CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:704

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

A. RANTOS

fremsat den 20. september 2022 (1)

Sag C-252/21

Meta Platforms Inc., tidligere Facebook Inc.,

Meta Platforms Ireland Limited, tidligere Facebook Ireland Ltd.,

Facebook Deutschland GmbH

mod

Bundeskartellamt,

procesdeltager:

Verbraucherzentrale Bundesverband e.V.

(anmodning om præjudiciel afgørelse indgivet af Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland))

»Præjudiciel forelæggelse – forordning (EU) 2016/679 – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – sociale netværk – artikel 4, nr. 11) – begrebet »samtykke« fra den registrerede – samtykke givet over for en dataansvarlig virksomhed, der er markedsdominerende – artikel 6, stk. 1, litra b)-f) – lovlig behandling – behandling nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse – behandling nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt – artikel 9, stk. 1, og artikel 9, stk. 2, litra e) – særlige kategorier af personoplysninger – personoplysninger, som tydeligvis er offentliggjort af den registrerede – artikel 51-66 – den nationale konkurrencemyndigheds kompetencer – sammenhæng med de kompetencer, der henhører under tilsynsmyndighederne for beskyttelse af personoplysninger – vedtagelse af kartelretlige foranstaltninger ved en myndighed, der er beliggende i en anden medlemsstat end den, hvori den ledende databeskyttelsesmyndighed er beliggende«

Indledning

1. Den foreliggende anmodning om præjudiciel afgørelse er blevet indgivet af Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland) inden for rammerne af en tvist mellem en række selskaber i Meta Platforms-koncernen (2) og Bundeskartellamt (føderal konkurrencemyndighed, Tyskland) vedrørende en afgørelse, hvorved nævnte myndighed forbød sagsøgeren i hovedsagen at foretage den behandling af oplysninger, der er omhandlet i tjenestevilkårene for koncernens sociale netværk Facebook, og gennemførelsen heraf og pålagde denne at træffe foranstaltninger med henblik på at bringe behandlingen til ophør (3).

2. De præjudicielle spørgsmål vedrører nærmere bestemt dels den kompetence, som en national konkurrencemyndighed, såsom Bundeskartellamt, har til, enten umiddelbart eller ved en mellemafgørelse, at undersøge en virksomheds adfærd på baggrund af visse bestemmelser i forordning (EU) 2016/679 (4), dels fortolkningen af disse bestemmelser hvad navnlig angår behandling af følsomme personoplysninger, relevante betingelser for lovlig behandling af personoplysninger og afgivelse af et frivilligt samtykke over for en markedsdominerende virksomhed.

Retsforskrifter

EU-retten

3. Artikel 4 i forordning 2016/679 fastsætter:

»I denne forordning forstås ved:

[…]

11) »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling

[…]«

4. Denne forordnings artikel 6, stk. 1, med overskriften »Lovlig behandling« er affattet som følger:

»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.«

5. Nævnte forordnings artikel 9, stk. 1 og 2, med overskriften »Behandling af særlige kategorier af personoplysninger« bestemmer:

»1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

a) Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.

[…]

e) Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.

[…]«

6. Samme forordnings artikel 51 med overskriften »Tilsynsmyndighed«, der indgår i forordningens kapitel VI, som for sit vedkommende har overskriften »Uafhængige tilsynsmyndigheder«, foreskriver:

»1. Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen […]

2. Hver enkelt tilsynsmyndighed bidrager til ensartet anvendelse af denne forordning i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapitel VII.

[…]«

Tysk ret

7. § 19, stk. 1, i Gesetz gegen Wettbewerbsbeschränkungen (lov om konkurrencebegrænsninger, herefter »GWB«) har følgende ordlyd:

»En eller flere virksomheders udnyttelse af en dominerende stilling på et marked ved misbrug er forbudt.« (5)

8. I GWB’s § 50f fastsættes følgende:

»(1) Konkurrencemyndigheder, reguleringsmyndigheder, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit [(føderal tilsynsførende for databeskyttelse og informationsfrihed)], Landesbeauftragte für Datenschutz [(delstatstilsynsførende for databeskyttelse)] og kompetente myndigheder som omhandlet i § 2 i EU-Verbraucherschutzdurchführungsgesetz [(lov om gennemførelse af Den Europæiske Unions forbrugerbeskyttelsesret)] kan, uafhængigt af den valgte procedure, udveksle oplysninger indbyrdes, herunder personoplysninger og handels- og forretningshemmeligheder, for så vidt som dette er nødvendigt for opfyldelse af deres respektive opgaver, samt kan udnytte disse oplysninger inden for rammerne af deres procedurer. […]«

Tvisten i hovedsagen, de præjudicielle spørgsmål og retsforhandlingerne for Domstolen

9. Meta Platforms driver i Den Europæiske Union det sociale onlinenetværk »Facebook« (på adressen www.facebook.com) og andre onlinetjenester, heriblandt Instagram og WhatsApp. Den økonomiske model for de sociale netværk, som Meta Platforms driver, består i det væsentlige dels i at tilbyde sociale netværkstjenester, som er gratis for private brugere, dels i at sælge online-markedsføring, som er tilpasset den individuelle bruger af det sociale netværk og har til formål at vise brugeren de produkter og tjenester, som på baggrund af navnlig dennes personlige forbrugsmønster, interesser, købekraft og livssituation vil kunne interessere vedkommende. Det tekniske grundlag for denne type markedsføring er automatisk oprettelse af meget detaljerede profiler for brugerne af netværket og af de onlinetjenester, som koncernen tilbyder (6).

10. Med henblik på indsamling og behandling af brugeroplysninger baserer Meta Platforms sig på den brugskontrakt, som koncernen indgår med sine brugere ved, at nævnte brugere trykker på knappen »registrer« og derved giver samtykke til Facebooks tjenestevilkår. Samtykke til disse tjenestevilkår er en grundlæggende betingelse for anvendelse af det sociale netværk Facebook (7). Den problemstilling, der udgør kernen i den foreliggende sag, vedrører en praksis, som består i for det første indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps eller gennem cookies indsat på brugerens computer eller mobile terminaludstyr, for det andet sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto og for det tredje anvendelse af de nævnte oplysninger (herefter »den omtvistede praksis«).

11. Bundeskartellamt anlagde sag mod Meta Platforms, hvorved nævnte myndighed med den omtvistede afgørelse forbød nævnte selskab at foretage den behandling af oplysninger, der er omhandlet i tjenestevilkårene for Facebook, og gennemførelsen heraf og pålagde det at træffe foranstaltninger med henblik på at bringe behandlingen til ophør. Bundeskartellamt begrundede bl.a. sin afgørelse med, at den omhandlede behandling udgjorde misbrug af det pågældende selskabs dominerende stilling på markedet for sociale netværk for private brugere i Tyskland som omhandlet i GWB’s § 19 (8).

12. Den 11. februar 2019 anlagde Meta Platforms søgsmål til prøvelse af den omtvistede afgørelse ved den forelæggende ret, Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf) (9), som nærmere bestemt nærer tvivl dels med hensyn til nationale konkurrencemyndigheders mulighed for at føre tilsyn med, hvorvidt en behandling af oplysninger er i overensstemmelse med kravene i forordning 2016/679, og for at fastslå og sanktionere en tilsidesættelse af bestemmelserne heri, dels med hensyn til fortolkningen og anvendelsen af visse bestemmelser i denne forordning.

13. Under disse betingelser har Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf) besluttet af udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) a) Er artikel 51 ff. i forordning […] 2016/679 til hinder for, at en national konkurrencemyndighed i en medlemsstat, såsom Bundeskartellamt, der ikke er tilsynsmyndighed som omhandlet [i] artikel 51 ff. i forordning […] 2016/679, og i hvilken medlemsstat en virksomhed med hjemsted uden for Den Europæiske Union har en etablering, der inden for markedsføring, kommunikation og PR bistår denne virksomheds hovedvirksomhed, som er beliggende i en anden medlemsstat, og som har eneansvaret for behandlingen af personoplysninger på hele Den Europæiske Unions område, for det kartelretlige misbrugstilsyn fastslår, at hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger og gennemførelsen heraf udgør en tilsidesættelse af forordning […] 2016/679, og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør?

b) Såfremt dette spørgsmål besvares bekræftende: Er artikel 4, stk. 3, TEU til hinder herfor, når den ledende tilsynsmyndighed i den medlemsstat, hvor hovedvirksomheden er beliggende, som omhandlet i artikel 56, stk. 1, i forordning […] 2016/679 samtidig underkaster hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det første spørgsmål besvares bekræftende:

2) a) Udgør det forhold, at en internetbruger enten kun besøger eller også indtaster informationer, f.eks. ved registrering eller bestillinger, på websteder eller apps, der vedrører kriterierne i artikel 9, stk. 1, i forordning […] 2016/679, såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder, og en anden virksomhed såsom Facebook Ireland gennem grænseflader på disse websteder eller i disse apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr indsamler oplysninger om brugerens besøg på disse websteder og apps og om de informationer, som brugeren har indtastet, sammenstiller disse oplysninger med oplysningerne om brugerens [Facebook]-konto og anvender dem, behandling af følsomme oplysninger i forordningens forstand for så vidt angår indsamlingen og/eller sammenstillingen og/eller anvendelsen?

b) Såfremt dette spørgsmål besvares bekræftende: Indebærer besøg på disse websteder og apps og/eller indtastning af informationer og/eller tryk på knapper på disse websteder eller apps (»sociale plugins« såsom »synes godt om«, »del« eller »Facebook login« eller »account kit«) fra en udbyder som Facebook Ireland, at brugeren i kraft af selve besøget og/eller indtastningen tydeligvis har offentliggjort oplysningerne som omhandlet i artikel 9, stk. 2, litra e), i forordning […] 2016/679?

3) Kan en virksomhed som Facebook Ireland, der driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter, påberåbe sig den begrundelse, at behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt som omhandlet i artikel 6, stk. 1, litra b), i forordning […] 2016/679, eller er nødvendig for at forfølge en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning […] 2016/679, når den med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens [Facebook]-konto og anvender dem?

4) Kan også

– det forhold, at brugerne er mindreårige, af hensyn til persontilpasningen af indhold og markedsføring, produktforbedring, netværkssikkerhed og ikke-markedsføringsmæssig kommunikation med brugeren,

– levering af målinger, analyser og øvrige virksomhedsservices til markedsføringskunder, udviklere og øvrige partnere, således at disse kan evaluere og forbedre deres ydelser,

– levering af marketingkommunikation med brugeren, således at virksomheden kan forbedre sine produkter og gennemføre direct marketing,

– forskning og innovation til gavn for samfundet med henblik på at fremme niveauet for teknologiske fremskridt eller den videnskabelige forståelse vedrørende vigtige sociale emner og at øve positiv indflydelse på samfundet og verden,

– det forhold, at der gives oplysninger til retshåndhævende myndigheder og besvares juridiske anmodninger med henblik på at forhindre, opklare og retsforfølge strafbare handlinger, ulovlig brug, tilsidesættelser af tjenestevilkårene og politikkerne og andre former for skadelig adfærd,

i en sådan situation udgøre en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning […] 2016/679, når virksomheden med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens [Facebook]-konto og anvender dem?

5) Kan indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstilling med brugerens [Facebook]-konto og anvendelse heraf eller anvendelse af oplysninger, der allerede i anden sammenhæng er blevet indsamlet og sammenstillet lovligt, i en sådan situation i specifikke tilfælde også være begrundet i henhold til artikel 6, stk. 1, litra c), d) og e), i forordning […] 2016/679 med henblik på f.eks. at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger [litra c)], at bekæmpe skadelig adfærd og fremme sikkerheden [litra d)] eller af hensyn til forskning til gavn for samfundet og til fremme af beskyttelse, integritet og sikkerhed [litra e)]?

6) Kan der gives et gyldigt og navnlig i henhold til artikel 4, nr. 11), i forordning […] 2016/679 frivilligt samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning […] 2016/679 over for en markedsdominerende virksomhed som Facebook Ireland?

