig ongedaan zijn gemaakt of zijn verholpen. Zij kan om vervanging van de gegevensbeschermingsmedewerker vragen indien hij niet beschikt over de voor het uitvoeren van zijn taak benodigde deskundigheid en betrouwbaarheid.”

11      § 12 van het Telemediengesetz luidt als volgt:

„(1)      De aanbieder van diensten mag persoonsgegevens slechts verzamelen en benutten met het oog op de terbeschikkingstelling van elektronische media voor zover deze wet of een ander wettelijk voorschrift dat expliciet op elektronische media betrekking heeft dit toestaat of de gebruiker zijn toestemming heeft gegeven.

[...]

(3)      Tenzij anders is bepaald zijn de voor de bescherming van persoonsgegevens geldende wettelijke regels van toepassing, ook wanneer de gegevens niet automatisch worden verwerkt.”

12      Deze bepaling betreft de verwerking van persoonsgegevens die wordt uitbesteed.

13      Volgens deze bepaling „[is] een verantwoordelijk lichaam [...] elke persoon die of lichaam dat zelf persoonsgegevens verzamelt, verwerkt of benut, dan wel dit aan anderen uitbesteedt”.

14      C‑131/12, EU:C:2014:317.

15      Punt 60 van dit arrest.

16      Volgens de definities in advies 1/2010 betekent de term „doel” „datgene waarnaar men streeft, dat men probeert te bereiken, te verwezenlijken” en het woord „middel” „datgene wat gebezigd wordt om een doel te bereiken, om ergens toe te komen” (blz. 15).

17      Volgens artikel 6, lid 2, van deze richtlijn bijvoorbeeld, rust op de voor verwerking verantwoordelijke de plicht zorg te dragen voor de naleving van de in artikel 6, lid 1, van deze richtlijn opgesomde beginselen betreffende de kwaliteit van de gegevens. Krachtens de artikelen 10 en 11 van richtlijn 95/46 is de voor de verwerking verantwoordelijke verplicht informatie te verstrekken aan de betrokkenen bij een verwerking van persoonsgegevens. Artikel 12 van deze richtlijn bepaalt dat het recht van de betrokkenen op toegang tot de gegevens wordt uitgeoefend bij de voor de verwerking verantwoordelijke. Dat geldt ook voor het in artikel 14 van genoemde richtlijn vervatte recht van verzet. Volgens artikel 23, lid 1, van richtlijn 95/46 moeten de lidstaten bepalen dat „een ieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen”. Tot slot worden de effectieve bevoegdheden om in te grijpen van de toezichthoudende autoriteiten, als voorzien in artikel 28, lid 3, van deze richtlijn, uitgeoefend jegens de voor de verwerking verantwoordelijken.

18      C‑131/12, EU:C:2014:317.

19      Zie in die zin arrest van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punten 38 en 83).

20      Zie met name arrest van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punt 34).

21      Advies 1/2010, blz. 12.

22      Facebook Ireland legt uit dat zij regelmatig functies toevoegt die uitsluitend ter beschikking worden gesteld aan betrokkenen in de Unie en die aan hen zijn aangepast. In andere gevallen kiest Facebook Ireland ervoor producten die in de Verenigde Staten door Facebook Inc. ter beschikking worden gesteld niet aan te bieden in de Unie.

23      Zie arrest van 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punt 27).

24      Zie verwijzingsbeslissing, punt 39.

25      In het kader van deze zaak is de vaststelling van de doelen van en de middelen voor de verwerking die volgt op de doorgifte aan Facebook van de gegevens van de personen die een fanpagina raadplegen niet hetgeen waar het om draait. De aandacht moet zijn gericht op de fase van de verwerking die hier aan de orde is, namelijk die waarin de gegevens van de personen die een fanpagina raadplegen worden verzameld zonder dat zij daarvan in kennis zijn gesteld en zonder dat naar behoren om hun toestemming is gevraagd.

26      Uit de gebruiksvoorwaarden van Facebook blijkt dat de gebruikersstatistieken de beheerder van een fanpagina in staat stellen om informatie te raadplegen over zijn doelgroep, teneinde hiervoor relevantere content te creëren. De gebruikersstatistieken verschaffen de beheerder van een fanpagina demografische gegevens met betrekking tot zijn doelgroep, met name trends op het gebied van leeftijd, geslacht, liefdesleven, en beroep, informatie over de levensstijl en de kennelijke interesses van zijn doelgroep, en informatie over de aankopen van zijn doelgroep, met name het online-aankoopgedrag en de productcategorieën of diensten die hen het meest interesseren, alsook geografische gegevens die de beheerder van de fanpagina aangeven waar hij speciale promotieactiviteiten kan verrichten en evenementen kan organiseren.

27      Zie in die zin advies 1/2010, blz. 30.

28      Ibidem, blz. 31: „de onevenwichtigheid in de contractuele macht van een kleine voor de verwerking verantwoordelijke ten opzichte van grote dienstverleners [behoort] niet te worden beschouwd als een rechtvaardiging voor de voor de verwerking verantwoordelijke om contractbepalingen te accepteren die niet in overeenstemming met de wetgeving voor gegevensbescherming zijn”.