Såfremt det første spørgsmål besvares benægtende:

7) a) Kan en national [konkurrence]myndighed i en medlemsstat såsom Bundeskartellamt, som ikke er tilsynsmyndighed som omhandlet i artikel 51 ff. i forordning […] 2016/679, og som vurderer, om en markedsdominerende virksomhed har tilsidesat det kartelretlige forbud mod misbrug, idet denne tilsidesættelse ikke består i, at virksomhedens betingelser for behandling af oplysninger og gennemførelsen heraf tilsidesætter forordning […] 2016/679, f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt denne virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning […] 2016/679?

b) Såfremt dette spørgsmål besvares bekræftende: Gælder dette henset til artikel 4, stk. 3, TEU også, når den ledende tilsynsmyndighed som omhandlet i artikel 56, stk. 1, i forordning […] 2016/679 samtidig underkaster denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det syvende spørgsmål besvares bekræftende, er det nødvendigt at besvare det tredje til femte spørgsmål med hensyn til oplysninger fra brugen af koncernens tjeneste Instagram.«

14. Meta Platforms, den tyske, den tjekkiske, den italienske og den østrigske regering, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (sammenslutning af forbrugere, Tyskland) samt Europa-Kommissionen har indgivet skriftlige indlæg. Disse parter har ligeledes afgivet mundtlige indlæg i retsmødet, som blev afholdt den 10. maj 2022.

Bedømmelse

15. De præjudicielle spørgsmål, der er genstand for den foreliggende sag, og som vedrører fortolkningen af flere bestemmelser i forordning 2016/679, angår i det væsentlige for det første den kompetence, som en konkurrencemyndighed har til at fastslå og sanktionere en tilsidesættelse af reglerne vedrørende behandling af personoplysninger, og de forpligtelser, som den pågældende myndighed har til at samarbejde med den ledende tilsynsmyndighed som omhandlet i forordning 2016/679 (det første og det syvende præjudicielle spørgsmål), for det andet forbud mod behandling af følsomme personoplysninger og gældende betingelser for samtykke til behandling heraf (det andet præjudicielle spørgsmål), for det tredje lovlig behandling af personoplysninger på baggrund af visse begrundelser (det tredje til det femte præjudicielle spørgsmål) og for det fjerde gyldighed af et samtykke til behandling af personoplysninger, der gives over for en markedsdominerende virksomhed (det sjette præjudicielle spørgsmål).

16. I de følgende punkter vil jeg først behandle det første og det syvende spørgsmål og dernæst de øvrige spørgsmål, i den rækkefølge, hvori de er blevet forelagt, idet det tredje til det femte spørgsmål vil blive behandlet samlet.

Om det første præjudicielle spørgsmål

17. Med det første præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om en konkurrencemyndighed, når den retsforfølger en tilsidesættelse af konkurrencereglerne, dels umiddelbart kan fastslå (10), at en virksomhed, hvis hovedvirksomhed, som har eneansvaret for behandlingen af personoplysninger på hele Unionens område, har tilsidesat reglerne i forordning 2016/679 vedrørende behandling af oplysninger, dels kan vedtage en afgørelse om, at denne tilsidesættelse skal bringes til ophør [det første spørgsmål, litra a)], og, såfremt dette spørgsmål besvares bekræftende, om den kompetente ledende tilsynsmyndighed i medfør af artikel 56, stk. 1, i forordning 2016/679 endvidere kan underkaste denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelse [det første spørgsmål, litra b)].

18. Medmindre andet fremgår af den forelæggende rets kontrol, er jeg imidlertid af den opfattelse, at Bundeskartellamt i den omtvistede afgørelse ikke sanktionerede en tilsidesættelse af forordning 2016/679 fra Meta Platforms’ side, men alene med henblik på anvendelse af konkurrencereglerne foretog undersøgelsen af en formodet tilsidesættelse af forbuddet mod misbrug af dominerende stilling fra denne virksomheds side, under hensyntagen til bl.a. det forhold, at virksomhedens adfærd ikke var i overensstemmelse med bestemmelserne i denne forordning.

19. Følgelig er det første spørgsmål, litra a), efter min opfattelse irrelevant, for så vidt som det vedrører en konkurrencemyndigheds mulighed for umiddelbart at fastslå en tilsidesættelse af reglerne i forordning 2016/679 og for at vedtage en afgørelse om, at denne tilsidesættelse skal bringes til ophør som omhandlet i denne forordning (11).

20. Det første spørgsmål, litra b), der er betinget af, at det første spørgsmål, litra a), besvares bekræftende, er herefter ligeledes irrelevant (12).

Om det syvende præjudicielle spørgsmål

21. Med det syvende præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om en konkurrencemyndighed, når den retsforfølger en tilsidesættelse af konkurrencereglerne, ved en mellemafgørelse (13) kan foretage konstateringer om, hvorvidt betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning 2016/679 [det syvende spørgsmål, litra a)], og, såfremt dette spørgsmål besvares bekræftende, hvorvidt konkurrencemyndigheden ligeledes kan foretage en sådan undersøgelse, når den kompetente ledende tilsynsmyndighed samtidig underkaster disse betingelser en undersøgelsesprocedure [det syvende spørgsmål, litra b)].

22. Hvad for det første angår det syvende spørgsmål, litra a), er jeg af den opfattelse, at selv om en konkurrencemyndighed ikke er kompetent til at fastslå en tilsidesættelse af forordning 2016/679 (14), er denne forordning principielt ikke til hinder for, at andre myndigheder end tilsynsmyndigheder, under udøvelse af deres egne kompetencer og beføjelser, ved en mellemafgørelse kan tage hensyn til, hvorvidt en adfærd er forenelig med bestemmelserne i forordning 2016/679. Dette er efter min opfattelse bl.a. tilfældet for så vidt angår en konkurrencemyndigheds udøvelse af de beføjelser, som den er tillagt ved artikel 102 TEUF og artikel 5, stk. 1, i forordning (EF) nr. 1/2003 (15) eller ved enhver anden tilsvarende national regel (16).

23. En konkurrencemyndighed skal nemlig under udøvelse af sine kompetencer navnlig vurdere, om den undersøgte adfærd udgør en anvendelse af metoder, der adskiller sig fra dem, der regulerer en normal konkurrence, i betragtning af den retlige og økonomiske sammenhæng, hvori denne adfærd indgår (17). Hvorvidt nævnte adfærd, ikke i sig selv, men henset til alle sagens omstændigheder, er i overensstemmelse med bestemmelserne i forordning 2016/679, kan i denne forbindelse være et væsentligt indicium for at fastslå, om denne adfærd udgør en anvendelse af metoder, der regulerer en normal konkurrence, idet det skal præciseres, at det ikke følger af en adfærds overensstemmelse eller manglende overensstemmelse med forordning 2016/679 eller med andre retsregler, at adfærden har eller ikke har karakter af misbrug i henseende til artikel 102 TEUF (18).

24. Jeg er følgelig af den opfattelse, at en undersøgelse af en dominerende stilling på et marked kan begrunde en konkurrencemyndigheds fortolkning af regler, der ikke henhører under konkurrenceretten, såsom reglerne i forordning 2016/679 (19), idet det skal præciseres, at en sådan undersøgelse skal foretages ved en mellemafgørelse (20) og ikke berører de kompetente tilsynsmyndigheders anvendelse af denne forordning (21).

25. Hvad for det andet angår det syvende spørgsmål, litra b), har den forelæggende ret rejst spørgsmålet om, hvilke forpligtelser en konkurrencemyndighed, når den fortolker bestemmelser i forordning 2016/679, har i forbindelse med anvendelsen af det princip om loyalt samarbejde, som er nedfældet i artikel 4, stk. 3, TEU, i forhold til den kompetente ledende tilsynsmyndighed som omhandlet i denne forordning, og, mere specifikt, når samme adfærd som den, konkurrencemyndigheden undersøger, undersøges af den kompetente ledende tilsynsmyndighed.

26. I den foreliggende sag indebærer en konkurrencemyndigheds undersøgelse af en virksomheds adfærd på baggrund af reglerne i forordning 2016/679, om end en sådan undersøgelse foretages ved en mellemafgørelse, en risiko for, at konkurrencemyndigheden og tilsynsmyndighederne fortolker denne forordning forskelligt, hvilket principielt kan skade den ensartede fortolkning af forordning 2016/679 (22).

27. EU-retten fastsætter ikke udførlige regler hvad angår samarbejde mellem en konkurrencemyndighed og tilsynsmyndigheder som omhandlet i forordning 2016/679 i en sådan situation. Nærmere bestemt finder hverken mekanismen vedrørende samarbejde mellem kompetente myndigheder som omhandlet i forordning 2016/679 under anvendelse af denne forordning (23) eller andre præcise regler vedrørende samarbejde mellem administrative myndigheder, såsom reglerne om samarbejde mellem konkurrencemyndigheder og mellem disse og Kommissionen under anvendelse af konkurrencereglerne (24), anvendelse i den foreliggende sag.

28. Når en konkurrencemyndighed fortolker forordning 2016/679, er den ikke desto mindre forpligtet af det princip om loyalt samarbejde, der er fastsat i artikel 4, stk. 3, TEU, og i medfør af hvilket Unionen og medlemsstaterne, herunder deres administrative myndigheder (25), respekterer hinanden og bistår hinanden ved gennemførelsen af de opgaver, der følger af traktaterne. Særligt fastsættes det i tredje afsnit til denne bestemmelse, at medlemsstaterne bistår Unionen i gennemførelsen af dens opgaver og afholder sig fra at træffe foranstaltninger, der kan bringe virkeliggørelsen af Unionens mål i fare (26). I lighed med enhver administrativ myndighed, der har til opgave at anvende EU-retten, er en konkurrencemyndighed endvidere forpligtet af princippet om god forvaltningsskik som et generelt EU-retligt princip, der indeholder en omfattende agtpågivenheds- og forsorgspligt for den nationale myndighed (27).

29. Når en konkurrencemyndighed fortolker bestemmelser i forordning 2016/679, er den således i mangel af præcise regler med hensyn til samarbejdsmekanismer – som det eventuelt påhviler EU-lovgiver at vedtage – i det mindste underlagt en række oplysnings-, efterretnings- og samarbejdsforpligtelser i forhold til de kompetente myndigheder som omhandlet i denne forordning, i henhold til de nationale regler, der regulerer den pågældende myndigheds kompetencer (princippet om medlemsstaternes procesautonomi), og under overholdelse af ækvivalensprincippet og effektivitetsprincippet (28).

30. Heraf følger efter min opfattelse, at når den kompetente ledende tilsynsmyndighed har udtalt sig om anvendelsen af visse bestemmelser i forordning 2016/679 i forhold til en enslydende eller tilsvarende praksis, kan konkurrencemyndigheden principielt ikke frigøre sig fra førstnævnte myndigheds fortolkning, idet denne myndighed er den eneste, der er kompetent med henblik på anvendelsen af denne forordning (29), og konkurrencemyndigheden skal så vidt muligt og under overholdelse af navnlig de registreredes ret til forsvar efterkomme eventuelle afgørelser, som den ledende tilsynsmyndighed måtte have vedtaget vedrørende den samme adfærd (30), idet den i tilfælde af tvivl med hensyn til den fortolkning, som den kompetente myndighed har givet i den konkrete sag, skal rådslå sig med den ledende tilsynsmyndighed, eller eventuelt, når denne er beliggende i en anden medlemsstat, med den nationale tilsynsmyndighed (31).

31. Desuden påhviler det i mangel af en afgørelse fra den kompetente tilsynsmyndighed ikke desto mindre konkurrencemyndigheden at underrette tilsynsmyndigheden (32) og samarbejde med denne, når tilsynsmyndigheden har indledt en undersøgelse af den samme praksis eller tilkendegivet, at den har til hensigt at gøre det, og eventuelt afvente udfaldet af den undersøgelse, som tilsynsmyndigheden foretager, inden den indleder sin egen bedømmelse, for så vidt som dette er hensigtsmæssigt og ikke berører bl.a. konkurrencemyndighedens overholdelse af en rimelig undersøgelsesfrist og af de registreredes ret til forsvar (33).

32. Henset til den foreliggende sag er det min opfattelse, at den omstændighed, at konkurrencemyndigheden formelt har indledt et samarbejde med de ansvarlige nationale tilsynsmyndigheder (34) og ligeledes uformelt har kontaktet den ledende irske tilsynsmyndighed – en omstændighed, som Bundeskartellamt har henvist til, og som det tilkommer den forelæggende ret at efterprøve – kan være tilstrækkelig til at konkludere, at konkurrencemyndigheden har opfyldt sine forpligtelser til agtpågivenhed og loyalt samarbejde (35).

33. Sammenfattende foreslår jeg at besvare det syvende præjudicielle spørgsmål med, at artikel 51-66 i forordning 2016/679 skal fortolkes således, at en konkurrencemyndighed som led i sine beføjelser som omhandlet i konkurrencereglerne ved en mellemafgørelse kan undersøge, om den undersøgte praksis er i overensstemmelse med reglerne i forordning 2016/679, idet den skal tage hensyn til enhver afgørelse eller undersøgelse fra den i henhold til forordning 2016/679 kompetente tilsynsmyndighed og skal underrette den nationale tilsynsmyndighed og efter omstændighederne rådslå sig med denne.

Om det andet præjudicielle spørgsmål

34. Med det andet præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at den omtvistede praksis, når den vedrører besøg på tredjeparters websteder og apps (36), henhører under behandling af de opregnede følsomme personoplysninger (37), som er forbudt (38) [det andet spørgsmål, litra a)], og, såfremt dette spørgsmål besvares bekræftende, om denne forordnings artikel 9, stk. 2, litra e), skal fortolkes således, at en bruger tydeligvis har offentliggjort oplysningerne som omhandlet i denne bestemmelse, dels når oplysningerne afgives ved besøg på websteder og apps, dels når de indtastes eller følger af tryk på knapper på disse websteder eller apps (39) [det andet spørgsmål, litra b)].

35. Hvad for det første angår det andet spørgsmål, litra a), erindrer jeg om, at behandling af følsomme personoplysninger i medfør af artikel 9, stk. 1, i forordning 2016/679 er forbudt. Som det fremgår af 51. betragtning til denne forordning, er den særlige beskyttelse af disse oplysninger begrundet ved, at de i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, og at behandling af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Til trods for den relativt uklare affattelse af denne bestemmelse (40) er det endvidere ikke min opfattelse, at bestemmelsen, således som den forelæggende ret har lagt til grund, indfører nogen væsentlig sondring mellem personoplysninger, der er følsomme, fordi de »angiver« en bestemt situation, og oplysninger, der er følsomme i sig selv (41).

36. Det er i den foreliggende sag efter min opfattelse åbenbart, at den omtvistede praksis udgør en behandling af personoplysninger, som principielt kan høre ind under anvendelsesområdet for denne bestemmelse og være forbudt, når de oplysninger, der behandles, »angiver« en af de heri opregnede følsomme situationer. Det skal således fastslås, om og i hvilket omfang besøg på websteder og apps eller indtastning af informationer på disse websteder og apps kan bevirke en »angivelse« af en af de følsomme situationer, der er opført i den omhandlede bestemmelse.

37. Jeg tvivler i denne forbindelse på, at det ville være relevant (og endog muligt) at sondre mellem på den ene side en ren og skær interesse i bestemte oplysninger fra den registreredes side og på den anden side den pågældende persons tilhørsforhold til en af de kategorier, der er nævnt i den omhandlede bestemmelse (42). Selv om parterne i hovedsagen har modsatrettede synspunkter i denne henseende (43), er jeg af den opfattelse, at et svar på dette spørgsmål alene kan søges i det enkelte tilfælde og med hensyn til hver enkelt af de aktiviteter, der udgør den omtvistede praksis.

38. Alene indsamling af følsomme personoplysninger vedrørende besøg på et websted eller en app – således som den tyske regering har anført – er ganske vist ikke i sig selv nødvendigvis en behandling af følsomme personoplysninger som omhandlet i denne bestemmelse (44), hvorimod sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto eller anvendelse af disse oplysninger er en adfærd, der lettere vil kunne udgøre en sådan behandling. Det afgørende forhold med henblik på anvendelsen af artikel 9, stk. 1, i forordning 2016/679 er efter min opfattelse, at de oplysninger, der behandles, kan gøre det muligt at foretage en profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse (45).

39. For at kunne afgøre, om en behandling af oplysninger hører ind under anvendelsesområdet for denne bestemmelse, kunne det i denne sammenhæng være hensigtsmæssigt efter omstændighederne at sondre mellem på den ene side behandling af oplysninger, der prima facie kan klassificeres i kategorien følsomme personoplysninger, og som i sig selv muliggør profilering af den registrerede, og på den anden side behandling af oplysninger, der ikke i sig selv er følsomme, men for hvilke der kræves en efterfølgende sammenføring, for at der kan drages troværdige konklusioner med henblik på profilering af den registrerede.

40. Det skal ikke desto mindre præciseres, at tilstedeværelsen af en kategorisering som omhandlet i denne bestemmelse er uafhængig af, om kategoriseringen er sand eller korrekt (46). Det afgørende er muligheden for, at en sådan kategorisering indebærer en betydelig risiko for den registreredes grundlæggende rettigheder og frihedsrettigheder, således som der erindres om i 51. betragtning til forordning 2016/679, idet denne mulighed er uafhængig af, om kategoriseringen er sandfærdig.

41. Hvad endelig angår den forelæggende rets anmodning med henblik på at få oplyst, om hensigten om anvendelse har betydning for den pågældende vurdering (47), er jeg – i modsætning til, hvad sagsøgeren i hovedsagen har gjort gældende – af den opfattelse, at det principielt ikke er påkrævet, at den dataansvarlige behandler oplysningerne »med fuld viden herom og i den hensigt at uddrage særlige informationskategorier direkte heraf«. Formålet med den omhandlede bestemmelse er nemlig i det væsentlige objektivt at hindre betydelige risici, som behandling af følsomme personoplysninger måtte indebære for de registreredes grundlæggende rettigheder og frihedsrettigheder, uafhængigt af ethvert subjektivt forhold, såsom den dataansvarliges hensigt.

42. Hvad for det andet angår det andet spørgsmål, litra b), erindrer jeg om, at det følger af artikel 9, stk. 2, litra e), i forordning 2016/679, at forbuddet mod behandling af følsomme personoplysninger ikke finder anvendelse, hvis behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede. Henvisningen i affattelsen af denne bestemmelse til adverbiet »tydeligvis« og den omstændighed, at nævnte bestemmelse udgør en undtagelse fra princippet om forbud mod behandling af følsomme personoplysninger (48), foreskriver desuden en særligt streng anvendelse af denne undtagelse på grund af de betydelige risici, som registreredes grundlæggende rettigheder og frihedsrettigheder er omfattet af (49). For at denne undtagelse kan finde anvendelse, skal brugeren efter min opfattelse have fuld bevidsthed om ved en udtrykkelig handling (50) at have offentliggjort personoplysninger (51).

43. Det er i den foreliggende sag min opfattelse, at en adfærd, der består i besøg på websteder og apps, indtastning af informationer på disse websteder og apps og tryk på knapper på disse websteder og apps principielt ikke kan sidestilles med en adfærd, hvorved brugerens følsomme personoplysninger tydeligvis er offentliggjort som omhandlet i artikel 9, stk. 2, litra e), i forordning 2016/679.

44. Mere specifikt noterer jeg, at besøg på websteder og apps principielt alene gør besøgsdataene tilgængelige for administratoren af det pågældende websted eller den pågældende app og for tredjeparter, som sidstnævnte videregiver disse informationer til, såsom sagsøgeren i hovedsagen (52). På samme måde noterer jeg ligeledes, at selv om den registrerede ved indtastning af informationer på websteder og apps direkte og frivilligt vil kunne afgive informationer om visse følsomme personoplysninger, er disse informationer kun tilgængelige for administratoren af det pågældende websted eller den pågældende app og for tredjeparter, som sidstnævnte videregiver disse informationer til. Jeg udelukker således, at en sådan adfærd kan være udtryk for et ønske om at gøre disse oplysninger offentligt tilgængelige (53). Selv om det er åbenbart, at den registrerede ved tryk på knapper på websteder eller apps (54) tydeligt udtrykker et ønske om at dele visse oplysninger med en i forhold til det pågældende websted eller den pågældende app ekstern offentlighed, er jeg desuden af den opfattelse, at den pågældende person – således som Bundeskartellamt har fremhævet – ved denne adfærd er bevidst om at dele oplysninger med en bestemt kreds af personer, der ofte er defineret af brugeren selv (55), og ikke med offentligheden (56).

45. Hvad endelig angår relevansens af et eventuelt samtykke, som brugeren har afgivet som omhandlet i artikel 5, stk. 3, i direktiv 2002/58 til indsamling af personoplysninger ved brug af cookies eller lignende teknologier, og hvortil den forelæggende ret har henvist, er jeg af den opfattelse, at et sådant samtykke i betragtning af dets specifikke formål ikke i sig selv kan begrunde en behandling af følsomme personoplysninger, der er indsamlet ved sådanne midler (57). Nævnte samtykke, som er nødvendigt for installation af et teknisk middel til opsamling af visse brugeraktiviteter (58), vedrører nemlig ikke behandling af følsomme personoplysninger og kan ikke sidestilles med et ønske om tydeligvis at offentliggøre sådanne oplysninger som omhandlet i artikel 9, stk. 2, litra e), i forordning 2016/679 (59).

46. Sammenfattende foreslår jeg at besvare det andet præjudicielle spørgsmål med, for det første, at artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at forbud mod behandling af følsomme personoplysninger kan omfatte en behandling af oplysninger, der foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger fra en bruger, når denne besøger andre websteder eller apps eller indtaster disse oplysninger på disse websteder eller apps, sammenstilling af nævnte oplysninger med brugerkontoen for det sociale netværk og anvendelse af oplysningerne, forudsat at de oplysninger, der behandles – individuelt betragtet eller sammenført – muliggør profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse, og, for det andet, at artikel 9, stk. 2, litra e), i forordning 2016/679 skal fortolkes således, at en bruger ikke tydeligvis har offentliggjort oplysninger, når oplysningerne er afgivet ved besøg på websteder og apps eller indtastes eller følger af tryk på knapper på disse websteder eller apps.

Om det tredje til det femte præjudicielle spørgsmål

47. Med det tredje til det femte præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 6, stk. 1, litra b), c), d), e) og f), i forordning 2016/679 skal fortolkes således, at den omtvistede praksis (60) hører ind under anvendelsesområdet for en af de begrundelser, der fremgår af disse bestemmelser, nærmere bestemt:

– behandling er nødvendig af hensyn til opfyldelse af en kontrakt (61) eller for at forfølge en legitim interesse (62), henset til den omstændighed, at Meta Platforms driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter (det tredje præjudicielle spørgsmål)

– hensyntagen til denne legitime interesse (63) i sammenhæng med visse situationer (64) (det fjerde præjudicielle spørgsmål)

– nødvendigheden af at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger (65), nødvendigheden af at bekæmpe skadelig adfærd og fremme sikkerheden (66) eller hensyn til forskning til gavn for samfundet samt nødvendigheden af at fremme beskyttelse, integritet og sikkerhed (67) (det femte præjudicielle spørgsmål).

48. Indledningsvis foreslår jeg – uagtet enkelte spørgsmål med hensyn til, hvorvidt det fjerde og det femte præjudicielle spørgsmål kan antages til realitetsbehandling (68) – at besvare det tredje til det femte spørgsmål samlet, for så vidt som de anvisninger, som jeg vil give nedenfor, hovedsageligt i forhold til det tredje spørgsmål, som er det bedst begrundede, ligeledes kan være nyttige for den forelæggende ret ved anvendelsen af de bestemmelser, der er genstand for det fjerde og det femte præjudicielle spørgsmål.

49. Jeg vil indledningsvis anføre, at personoplysninger i medfør af artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af et ved lov fastsat grundlag. I denne forbindelse præciseres det i artikel 6, stk. 1, i forordning 2016/679, at behandling af disse oplysninger kun er lovlig, hvis den er begrundet i én af de seks præciserede betingelser, der er omhandlet i denne bestemmelse (69).

50. I den foreliggende sag er jeg indledningsvis af den opfattelse, at det tredje til det femte præjudicielle spørgsmål nødvendiggør en udførlig undersøgelse i det enkelte tilfælde af de forskellige punkter i Facebooks tjenestevilkår i sammenhæng med den omtvistede praksis, idet det ikke er muligt i forhold til denne praksis at fastslå, hvorvidt »en virksomhed som [Meta Platforms]« samlet set kan påberåbe sig alle (eller visse af) de begrundelser, der er opført i artikel 6, stk. 1, i forordning 2016/679, selv om det ikke kan udelukkes, at nævnte praksis eller visse af de aktiviteter, der indgår heri, i visse tilfælde kan høre ind under anvendelsesområdet for denne bestemmelse (70).

51. Dernæst foretages den i de nævnte bestemmelser påtænkte behandling i det foreliggende tilfælde på grundlag af de almindelige kontraktbetingelser, som den dataansvarlige har opstillet, uden samtykke fra den registrerede (71), endog mod dennes ønske, hvilket efter min opfattelse nødvendiggør en streng fortolkning af de omhandlede begrundelser, bl.a. for at undgå en omgåelse af betingelsen om samtykke (72).

52. Endelig minder jeg om, at det følger af artikel 5, stk. 2, i forordning 2016/679, at bevisbyrden med hensyn til at påvise, at personoplysningerne behandles efter reglerne i denne forordning, påhviler den dataansvarlige, og at det i henhold til nævnte forordnings artikel 13, stk. 1, litra c), påhviler den dataansvarlige at præcisere formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen.

Det tredje præjudicielle spørgsmål

53. For det første følger det af artikel 6, stk. 1, litra b), i forordning 2016/679, at en behandling af personoplysninger er lovlig, i det omfang den er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i (73).