29      C‑131/12, EU:C:2014:317.

30      Arrest van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punt 38 en, in die zin, punt 83).

31      Arrest van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punt 40).

32      Zie verwijzingsbeslissing, punt 35.

33      Nog bij het Hof aanhangige zaak.

34      Zoals de Zwitserse gegevensbeschermingsautoriteit opmerkt: „[o]fschoon de eigenlijke opslag en analyse van gegevens in de meeste gevallen op de achtergrond wordt verricht door de aanbieder van webtrackingdiensten, is de exploitant van de website eveneens verantwoordelijk. Hij integreert immers de code van de aanbieder van webtrackingdiensten in zijn website en bevordert aldus, buiten medeweten van de internetgebruiker, de doorgifte van gegevens, de installatie van cookies en de verzameling van gegevens ten gunste van de aanbieder van webtrackingdiensten”: Zie „Explications concernant le webtracking” van de Préposé fédéral à la protection des données et à la transparence (PFPDT), te raadplegen op: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr

35      Zie in die zin advies 1/2010, blz. 26.

36      Advies 1/2010, blz. 37 en 38.

37      Advies 1/2010, blz. 22.

38      Zie verwijzingsbeslissing, punt 40.

39      Zie met name arrest van 31 januari 2017, Lounani (C‑573/14, EU:C:2017:71, punt 56 en aldaar aangehaalde rechtspraak).

40      Hierna: „advies 8/2010”.

41      Blz. 31 van dit advies.

42      Blz. 32 van genoemd advies.

43      De structuur die groepen als Google en Facebook hebben ingesteld om hun activiteiten wereldwijd te ontwikkelen, maakt de vaststelling van het toepasselijke nationale recht en de identificatie van de vestiging waartegen benadeelde particulieren en toezichthoudende autoriteiten kunnen optreden ingewikkeld. Zie over deze kwesties Svantesson D., „Enforcing Privacy Across Different Jurisdictions”, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlijn, 2016, blz. 195‑222, met name blz. 216‑218.

44      Zie met name arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 25 en aldaar aangehaalde rechtspraak).

45      Zie met name arrest van 28 juli 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punt 75 en aldaar aangehaalde rechtspraak).

46      Zie arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 29).

47      Zie met name arrest van 28 juli 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punt 77 en aldaar aangehaalde rechtspraak).

48      Zie arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 29).

49      Zie met name arrest van 28 juli 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punt 78 en aldaar aangehaalde rechtspraak).

50      Blz. 33 van advies 8/2010. Zie in die zin ook blz. 15 van dit advies.

51      C‑131/12, EU:C:2014:317.

52      Punt 55 van dit arrest.

53      Punt 56 van genoemd arrest.

54      Punt 57 van hetzelfde arrest.

55      Zie in die zin advies 5/2009 van 12 juni 2009 over online sociale netwerken van de werkgroep „Artikel 29”, blz. 5.

56      C‑131/12, EU:C:2014:317.

57      Zie met name „Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain” van de werkgroep „Artikel 29” van 16 december 2015, blz. 6 en 7.

58      Zie, in de zin van een mogelijke toepassing van het nationale recht van meer dan één lidstaat, advies 8/2010: „de verwijzing naar ‚een’ vestiging [betekent] dat de aanwezigheid van een vestiging van de voor de verwerking verantwoordelijke in een lidstaat tot gevolg heeft dat het recht van die lidstaat van toepassing is, en dat de aanwezigheid van andere vestigingen van die voor de verwerking verantwoordelijke in andere lidstaten tot gevolg kan hebben dat het recht van die andere lidstaten van toepassing is” (blz. 33).

59      C‑191/15, EU:C:2016:612.

60      Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46 (PB 2016, L 119, blz. 1).

61      Zie in dit verband Hawkes B., „The Irish DPA and its Approach to Data Protection”, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlijn, 2016, blz. 441‑454, met name blz. 450, voetnoot 11. De auteur betoogt dat „[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase ‚the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State’. The DPC, in its audit report, stated that: ‚it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland’ but that this ‚should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU’.

62      C‑131/12, EU:C:2014:317.

63      Zie, volgens een vergelijkbare logica, Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, waarin deze autoriteiten het volgende verklaren: „[...] the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice [...], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are ‚inextricably linked’ to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC”.

64      Zie arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 49).

65      C‑230/14, EU:C:2015:639.

66      Zie arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 42).

67      Zie arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 43).

68      Zie arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 55).

69      Zie arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 57).

70      C‑230/14, EU:C:2015:639.

71      C‑230/14, EU:C:2015:639.

72      Zie in dit verband punt 44 van deze conclusie.

73      Zie ook punten 73‑77 van deze conclusie.

74      C‑230/14, EU:C:2015:639.

75      Arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 60).

76      Arrest van 1 oktober 2015, Weltimmo (C‑230/14, EU:C:2015:639, punt 57).