54. Jeg erindrer i denne forbindelse om, at begrebet »nødvendig« ikke er defineret i EU-retten, men ikke desto mindre ifølge retspraksis udgør et selvstændigt EU-retligt begreb (74). For at behandling er nødvendig af hensyn til opfyldelse af en kontrakt, er det ikke tilstrækkeligt, at den finder sted i forbindelse med opfyldelse af kontrakten, eller at den nævnes i kontrakten (75), eller endog blot, at den er nyttig for opfyldelse af kontrakten (76). Ifølge Domstolens praksis skal behandlingen være objektivt nødvendig for opfyldelse af kontrakten, således at forstå, at der ikke må findes realistiske, mindre indgribende alternativer (77), under hensyntagen ligeledes til den registreredes rimelige forventninger (78). Dette omfatter ligeledes det forhold, at hvis kontrakten består af flere særskilte tjenester eller aspekter af en tjeneste, der kan opfyldes uafhængigt af hinanden, bør spørgsmålet om, hvorvidt artikel 6, stk. 1, litra b), i forordning 2016/679 kan finde anvendelse, vurderes inden for rammerne af hver enkelt af disse tjenester særskilt (79).

55. Inden for rammerne af denne begrundelse har den forelæggende ret henvist til persontilpasning af indhold og ensartet og velfungerende brug af koncernens produkter (eller rettere tjenester).

56. For så vidt angår persontilpasning af indhold er det min opfattelse, at selv om en sådan aktivitet i et vist omfang kan være i brugerens interesse, for så vidt som den gør det muligt – navnlig i »newsfeedet« – at præsentere indhold, som i henhold til en automatisk vurdering svarer til brugerens interesser, tvivler jeg på, at den tillige er nødvendig for ydelsen af den pågældende sociale netværkstjeneste, således at behandling af personoplysninger til disse formål ikke kræver samtykke fra denne bruger (80). Med henblik på denne undersøgelse skal der ligeledes tages hensyn til det forhold, at den omtvistede praksis omhandler behandling, ikke af oplysninger, der vedrører brugerens adfærd inden for webstedet eller appen Facebook, men af oplysninger fra eksterne og dermed potentielt ubegrænsede kilder. Jeg vil således gerne vide, i hvilket omfang denne behandling kan svare til en gennemsnitlig forbrugers forventninger, og, mere generelt, hvilken »grad af persontilpasning« denne forbruger kan forvente af den tjeneste, som den pågældende tilmelder sig (81).

57. For så vidt angår ensartet og velfungerende brug af koncernens tjenester noterer jeg, at en forbindelse mellem de forskellige tjenester, som sagsøgeren i hovedsagen tilbyder, f.eks. mellem Facebook og Instagram, ganske vist kan være nyttig for brugeren, eller endog undertiden ønsket af denne. Jeg tvivler ikke desto mindre på, at en behandling af personoplysninger fra andre af koncernens tjenester (navnlig Instagram) er nødvendig for ydelsen af Facebooks tjenester (82).

58. For det andet fremgår det af artikel 6, stk. 1, litra f), i forordning 2016/679, at behandling af personoplysninger er lovlig, i det omfang den er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

59. Ifølge Domstolens praksis fastsætter den omhandlede bestemmelse tre kumulative betingelser for, at en behandling af personoplysninger er lovlig, nemlig for det første, at den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, forfølger en legitim interesse, for det andet, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse, og for det tredje betingelsen om, at de grundlæggende rettigheder og frihedsrettigheder, der tilkommer den person, der er omfattet af beskyttelsen af oplysningerne, ikke går forud herfor (83).

60. Hvad indledningsvis angår forfølgelsen af en legitim interesse erindrer jeg om, at der i forordning 2016/679 og i retspraksis anerkendes en bred vifte af interesser, der anses for at være legitime (84), idet det skal præciseres, at det i henhold til artikel 13, stk. 1, litra d), i forordning 2016/679 påhviler den dataansvarlige at oplyse de legitime interesser, der forfølges inden for rammerne af artikel 6, stk. 1, litra f), i forordning 2016/679 (85).

61. Hvad dernæst angår betingelsen vedrørende nødvendigheden af behandling af personoplysninger af hensyn til opfyldelse af den legitime interesse, der forfølges, skal undtagelser fra og begrænsninger af beskyttelsen af personoplysninger ifølge Domstolens praksis holdes inden for det strengt nødvendige (86). Det er således nødvendigt, at der er en tæt forbindelse mellem behandlingen og den interesse, der forfølges, i mangel af alternativer med en bedre beskyttelse af personoplysninger, idet det ikke er tilstrækkeligt, at behandlingen alene skyldes, at den er nyttig for den dataansvarlige.

62. Hvad endelig angår afvejningen af den dataansvarliges interesser på den ene side og den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder på den anden side påhviler det ifølge Domstolens praksis den forelæggende ret at foretage en afvejning af de berørte interesser (87). Som det fremgår af 47. betragtning til forordning 2016/679, er det desuden i forbindelse med denne afvejning strengt nødvendigt at tage hensyn til registreredes rimelige forventninger på grundlag af deres forhold til den dataansvarlige og at vurdere, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at behandling med dette formål kan finde sted.

63. Inden for rammerne af denne begrundelse har den forelæggende ret henvist til persontilpasset markedsføring, netværkssikkerhed og produktforbedring.

64. Hvad indledningsvis angår persontilpasning af markedsføring fremgår det af 47. betragtning til forordning 2016/679, at behandling af personoplysninger til direkte markedsføring (direct marketing) kan anses for at være foretaget i en legitim interesse for den dataansvarlige. Hvad angår nødvendigheden af behandlingen skal det ikke desto mindre påpeges, at de omhandlede oplysninger stammer fra kilder uden for Facebook, og det spørgsmål rejser sig derfor, hvilken »grad af persontilpasning« af markedsføringen der er objektivt nødvendig i denne henseende. Hvad angår afvejningen af de berørte interesser skal der efter min opfattelse tages hensyn til karakteren af den pågældende legitime interesse (i det foreliggende tilfælde en rent økonomisk interesse) og til behandlingens konsekvenser for brugeren, herunder dennes rimelige forventninger og eventuelle beskyttelsesforanstaltninger, som den dataansvarlige måtte have gennemført (88).

65. Der kan dernæst foretages lignende betragtninger for så vidt angår netværkssikkerhed. Selv om en sådan begrundelse kan udgøre en legitim interesse for den dataansvarlige (89), er det nemlig mindre indlysende at konkludere, at behandling er nødvendig i den foreliggende sag, ligeledes i betragtning af, at de omhandlede oplysninger stammer fra kilder uden for Facebook (90). Jeg erindrer under alle omstændigheder om, at det påhviler den dataansvarlige at præcisere de sikkerhedsmål, som den enkelte behandling i givet fald er støttet på.

66. Hvad endelig angår produktforbedring er jeg af den opfattelse, at en sådan begrundelse – selv om sikkerhedsrelaterede forbedringer, der henhører under den specifikke begrundelse, som er blevet undersøgt ovenfor, skal holdes ude – snarere bør være i brugerens end i den dataansvarliges interesse. Ud fra denne synsvinkel er det vanskeligt at forstå, i hvilket omfang denne begrundelse kan udgøre en legitim interesse for den dataansvarlige og unddrage sig samtykke fra brugeren. For så vidt angår betingelsen om, at det er nødvendigt at foretage en afvejning af de berørte rettigheder og interesser, henviser jeg til ovenstående betragtninger.

Det fjerde og det femte præjudicielle spørgsmål

67. Med det fjerde præjudicielle spørgsmål, som i det væsentlige udgør en forlængelse af det tredje præjudicielle spørgsmåls anden del, ønskes det oplyst, om visse tilbagevendende situationer, der er opregnet, indebærer, at der foreligger en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning 2016/679, mens den forelæggende ret med det femte præjudicielle spørgsmål ønsker oplyst, om nødvendigheden af at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger, nødvendigheden af at bekæmpe skadelig adfærd og fremme sikkerheden eller hensyn til forskning til gavn for samfundet samt nødvendigheden af at fremme beskyttelse, integritet og sikkerhed udgør begrundelser, der kan finde anvendelse på den omtvistede praksis (91).

68. Uafhængigt af spørgsmålet om, hvorvidt disse spørgsmål kan antages til realitetsbehandling (92), er jeg overordnet set af den opfattelse, at det hvad angår det fjerde præjudicielle spørgsmål ikke kan udelukkes, at visse betingelser, der kendetegner den omtvistede praksis, kan være begrundet i legitime interesser under de omstændigheder, som den forelæggende ret har henvist til (93), og, med hensyn til det femte præjudicielle spørgsmål, at den omtvistede praksis i visse situationer kan være begrundet med udgangspunkt i de anførte bestemmelser.

69. Det fremgår imidlertid ikke af forelæggelsesafgørelsen, om og i hvilket omfang Meta Platforms Ireland for hvert formål med behandling og for hver overordnede type oplysninger, der behandles, har oplyst, hvilke legitime interesser der konkret forfølges, eller hvilke andre begrundelser der måtte være relevante i den foreliggende sag (94). Det påhviler således den forelæggende ret under hensyntagen til ovenstående anvisninger at undersøge, i hvilket omfang den omtvistede praksis, under de omstændigheder, som nævnte ret har henvist til, er begrundet i legitime interesser for Meta Platforms Ireland i behandling af oplysninger som omhandlet i artikel 6, stk. 1, litra f), i forordning 2016/679, eller i et andet af de i denne forordnings artikel 6, stk. 1, litra c), d) og e), anførte forhold.

Besvarelsen af det tredje til det femte præjudicielle spørgsmål

70. Sammenfattende foreslår jeg at besvare det tredje til det femte præjudicielle spørgsmål med, at artikel 6, stk. 1, litra b), c), d), e) og f), i forordning 2016/679 skal fortolkes således, at den omtvistede praksis eller visse af de aktiviteter, der udgør den, kan henhøre under de undtagelser, der er fastsat i disse bestemmelser, for så vidt som hver enkelt behandlingsform, der undersøges, opfylder de betingelser, der fremgår af den begrundelse, som den dataansvarlige konkret har anført, og følgelig for så vidt som:

– behandling er objektivt nødvendig for ydelsen af de tjenester, der er knyttet til Facebook-kontoen

– behandling er nødvendig for opfyldelse af en legitim interesse, som den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, har anført, og ikke påvirker den registreredes grundlæggende rettigheder og frihedsrettigheder uforholdsmæssigt

– behandling er nødvendig for at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger, for at bekæmpe skadelig adfærd og fremme sikkerheden eller af hensyn til forskning til gavn for samfundet samt for at fremme beskyttelse, integritet og sikkerhed.

Om det sjette præjudicielle spørgsmål

71. Med det sjette præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679 skal fortolkes således, at der kan gives et gyldigt og frivilligt samtykke som omhandlet i denne forordnings artikel 4, nr. 11), over for en virksomhed, der er markedsdominerende på det nationale marked for sociale onlinenetværk for private brugere.

72. Jeg erindrer indledningsvis om, at artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679 fastsætter en forpligtelse til samtykke fra den registrerede for så vidt angår henholdsvis behandling af personoplysninger i almindelighed og behandling af følsomme personoplysninger. Derudover fremgår det af artikel 4, nr. 11), i forordning 2016/679, at der i denne forordning ved »samtykke« fra den registrerede forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling (95).

73. For så vidt nærmere bestemt angår betingelsen om, at samtykke skal være givet »frit«, hvilket er den eneste betingelse, der er rejst tvivl om i den foreliggende sag, noterer jeg, at samtykke i henhold til 42. betragtning til forordning 2016/679 ikke bør anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg (96) eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende (97). Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige desuden – som det fremgår af artikel 7, stk. 1, i forordning 2016/679 (og som der mindes om i 42. betragtning hertil) – kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

74. Med henblik på, hvad der er relevant for den foreliggende sag, erindrer jeg først om, at samtykke, således som det fremhæves i første punktum i 43. betragtning til forordning 2016/679, ikke udgør et gyldigt retsgrundlag for behandling af personoplysninger, hvis der er en »klar skævhed« mellem den registrerede og den dataansvarlige (98), dernæst om, at der ifølge ordlyden af artikel 7, stk. 4, i forordning 2016/679 ved vurdering af, om samtykke er givet frit, tages størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt (99), og endelig om, at samtykke i henhold til andet punktum i 43. betragtning til forordning 2016/679 formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde (100).

75. I den foreliggende sag er jeg af den opfattelse, at det forhold, at en virksomhed, der er ansvarlig for behandling af personoplysninger, og som driver et socialt netværk, eventuelt er markedsdominerende, er af betydning for vurderingen af, om der foreligger et frivilligt samtykke fra brugeren af dette netværk. Når der foreligger en situation, hvor en virksomhed, der er ansvarlig for behandling af personoplysninger, har en stærk markedsposition, vil dette nemlig kunne medføre en klar skævhed af styrkeforholdet som omhandlet i punkt 74 i dette forslag til afgørelse (101). Det skal ikke desto mindre præciseres dels, at en sådan situation, hvor en virksomhed har en stærk markedsposition, for at være relevant i forhold til anvendelsen af forordning 2016/679, ikke nødvendigvis skal sidestilles med tærsklen for en dominerende stilling som omhandlet i artikel 102 TEUF (102), dels, at alene denne omstændighed principielt ikke kan berøve et samtykke enhver gyldighed (103).

76. Følgelig skal gyldigheden af et samtykke undersøges i det enkelte tilfælde på baggrund af de øvrige forhold, der er anført i punkt 73 og 74 i dette forslag til afgørelse, og henset til alle sagens omstændigheder samt henset til, at det påhviler den dataansvarlige at påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

77. Sammenfattende foreslår jeg at besvare det sjette præjudicielle spørgsmål med, at artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679 skal fortolkes således, at alene den omstændighed, at en virksomhed, der driver et socialt netværk, er markedsdominerende på det nationale marked for sociale onlinenetværk for private brugere, ikke i sig selv kan berøve det samtykke, som brugeren af dette netværk har givet til behandling af sine personoplysninger, dets gyldighed som omhandlet i artikel 4, nr. 11), i forordning 2016/679. En sådan omstændighed er ikke desto mindre af betydning ved vurderingen af, om samtykket er frivilligt som omhandlet i denne bestemmelse, hvilket det påhviler den dataansvarlige at bevise, idet der efter omstændighederne skal tages hensyn til for det første en eventuel klar skævhed i styrkeforholdet mellem den registrerede og den dataansvarlige, for det andet en eventuel forpligtelse til at samtykke til behandling af personoplysninger ud over oplysninger, der er strengt nødvendige for ydelsen af de pågældende tjenester, for det tredje kravet om, at samtykket skal være specifikt for hvert formål med behandling, og for det fjerde kravet om, at tilbagetrækning af samtykket ikke må medføre skade for den bruger, der trækker sit samtykke tilbage.

Forslag til afgørelse

78. Henset til ovenstående betragtninger foreslår jeg Domstolen at besvare de af Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland) forelagte præjudicielle spørgsmål således:

»1) Artikel 51-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en konkurrencemyndighed som led i sine beføjelser som omhandlet i konkurrencereglerne ved en mellemafgørelse kan undersøge, om den undersøgte praksis er i overensstemmelse med reglerne i denne forordning, idet den skal tage hensyn til enhver afgørelse eller undersøgelse fra den i henhold til nævnte forordning kompetente tilsynsmyndighed og skal underrette den nationale tilsynsmyndighed og efter omstændighederne rådslå sig med denne.

2) Artikel 9, stk. 1, i forordning 2016/679

skal fortolkes således, at

forbud mod behandling af følsomme personoplysninger kan omfatte en behandling af oplysninger, der foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger fra en bruger, når denne besøger andre websteder eller apps eller indtaster disse oplysninger på disse websteder eller apps, sammenstilling af nævnte oplysninger med brugerkontoen for det sociale netværk og anvendelse af oplysningerne, forudsat at de oplysninger, der behandles – individuelt betragtet eller sammenført – muliggør profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse.

Denne forordnings artikel 9, stk. 2, litra e)

skal fortolkes således, at

en bruger ikke tydeligvis har offentliggjort oplysningerne, når oplysningerne afgives ved besøg på websteder og apps eller indtastes eller følger af tryk på knapper på disse websteder eller apps.

3) Artikel 6, stk. 1, litra b), c), d), e) og f), i forordning 2016/679

skal fortolkes således, at

en praksis, som består i for det første indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps eller gennem cookies indsat på brugerens computer eller mobile terminaludstyr, for det andet sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto og for det tredje anvendelse af de nævnte oplysninger eller visse af de aktiviteter, der udgør denne praksis, kan henhøre under de undtagelser, der er fastsat i disse bestemmelser, for så vidt som hver enkelt behandlingsform, der undersøges, opfylder de betingelser, der fremgår af den begrundelse, som den dataansvarlige konkret har anført, og følgelig for så vidt som:

– behandling er objektivt nødvendig for ydelsen af de tjenester, der er knyttet til Facebook-kontoen

4) Artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679

skal fortolkes således, at:

Den omstændighed alene, at en virksomhed, der driver et socialt netværk, er markedsdominerende på det nationale marked for sociale onlinenetværk for private brugere, kan ikke i sig selv berøve det samtykke, som brugeren af dette netværk har givet til behandling af sine personoplysninger, dets gyldighed som omhandlet i denne forordnings artikel 4, nr. 11). En sådan omstændighed er ikke desto mindre af betydning ved vurderingen af, om samtykket er frivilligt som omhandlet i denne bestemmelse, hvilket det påhviler den dataansvarlige at bevise, idet der efter omstændighederne skal tages hensyn til for det første en eventuel klar skævhed i styrkeforholdet mellem den registrerede og den dataansvarlige, for det andet en eventuel forpligtelse til at samtykke til behandling af personoplysninger ud over oplysninger, der er strengt nødvendige for ydelsen af de pågældende tjenester, for det tredje kravet om, at samtykket skal være specifikt for hvert formål med behandling, og for det fjerde kravet om, at tilbagetrækning af samtykket ikke må medføre skade for den bruger, der trækker sit samtykke tilbage.«

1 – Originalsprog: fransk.

2 – Nærmere bestemt Meta Platforms Inc., tidligere Facebook Inc., Meta Platforms Ireland Limited, tidligere Facebook Ireland Ltd., og Facebook Deutschland GmbH (herefter »Meta Platforms« eller »sagsøgeren i hovedsagen«).

3 – Afgørelse B6-22/16 af 6.2.2019 (herefter »den omtvistede afgørelse«).

4 – Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2, herefter »forordning 2016/679«).

5 – I den affattelse, der var i kraft indtil den 18.1.2021.

6 – Til dette formål indsamler Meta Platforms, ud over de oplysninger, som brugerne afgiver direkte i forbindelse med deres registrering hos de pågældende onlinetjenester, andre bruger- og enhedsbaserede oplysninger inden for og uden for det sociale netværk og de onlinetjenester, som koncernen udbyder, og forbinder disse oplysninger med de pågældende brugeres forskellige konti. Disse oplysninger gør det samlet set muligt at drage detaljerede konklusioner vedrørende brugernes præferencer og interesser.

7 – Hvad mere specifikt angår behandling af personoplysninger henvises der i tjenestevilkårene til den datapolitik og politik om cookies, som Meta Platforms har opstillet. I henhold til disse indsamler Meta Platforms bruger- og enhedsbaserede oplysninger om brugeraktiviteter inden for og uden for det sociale netværk og tilknytter dem til brugerens Facebook-konto. De aktiviteter, der finder sted uden for det sociale netværk, består dels i besøg på tredjeparters websteder og apps, som er forbundet med Facebook gennem programmeringsgrænseflader (nærmere bestemt »Facebook Business Tools«), dels i brug af Meta Platforms-koncernens andre onlinetjenester, heriblandt Instagram og WhatsApp.

8 – Ifølge Bundeskartellamt udgjorde denne behandling udnyttelse af en stærk markedsposition og dermed en tilsidesættelse af bestemmelserne i forordning 2016/679, ligesom den ikke var begrundet i henseende til denne forordnings artikel 6, stk. 1, og artikel 9, stk. 2.

9 – Meta Platforms indførte desuden – på initiativ af Europa-Kommissionen og medlemsstaternes nationale forbrugerbeskyttelsesorganisationer – den 31.7.2019 nye tjenestevilkår, som udtrykkeligt henviser til, at brugeren i stedet for at betale for brugen af Facebook-produkterne erklærer sig indforstået med visning af annoncer. Siden den 28.1.2020 har Meta Platforms derudover i hele verden tilbudt den såkaldte »Off-Facebook-Activity«, hvormed Facebook-brugere kan få vist et sammendrag af de oplysninger, der vedrører dem, og som Facebook modtager om deres aktiviteter på andre websteder og apps, og efter ønske adskille disse oplysninger fra deres Facebook-konto, både historisk og i fremtiden.

10 – Formuleringen »fastslår […] en tilsidesættelse af forordning […] 2016/679 […] og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør«, som fremgår af det første præjudicielle spørgsmål, skal efter min opfattelse fortolkes således.

11 – Eftersom forordning 2016/679 indeholder regler om en fuldstændig harmonisering af retten til beskyttelse af oplysninger, hvis grundbestanddel er en mekanisme med harmoniseret gennemførelse baseret på »one-stop-shop«-princippet, som fremgår af denne forordnings artikel 51-67, er det efter min opfattelse under alle omstændigheder åbenbart, at en anden myndighed end tilsynsmyndigheder som omhandlet i nævnte forordning (såsom en konkurrencemyndighed) ikke er kompetent til umiddelbart at fastslå en tilsidesættelse af denne forordning eller til at anvende de fastsatte sanktioner.

12 – I betragtning af, at en konkurrencemyndighed ikke er kompetent til umiddelbart at fastslå en tilsidesættelse af denne forordning eller til at anvende de fastsatte sanktioner, er jeg under alle omstændigheder af den opfattelse, at en eventuel afgørelse i denne retning fra en konkurrencemyndighed ikke kan gribe ind i de kompetencer, der henhører under tilsynsmyndighederne som omhandlet i forordning 2016/679.

13 – Formuleringen »[k]an en […] konkurrencemyndighed […], f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt [en] virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning 2016/679«, som fremgår af det syvende præjudicielle spørgsmål, skal således efter min opfattelse fortolkes således.

14 – Jf. fodnote 11 i dette forslag til afgørelse.

15 – Rådets forordning af 16.12.2002 om gennemførelse af konkurrencereglerne i artikel [101 TEUF og 102 TEUF] (EFT 2003, L 1, s. 1).

16 – I lighed med GWB’s § 19, som den omtvistede afgørelse er støttet på.

17 – Jf. f.eks. dom af 6.9.2017, Intel mod Kommissionen (C-413/14 P, EU:C:2017:632, præmis 136 og den deri nævnte retspraksis). Domstolen har desuden præciseret, at anvendelsesområdet for artikel 102 TEUF er af generel karakter og ikke kan begrænses ved tilstedeværelsen af lovbestemmelser, der er vedtaget af EU-lovgiver, i den pågældende sag lovbestemmelserne på området for elektronisk kommunikation (jf. i denne retning dom af 10.7.2014, Telefónica og Telefónica de España mod Kommissionen, C-295/12 P, EU:C:2014:2062, præmis 128).

18 – På baggrund af de forskellige formål med de to kategorier af regler er det nemlig åbenbart, at en adfærd vedrørende behandling af oplysninger kan udgøre en tilsidesættelse af konkurrencereglerne, selv når den er forenelig med forordning 2016/679, ligesom en ulovlig adfærd som omhandlet i denne forordning på den anden side ikke nødvendigvis fører til at konkludere, at den indebærer en tilsidesættelse af konkurrencereglerne. Domstolen har i denne forbindelse præciseret, at den omstændighed, at en adfærd er forenelig med en specifik lovgivning, ikke udelukker, at artikel 101 TEUF og 102 TEUF kan finde anvendelse på selvsamme adfærd (jf. bl.a. dom af 6.12.2012, AstraZeneca mod Kommissionen, C-457/10 P, EU:C:2012:770, præmis 132, hvori Domstolen ligeledes bemærkede, at misbrug af en dominerende stilling i hovedparten af tilfældene består i adfærd, som i øvrigt er lovlig inden for andre retsområder end konkurrenceretten). Hvis adfærd, der både er objektivt konkurrencebegrænsende og retligt ulovlig, blev betragtet som misbrug som omhandlet i artikel 102 TEUF, ville det nemlig indebære, at en given adfærd, alene fordi den er lovlig om end potentielt skadelig for konkurrencen, ikke ville kunne sanktioneres i medfør af artikel 102 TEUF, hvilket ville undergrave formålet med denne bestemmelse, som er at indføre en ordning, der sikrer, at konkurrencen på det indre marked ikke fordrejes (jf. i denne retning mit forslag til afgørelse Servizio Elettrico Nazionale m.fl., C-377/20, EU:C:2021:998, punkt 37). Ifølge Domstolens praksis er det kun, såfremt virksomhederne pånødes en konkurrencestridig adfærd ved en national lovgivning, eller såfremt denne lovgivning skaber en retlig ramme, som på sin side berøver dem enhver mulighed for at konkurrere retmæssigt, at artikel 101 TEUF og 102 TEUF ikke finder anvendelse, hvorimod disse bestemmelser kan finde anvendelse i en situation, hvor der efter den nationale lovgivning fortsat består en mulighed for konkurrence, men hvor denne konkurrence kan hindres, begrænses eller fordrejes ved en selvstændig adfærd fra virksomhedernes side (jf. i denne retning dom af 14.10.2010, Deutsche Telekom mod Kommissionen, C-280/08 P, EU:C:2010:603, præmis 80 og den deri nævnte retspraksis).

19 – En fortolkning, hvorefter det ville være forbudt for konkurrencemyndigheder under udøvelse af deres kompetencer at fortolke bestemmelserne i forordning 2016/679, ville nemlig rejse tvivl om den effektive anvendelse af EU-konkurrenceretten.

20 – Den omstændighed, at konkurrencemyndighedens fortolkning af forordning 2016/679 skal foretages ved en mellemafgørelse, er desuden ikke til hinder for, at denne fortolkning er undergivet domstolsprøvelse ved de nationale retter, der er kompetente i konkurrencesager, og som i tilfælde af fortolkningsvanskeligheder vil kunne blive foranlediget til at forelægge Domstolen en anmodning om præjudiciel afgørelse, således som det er tilfældet i den foreliggende sag for så vidt angår det andet til det sjette præjudicielle spørgsmål.

21 – Konkurrencemyndighedens fortolkning af forordning 2016/679 alene med henblik på anvendelse af de regler (og eventuelt pålæggelse af de sanktioner), der er fastsat i konkurrenceretten, kan nemlig ikke fratage tilsynsmyndighederne de kompetencer og beføjelser, som de har inden for rammerne af denne forordning. Konkurrencemyndighedens mulighed for at foretage en fortolkning af nævnte forordning ved en mellemafgørelse rejser desuden ikke yderligere vanskeligheder med hensyn til anvendelse af forordningen, hvilket er forbeholdt tilsynsmyndighederne, eller med hensyn til pålæggelse af korrigerende foranstaltninger eller sanktioner, eftersom eventuelle foranstaltninger eller sanktioner, der pålægges af en konkurrencemyndighed, er støttet på nogle andre regler samt andre legitime formål og interesser end dem, som er beskyttet af samme forordning (af denne grund falder pålæggelse af sanktioner, der vedtages af henholdsvis konkurrencemyndigheden og tilsynsmyndigheden som omhandlet i forordning 2016/679, i en sådan situation efter min opfattelse ikke ind under princippet ne bis in idem; jf. analogt dom af 22.3.2022, bpost, C-117/20, EU:C:2022:202, præmis 42-50).

22 – Der er i øvrigt med ethvert område, der er reguleret af en sektorspecifik lovgivning, som konkurrencemyndigheden skal eller kan tage hensyn til ved vurderingen af, om en bestemt adfærd er lovlig i henseende til konkurrenceretten.

23 – Kapitel VI og VII i forordning 2016/679 indfører bl.a. en række »one-stop-shop«-mekanismer vedrørende udveksling af oplysninger og gensidig bistand mellem tilsynsmyndigheder.

24 – Jf. forordning nr. 1/2003 og Europa-Parlamentets og Rådets direktiv (EU) 2019/1 af 11.12.2018 om styrkelse af de nationale konkurrencemyndigheders forudsætninger for at håndhæve konkurrencereglerne effektivt og sikring af et velfungerende indre marked (EUT 2019, L 11, s. 3).

25 – Jf. bl.a. i denne retning dom af 14.11.1989, Italien mod Kommissionen (sag 14/88, EU:C:1989:421, præmis 20), og af 11.6.1991, Athanasopoulos m.fl. (C-251/89, EU:C:1991:242, præmis 57).

26 – Den samarbejdsmekanisme, der er indført ved forordning 2016/679 mellem tilsynsmyndighederne, kan desuden selv betragtes som en lex specialis, som supplerer og præciserer det generelle princip om loyalt samarbejde, der er fastsat i artikel 4, stk. 3, TEU (jf. bl.a. i retslæren H. Hijmans, »Article 51 Supervisory authority«, i The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, s. 869). Det samme gør sig gældende for de øvrige samarbejdsinstrumenter, der bestod forud for det i forordning 2016/679 fastsatte instrument, såsom samarbejdsordningen mellem konkurrencemyndigheder (jf. bl.a. kapitel IV i forordning nr. 1/2003).

27 – Jf. i denne retning generaladvokat Trstenjaks forslag til afgørelse Gorostiaga Atxalandabaso mod Parlamentet (C-308/07 P, EU:C:2008:498, punkt 89).

28 – Jf. bl.a. dom af 2.6.2022, Skeyes (C-353/20, EU:C:2022:423, præmis 52 og den deri nævnte retspraksis). Der kan efter min opfattelse i givet fald af den samarbejdsordning, der er indført ved forordning 2016/679, og den, der er indført på konkurrenceområdet, udledes visse anvisninger med hensyn til, hvilken fremgangsmåde der bør følges, idet det skal præciseres, at den agtpågivenhedspligt, der påhviler konkurrencemyndigheden, i mangel af ad hoc-bestemmelser ikke går så vidt som til at underlægge nævnte myndighed udførlige forpligtelser, såsom navnlig dem, der er fastsat som led i den samarbejds- og sammenhængsprocedure, der reguleres i kapitel VII i forordning 2016/679 (det kan f.eks. ikke forventes, at konkurrencemyndigheden fremsender et udkast til afgørelse til den kompetente tilsynsmyndighed som omhandlet i denne forordning for at indhente tilsynsmyndighedens synspunkt).

29 – Jf. bl.a. i denne retning hvad angår et område, der er omfattet af EU-lovgivningen på lægemiddelområdet, dom af 23.1.2018, F. Hoffmann-La Roche m.fl. (C-179/16, EU:C:2018:25, præmis 58-64).

30 – En sådan afgørelse indgår med andre ord selv i de retlige og faktiske omstændigheder, som konkurrencemyndigheden er forpligtet til at undersøge, alt imens denne frit kan drage sine egne konklusioner ud fra anvendelsen af konkurrenceretten (jf. fodnote 18 i dette forslag til afgørelse).

31 – I betragtning af de nationale tilsynsmyndigheders rolle og funktioner inden for den samarbejdsordning, der er indført ved forordning 2016/679, er jeg af den opfattelse, at en interaktion med den nationale tilsynsmyndighed i sig selv kan være tilstrækkelig til at opfylde konkurrencemyndighedens forpligtelse til agtpågivenhed og loyalt samarbejde, særligt når konkurrencemyndigheden ikke har mulighed for (under hensyn til gældende nationalretlige procedurer) eller midler (især sproglige) til at interagere på tilfredsstillende vis med den ledende tilsynsmyndighed i en anden medlemsstat.

32 – Eller eventuelt, når denne myndighed er beliggende i en anden medlemsstat, den nationale tilsynsmyndighed (jf. fodnote 31 i dette forslag til afgørelse).

33 – Idet det skal erindres, at en fortolkning, som en konkurrencemyndighed under udøvelse af sine beføjelser giver af visse bestemmelser i forordning 2016/679, ikke berører den fortolkning og anvendelse, som de kompetente tilsynsmyndigheder som omhandlet i denne forordning foretager af disse bestemmelser (jf. fodnote 21 i dette forslag til afgørelse).

34 – Bundeskartellamt har i denne forbindelse gjort gældende at have støttet sig på tysk konkurrenceret, som giver nævnte myndighed mulighed for at udveksle med de nationale tilsynsmyndigheder som omhandlet i forordning 2016/679.

35 – Dette gør sig så meget desto mere gældende, hvis den føderale tyske tilsynsmyndighed og den ledende irske tilsynsmyndighed – således som Bundeskartellamt har gjort gældende – over for sidstnævnte har bekræftet, at nævnte irske myndighed ikke havde indledt nogen procedure i forhold til den samme praksis som den af Bundeskartellamt undersøgte.

36 – Den forelæggende ret har bl.a. henvist til brugerens besøg på websteder eller apps og til indtastning af informationer på disse websteder eller apps (såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder), hvoraf oplysninger, som er beskyttet af den omhandlede bestemmelse, fremgår.

37 – Herefter »følsomme personoplysninger«. Der er tale om behandling af personoplysninger om [(o.a.: i den franske sprogversion: »qui révèlent«, dvs. »som angiver« med verbet i 3. person flertal)] race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

38 – Jeg vil i forbigående anføre, at Bundeskartellamt nærer tvivl med hensyn til, hvorvidt dette spørgsmål er relevant for afgørelsen af tvisten, i betragtning af, at nævnte myndighed i sin afgørelse tog hensyn til et samtykke som omhandlet i artikel 6, stk. 1, litra a), i forordning 2016/679, og ikke til et samtykke på grundlag af artikel 9, stk. 2, litra a), heri.

39 – Den forelæggende ret har i denne henseende henvist til sociale »plugins« såsom knapperne »synes godt om« eller »del«, til »Facebook login« (dvs. muligheden for at logge ind ved brug af de personlige adgangsdata, der er knyttet til Facebook-kontoen), og til »account kit« (dvs. muligheden for at logge ind på en app eller et websted, der ikke nødvendigvis er forbundet med Facebook, med et telefonnummer og en e-mailadresse, uden at der kræves en adgangskode).

40 – Jeg noterer ligeledes, at der er en væsentlig mangel på sammenhæng mellem den franske sprogversion af forordning 2016/679, som i denne bestemmelses første punktum henviser til en behandling af personoplysninger om [(o.a.: i den franske sprogversion: »qui révèle«, dvs. »der angiver« med verbet i 3. person ental)] visse følsomme situationer, og den tyske sprogversion (samt bl.a. den græske og den italienske sprogversion), hvori der henvises til en behandling af personoplysninger om [(o.a.: i den franske sprogversion: »qui révèlent«, dvs. »der angiver« med verbet i 3. person flertal)] disse situationer. Medmindre jeg tager fejl, er den franske sprogversion af denne bestemmelse i strid med de fleste andre sprogversioner. I sammenhæng med den nævnte bestemmelse er det desuden efter min opfattelse mere logisk at knytte verbet »angive« [(o.a.: dvs. infinitivformen af verbet »révéler«, hvor den danske sprogversion her lyder »om«)] til oplysninger, da det efterfølgende i bestemmelsen er oplysningerne, der analyseres, og ikke behandlingen. Dette fremgår ligeledes af den franske ordlyd af 51. betragtning til forordning 2016/679, hvori det præciseres, at følsomme personoplysninger »bør omfatte personoplysninger om [(o.a.: i den franske sprogversion: »qui révèlent«, dvs. »der angiver« med verbet i 3. person flertal)] race eller etnisk oprindelse« (min fremhævelse).

41 – En sondring mellem f.eks. på den ene side race eller etnisk oprindelse, som ville indebære et forbud mod at behandle ikke alene oplysninger, der viser denne situation direkte, men ligeledes oplysninger, som angiver denne situation, og på den anden side genetiske data, for hvilke forbuddet mod behandling ikke ville strække sig til at omfatte oplysninger, der angiver denne situation, ville efter min opfattelse ikke være i overensstemmelse med ånden bag artikel 9, stk. 1, i forordning 2016/679 (og bag forordningen selv), som er at beskytte visse af den registreredes følsomme oplysninger, idet det skal tilføjes, at det ikke altid ville være indlysende at sondre mellem på den ene side oplysninger, der angiver [(o.a.: i den franske sprogversion: »qui révèle[nt]«, hvor den danske sprogversion her lyder »om«)] visse situationer (f.eks. race eller etnisk oprindelse), og på den anden side oplysninger, der vedrører [(o.a.: i den franske sprogversion: »concernant«, hvor den danske sprogversion enten benytter en anden løsning eller også her lyder »om«)] andre situationer (f.eks. helbred). Jeg noterer i denne forbindelse, at hvor artikel 9, stk. 1, i forordning 2016/679 henviser til bl.a. helbredsoplysninger [(o.a.: i den franske sprogversion: »données concernant la santé«, dvs. »oplysninger, der vedrører helbred«)], definerer samme forordnings artikel 4, nr. 15), »helbredsoplysninger« som »personoplysninger, der vedrører [(o.a.: i den franske sprogversion: »relatives à«, dvs., også her, »der vedrører«)] en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver [(o.a.: i den franske sprogversion: »qui révèlent«, dvs., også, »der angiver«)] information om vedkommendes helbredstilstand« (min fremhævelse). Som den tyske regering har tilkendegivet, er det muligt, at denne mangel på sammenhæng i ordlyden af den omhandlede bestemmelse blot er et ikke særlig vellykket forsøg på at skelne mellem rene oplysninger med et direkte informationsindhold og »metaoplysninger«, for hvilke et tilsvarende informationsindhold først fremkommer i en konkret sammenhæng gennem en vurdering eller sammenkædning.

42 – Som sagsøgeren i hovedsagen har gjort gældende, er disse to aspekter principielt forskellige. Alene den omstændighed, at en bruger har logget ind på et websted eller interageret med dette, viser ikke nødvendigvis i sig selv oplysninger om brugerens tro, helbred, politiske overbevisning osv., idet interessen for et websted ikke automatisk angiver en tilslutning til de idéer, der udbredes på dette websted, eller til de grupper, som det repræsenterer. Dette gælder bl.a. ved besøg på et politisk partis websted eller et websted, der fremstiller en bestemt politisk ideologi, idet brugeren i forbindelse med et sådant besøg ikke nødvendigvis deler den pågældende ideologi, men muligvis foretager det af nysgerrighed, endog som følge af en kritisk holdning til samme ideologi.

43 – Ifølge Meta Platforms angiver den omstændighed, at en bruger har logget ind på et websted eller interageret med dette, ikke i sig selv følsomme oplysninger, eftersom selv det forhold, at der observeres eller anvendes en interesse for et websted, ikke udgør behandling af følsomme personoplysninger. Dette ville alene være tilfældet, hvis brugerne blev kategoriseret gennem disse oplysninger. De oplysninger, der er omfattet af den omtvistede praksis, ville derfor alene henhøre under beskyttelsen i artikel 9, stk. 1, i forordning 2016/679, hvis de kunne henføres til en af de i denne bestemmelse omhandlede kategorier og blev behandlet subjektivt med fuld viden herom samt i den hensigt at uddrage disse informationskategorier heraf. Ifølge Bundeskartellamts fortolkning, der efter min opfattelse er for unuanceret, giver derimod alene den omstændighed, at den registrerede besøger et bestemt websted eller bruger en bestemt app, hvis hovedformål henhører under de områder, der er opregnet i artikel 9, stk. 1, i forordning 2016/679, allerede adgang til området for den beskyttelse, som denne bestemmelse giver. Beskyttelsen af følsomme personoplysninger er ifølge nævnte myndighed ikke afhængig af, at den dataansvarlige har til hensigt at anvende oplysningerne, idet den registreredes rettigheder allerede er påvirket af, at disse oplysninger unddrager sig den registreredes indflydelsessfære.

44 – Som Det Europæiske Databeskyttelsesråd (Databeskyttelsesrådet) har anerkendt, betyder alene det forhold, at en udbyder af et socialt medie behandler store mængder data, som potentielt kan anvendes til at udlede særlige kategorier af oplysninger, nemlig ikke automatisk, at behandlingen falder ind under artikel 9 i forordning 2016/679 (jf. Databeskyttelsesrådet, retningslinjer 8/2020 af 13.4.2021 vedrørende målretning mod brugere af sociale medier, herefter »Databeskyttelsesrådets retningslinjer 8/2020«, punkt 124).

45 – En sådan fortolkning ville efter min opfattelse gøre det muligt at undgå den situation, som sagsøgeren i hovedsagen finder beklagelig, og hvori den dataansvarlige nærmere bestemt uden at vide det tilsidesætter forordning 2016/679, eftersom han eller hun ikke kan forhindre eventuel (navnlig automatisk) modtagelse af oplysninger, der er indirekte forbundet med kategorierne af følsomme oplysninger, uden at dette berører den forpligtelse, der påhviler den dataansvarlige til i henhold til artikel 32 i forordning 2016/679 at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

46 – Jf. i denne retning punkt 125 i Databeskyttelsesrådets retningslinjer 8/2020.

47 – Den forelæggende ret har i denne forbindelse henvist til persontilpasningen af det sociale netværk og markedsføring, netværkssikkerhed, forbedring af tjenesterne, levering af måle- og analysetjenester for annoncepartnere, forskning til gavn for samfundet, besvarelse af juridiske anmodninger og opfyldelse af retlige forpligtelser, beskyttelse af brugernes og tredjeparters vitale interesser og udførelse af opgaver i samfundets interesse.

48 – Jf. analogt dom af 21.12.2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970, præmis 89 og den deri nævnte retspraksis), vedrørende fortolkningen af artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25.11.2009 (EUT 2009, L 337, s. 11).

49 – Jf. ligeledes udtalelse 6/2014, s. 10 og 11, fra arbejdsgruppen benævnt »Artikel 29«, der var et uafhængigt rådgivende organ, som blev nedsat i medfør af artikel 29 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31), og som fra vedtagelsen af forordning 2016/679 blev erstattet med Databeskyttelsesrådet.

50 – Denne betingelse er efter min opfattelse meget nær betingelsen om samtykke fra den registrerede.

51 – Jeg minder om, at bevisbyrden med hensyn til at påvise, at personoplysninger behandles efter reglerne i forordning 2016/679, i henhold til artikel 5, stk. 2, i forordning 2016/679 påhviler den dataansvarlige.

52 – Selv om en opmærksom bruger sandsynligvis er bevidst om, at adgangsdataene er tilgængelige for administratoren af det pågældende websted eller den pågældende app, er det desuden efter min opfattelse ikke åbenbart, at denne bruger tillige er bevidst om, at dataene også er tilgængelige for administratoren af vedkommendes Facebook-konto.

53 – Brugeren er i bedste fald bevidst om sit »forhold« til administratoren af det pågældende websted eller den pågældende app og til tredjeparter, som sidstnævnte videregiver disse data til, men det er også muligt, at brugeren ikke engang er bevidst om dette forhold, idet han eller hun alt efter omstændighederne kan have det indtryk, at der blot angives informationer – der eventuelt er gjort anonyme – til en enhed.

54 – Det drejer sig om knapper som »synes godt om«, »del« osv. (jf. fodnote 39 i dette forslag til afgørelse).

55 – F.eks. tilbyder Facebook under præferencer flere valgmuligheder for deling af de oplysninger, der er tilgængelige på brugerens Facebook-konto.

56 – Det kan ganske vist ikke udelukkes, at brugeren i særlige tilfælde med sine handlinger faktisk har ønsket at videregive oplysninger, der vedrører den pågældende, til et ubestemt antal personer. Det kan f.eks. være, at brugeren har indstillet sine valgmuligheder for deling af sin Facebook-konto således, at indholdet på den pågældendes profil er tilgængeligt for alle brugere af dette sociale netværk, og at brugeren er bevidst herom. Selv under sådanne omstændigheder er det dog ikke en selvfølge, at brugeren ved en sådan adfærd uden nogen tvivl har ønsket at tilkendegive en hensigt om tydeligvis at offentliggøre de pågældende personoplysninger, i betragtning af strengheden af den omhandlede undtagelse (jf. punkt 42 i dette forslag til afgørelse).

57 – Jf. i denne retning dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 87-89).

58 – Navnlig »cookies« (jf. 25. betragtning til direktiv 2002/58).

59 – Dette samtykke kan desuden heller ikke sidestilles med et udtrykkeligt samtykke til behandling af disse oplysninger som omhandlet i artikel 9, stk. 2, litra a), i forordning 2016/679. Samtykke til profilering som omhandlet i artikel 22, stk. 1, litra c), i forordning 2016/679, hvis genstand naturligvis er begrænset til behandling i forbindelse med profilering, er heller ikke relevant.

60 – For så vidt angår det femte præjudicielle spørgsmål har den forelæggende ret i den omtvistede praksis – ud over indsamling, sammenstilling med brugerens Facebook-konto og anvendelse af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps (jf. punkt 10 i dette forslag til afgørelse) – ligeledes inkluderet »anvendelse af oplysninger, der allerede i anden sammenhæng er blevet indsamlet og [lovligt sammenstillet med brugerens Facebook-konto]«.

61 – Artikel 6, stk. 1, litra b), i forordning 2016/679.

62 – Artikel 6, stk. 1, litra f), i forordning 2016/679.

63 – Artikel 6, stk. 1, litra f), i forordning 2016/679.

64 – Nærmere bestemt det forhold, at brugerne er mindreårige, levering af måletjenester, analysetjenester og andre kommercielle tjenester, levering af marketingkommunikation til brugerne, forskning og innovation til sociale formål samt deling af oplysninger med de strafferetlige myndigheder og besvarelse af juridiske anmodninger.

65 – Artikel 6, stk. 1, litra c), i forordning 2016/679.

66 – Artikel 6, stk. 1, litra d), i forordning 2016/679.

67 – Artikel 6, stk. 1, litra e), i forordning 2016/679.

68 – Med det fjerde spørgsmål anmodes Domstolen efter min opfattelse nemlig om at udtale sig om anvendelsen og ikke fortolkningen af artikel 6, stk. 1, litra f), i forordning 2016/679, ligesom det femte præjudicielle spørgsmål ikke indbefatter grundene til, at den forelæggende ret nærer tvivl med hensyn til fortolkningen af denne forordnings artikel 6, stk. 1, litra c), d) og e).

69 – Jf. Databeskyttelsesrådets retningslinjer 2/2019 af 8.10.2019 for behandling af personoplysninger i henhold til artikel 6, stk. 1, litra b), i [forordning 2016/679] i forbindelse med leveringen af onlinetjenester til registrerede (herefter »Databeskyttelsesrådets retningslinjer 2/2019«), punkt 1.

70 – Selv om parterne i hovedsagen i det væsentlige er enige om den forudsætning, at det med henblik på anvendelsen af de omhandlede begrundelser er påkrævet at foretage en undersøgelse i det enkelte tilfælde, er deres synspunkter hvad angår de praktiske konsekvenser af denne forudsætning i så henseende forskellige. Bundeskartellamt har fremhævet, at det påhviler den dataansvarlige i detaljer at godtgøre, hvilke oplysninger der konkret vil blive behandlet i forbindelse med hvilket anvendelsesscenarie, og har navnlig anført, at sagsøgeren i hovedsagen har begrænset sig til at gøre gældende, at den samlede behandling af oplysninger, der stammer fra kilder uden for Facebook, er nødvendig for hvert enkelt af de formål med behandlingen af oplysninger, som fremgår af tjenestevilkårene. Meta Platforms Ireland er derimod af den opfattelse, at Bundeskartellamt uden at undersøge de nærmere omstændigheder for hver enkelt behandling ikke kunne udelukke, at den omtvistede praksis kunne være støttet på de omhandlede begrundelser, og således ikke kunne konkludere, at denne praksis var i strid med forordning 2016/679.

71 – Samtykke fra brugeren er fastsat i artikel 6, stk. 1, litra a), i forordning 2016/679.

72 – Det præciseres i denne forbindelse i punkt 16 i Databeskyttelsesrådets retningslinjer 2/2019 bl.a., at principperne om henholdsvis formålsbegrænsning [artikel 5, stk. 1, litra b), i forordning 2016/679] og dataminimering [artikel 5, stk. 1, litra c), i forordning 2016/679] er særligt relevante i forbindelse med kontrakter vedrørende onlinetjenester, som typisk ikke indgås på individuel basis, i henhold til den akutte risiko for, at dataansvarlige måske forsøger at inkludere generelle begreber for at maksimere den mulige indsamling og brug af oplysninger uden tilstrækkelig angivelse af formålene eller hensyntagen til forpligtelser til dataminimering.

73 – Ifølge punkt 2 i Databeskyttelsesrådets retningslinjer 2/2019 støtter dette friheden til at drive egen virksomhed, som er sikret ved artikel 16 i chartret, og afspejler den omstændighed, at de kontraktlige forpligtelser over for den registrerede i nogle tilfælde ikke kan opfyldes, medmindre den registrerede stiller visse personoplysninger til rådighed. Jeg skal præcisere, at det andet forhold, der fremgår af denne bestemmelse, vedrørende nødvendigheden af behandling af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt, ikke er relevant i det foreliggende tilfælde. Det samme gør sig gældende for spørgsmålet om, hvorvidt der foreligger en gyldig kontrakt i henseende til såvel gældende aftaleret som andre retlige krav, herunder kravene vedrørende kontraktvilkår i forbrugeraftaler (jf. bl.a. Rådets direktiv 93/13/EØF af 5.4.1993 om urimelige kontraktvilkår i forbrugeraftaler, EFT 1993, L 95, s. 29), som ikke er omfattet af den præjudicielle forelæggelse.

74 – Jf. for så vidt angår den regel, der svarer til artikel 6, stk. 1, litra b), i forordning 2016/679, og som fremgår af artikel 7, litra e), i direktiv 95/46, dom af 16.12.2008, Huber (C-524/06, EU:C:2008:724, præmis 52).

75 – Alt imens henvisninger til og benævnelser af behandling af personoplysninger i en kontrakt ikke i sig selv er nok til at henlede opmærksomheden på behandlingen inden for rammerne af artikel 6, stk. 1, litra b), i forordning 2016/679, kan behandling desuden være objektivt nødvendig, selv om den ikke er udtrykkeligt nævnt i kontrakten, uden at dette berører den dataansvarliges forpligtelser i henseende til gennemsigtighed (jf. punkt 27 i Databeskyttelsesrådets retningslinjer 2/2019).

76 – Jf. punkt 25 i Databeskyttelsesrådets retningslinjer 2/2019.

77 – Jf. i denne retning dom af 9.11.2010, Volker und Markus Schecke og Eifert (C-92/09 og C-93/09, EU:C:2010:662, præmis 86), vedrørende […], og punkt 25 i Databeskyttelsesrådets retningslinjer 2/2019. I denne forbindelse henvises der i punkt 27-32 i disse retningslinjer bl.a. til det forhold, at behandling skal være objektivt nødvendig af hensyn til et formål, som er en integreret del af leveringen af den kontraktlige tjeneste til den registrerede, idet den dataansvarlige bør være i stand til at påvise, hvordan sagens væsentlige genstand for den specifikke kontrakt med den registrerede faktisk ikke kan opfyldes, hvis den specifikke behandling af de pågældende personoplysninger ikke forekommer. Nævnte retningslinjer opstiller i punkt 33 en række spørgsmål, der kan være nyttige i denne henseende.

78 – Jf. punkt 32 i Databeskyttelsesrådets retningslinjer 2/2019.

79 – Jf. punkt 37 i Databeskyttelsesrådets retningslinjer 2/2019.

80 – Den østrigske regering har i denne forbindelse på relevant vis gjort opmærksom på, at sagsøgeren i hovedsagen tidligere tillod Facebook-brugere at vælge mellem en kronologisk og en persontilpasset præsentation af indholdet i newsfeedet, hvilket viser, at en alternativ udformning er mulig.

81 – Medmindre andet fremgår af den forelæggende rets vurdering, mener jeg ikke, at indsamling og anvendelse af personoplysninger uden for Facebook kan være nødvendig for ydelsen af de tjenester, der tilbydes i forbindelse med en Facebook-profil, således at det samtykke, der oprindelig er givet for at få adgang til det sociale netværk (dvs. oprettelse af en Facebook-profil), på gyldig vis kan omfatte behandling af brugerens personoplysninger uden for Facebook. Anvendelse af de pågældende tjenester er nemlig i et sådant tilfælde gjort betinget af et samtykke, som ikke er nødvendigt for opfyldelse af en kontrakt, og den forelæggende ret skal i henhold til artikel 7, stk. 4, i forordning 2016/679, tage størst muligt hensyn til denne omstændighed (som i overensstemmelse med 43. betragtning til forordning 2016/679 udgør en formodning om, at samtykket er ugyldigt, hvilket det påhviler den dataansvarlige at afkræfte som omhandlet i artikel 7, stk. 1, i forordning 2016/679). Et sådant samtykke overholder desuden efter min opfattelse heller ikke den regel, hvorefter der kræves særskilt samtykke i forhold til forskellige behandlingsaktiviteter vedrørende personoplysninger (jf. tredje del af punkt 74 i dette forslag til afgørelse), eftersom der er intet, der knytter brugerens oprindelige samtykke til oprettelsen af Facebook-kontoen, eller dennes eventuelle samtykke til behandling af personoplysninger uden for Facebook. Selv i tilfælde af et eventuelt senere samtykke, der måtte være afgivet specifikt til anvendelse af oplysningerne uden for Facebook, er det endvidere vigtigt at undersøge, om den dataansvarlige giver et valg af en tilsvarende tjeneste, der ikke indebærer samtykke til behandling af personoplysninger til yderligere formål (jf. Databeskyttelsesrådets retningslinjer 5/2020 af 4.5.2020 samtykke i henhold til forordning (EU) 2016/679 (herefter »Databeskyttelsesrådets retningslinjer« 5/2020), punkt 37, hvori det ligeledes, i punkt 38, præciseres, at den dataansvarlige ikke kan henvise til en tilsvarende tjeneste, der udbydes af en anden operatør).

82 – Det er efter min opfattelse afgørende i denne henseende at fastslå, at koncernens forskellige produkter, således som den østrigske regering har anført, kan anvendes uafhængigt af hinanden, og at anvendelsen af den enkelte tjeneste er baseret på en særskilt brugskontrakt. Som Bundeskartellamt har påpeget, skal en ensartet og velfungerende brug af koncernens tjenester desuden betragtes, ikke som en nødvendighed for, at disse tjenester kan fungere, men som en interesse fra brugerens side, således at det principielt ville synes mere formålstjenligt, hvis det foregik efter brugerens eget valg.

83 – Jf. analogt dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 28), hvad angår den regel, der svarer til artikel 6, stk. 1, litra f), i forordning 2016/679, og som fremgår af artikel 7, litra f), i direktiv 95/46.

84 – Som det fremgår af generaladvokat Bobeks forslag til afgørelse Fashion ID (C-40/17, EU:C:2018:1039, punkt 122), fremstod begrebet »legitime interesser« inden for rammerne af direktiv 95/46 ret elastisk og åbent. Som sagsøgeren i hovedsagen har gjort gældende, har Domstolen nemlig anerkendt flere interesser som værende legitime (jf. bl.a. dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 81, af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 55, af 4.5.2017, Rīgas satiksme, C-13/16, EU:C:2017:336, præmis 29, af 24.9.2019, GC m.fl. (Fjernelse af følsomme oplysninger), C-136/17, EU:C:2019:773, præmis 53, af 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, præmis 59, og af 17.6.2021, M.I.C.M., C-597/19, EU:C:2021:492, præmis 108 og 109). Samme konklusion skal efter min opfattelse udledes af forordning 2016/679, hvori der i 47. betragtning som illustration bl.a. nævnes en situation, hvor den registrerede er kunde hos eller gør tjeneste under den dataansvarlige, samt behandling af personoplysninger til forebyggelse af svig eller til direkte markedsføring, og hvori der i 49. betragtning nævnes net- og informationssikkerhed samt sikkerhed ved de udbudte tjenester.

85 – Hvilket efter min opfattelse indebærer et krav om at præcisere, hvilken behandlingsaktivitet der er støttet på hvilken legitim interesse.

86 – Jf. dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 30), og af 17.6.2021, M.I.C.M. (C-597/19, EU:C:2021:492, præmis 110).

87 – Jf. i denne retning dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 31), og af 17.6.2021, M.I.C.M. (C-597/19, EU:C:2021:492, præmis 111). Domstolen bemærkede i denne henseende, at artikel 7, litra f), i direktiv 95/46 [som svarer til artikel 6, stk. 1, litra f), i forordning 2016/679] var til hinder for, at en medlemsstat kategorisk og generelt udelukker muligheden for behandling af visse kategorier af personoplysninger uden at tillade en afvejning af de i en konkret sag foreliggende modstående rettigheder og interesser, idet den præciserede, at en medlemsstat således ikke for disse kategorier definitivt kan foreskrive resultatet af afvejningen af de modstående rettigheder og interesser uden at tillade et anderledes resultat som følge af særlige omstændigheder i det konkrete tilfælde (dom af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 62 og den deri nævnte retspraksis).

88 – I udtalelse 6/2014 fra arbejdsgruppen benævnt »Artikel 29« fremlægges i afsnit III.3.4 en række interessante betragtninger i denne henseende.

89 – Det fremgår nemlig af 49. betragtning til forordning 2016/679, at behandling af personoplysninger i det omfang, det er strengt nødvendigt og forholdsmæssigt for at sikre net- og informationssikkerhed, udgør en legitim interesse for den berørte dataansvarlige. Behandlingen kan f.eks. have til formål at hindre uautoriseret adgang til elektroniske kommunikationsnet og distribution af ondsindet kode. Jeg noterer ligeledes, at bl.a. den dataansvarlige i henhold til forordningens artikel 32 gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene, og at personoplysninger i henhold til forordningens artikel 5, stk. 1, litra f), skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger.

90 – Det skal således efterprøves, i hvilket omfang behandling af personoplysninger, der er eksterne i forhold til webstedet eller appen Facebook, viser sig at være nødvendig for sidstnævntes sikkerhed. Selv om den forelæggende ret i denne henseende har anført muligheden for at anvende WhatsApp-oplysninger som beskyttelse mod spam (ved at behandle oplysninger om WhatsApp-konti, der sender spam, for at skride til handling mod de tilsvarende Facebook-konti) og Instagram-oplysninger med henblik på at opdage betænkelig eller ulovlig adfærd, tvivler jeg på, at sagsøgeren i hovedsagen kan tillægge sig retten til at behandle personoplysninger til »politimæssige« formål i vid forstand, i betragtning af, at det fremgår af Domstolens praksis på det (anderledes, men forbundne) område for elektroniske kommunikationsdata, at endog lovgivningsmæssige foranstaltninger, der i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata, ikke er i overensstemmelse med direktiv 2002/58 (jf. dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 168). Forudsat at nødvendigheden af at sikre netsikkerheden udgår fra et retligt krav, kan den dataansvarlige desuden påberåbe sig den specifikke begrundelse, der er fastsat i artikel 6, stk. 1, litra c), i forordning 2016/679.

91 – I henhold til artikel 6, stk. 1, litra c), d) og e), i forordning 2016/679.

92 – Jf. punkt 48 i dette forslag til afgørelse.

93 – Under hensyntagen til den brede vifte af legitime interesser, der anerkendes i retspraksis (jf. punkt 60 i dette forslag til afgørelse). F.eks. er det efter min opfattelse principielt indlysende, at beskyttelse af mindreårige kan begrunde, at der vedtages passende beskyttelsesforanstaltninger for at forbyde dem adgang til upassende eller farligt indhold.

94 – I henhold til artikel 13, stk. 1, litra c) og d), i forordning 2016/679 påhviler det nemlig bl.a. den dataansvarlige for hvert formål med en behandling at oplyse de legitime interesser, som forfølges af den dataansvarlige selv eller en tredjemand.

95 – Domstolen præciserede i dom af 11.11.2020, Orange România (C-61/19, EU:C:2020:901, præmis 35 og 36 og den deri nævnte retspraksis), at ordlyden af artikel 4, nr. 11), i forordning 2016/679, der definerer »samtykke [fra den registrerede]«, er endnu strengere end ordlyden af artikel 2, litra h), i direktiv 95/46, for så vidt som den kræver en viljestilkendegivelse fra den registrerede, der er »frivillig, specifik, informeret og utvetydig«, og som tager form af en erklæring eller »klar bekræftelse«, der markerer dennes accept af behandlingen af personoplysninger, som vedrører den pågældende.

96 – Som Databeskyttelsesrådet har fremhævet, indebærer elementet »frit«, at de registrerede har et reelt valg og kontrol (Databeskyttelsesrådets retningslinjer 5/2020, punkt 13). I samme punkt præciseres det bl.a., at et samtykke ikke er givet frivilligt, for det første hvis den registrerede føler sig tvunget til at give sit samtykke, eller hvis det vil få negative konsekvenser, hvis den registrerede ikke samtykker, og, for det andet, hvis samtykke er knyttet til betingelser og vilkår og ikke kan forhandles. Følgelig vil et samtykke ikke være frit, hvis ikke den registrerede kan sige nej til eller trække sit samtykke tilbage, uden at det er til skade for den registrerede. Som sagsøgeren i hovedsagen har påpeget, er den eneste ulempe, som den registrerede skal acceptere i et sådant tilfælde, at tjenesten i givet fald ikke nødvendigvis har samme funktion eller kvalitet, for så vidt som den behandling af oplysninger, til hvilken der ikke er givet samtykke, er teknisk nødvendig med henblik herpå.

97 – I Databeskyttelsesrådets retningslinjer 5/2020 nævnes i denne forbindelse vildledning, intimidering, tvang eller væsentlige negative konsekvenser, hvis den registrerede ikke samtykker, og der erindres om det ansvar, der påhviler den dataansvarlige med hensyn til at bevise, at den registrerede havde et frit eller reelt valg for så vidt angår tildeling og tilbagetrækning af samtykket (punkt 47).

98 – Ud over de i 43. betragtning nævnte situationer vedrørende forhold til offentlige myndigheder og ansættelsesforhold, som ikke er relevante i den foreliggende sag, nævnes der i punkt 24 i Databeskyttelsesrådets retningslinjer 5/2020 bl.a. en række situationer, hvor den registrerede ikke er i stand til at foretage et reelt valg, eller hvor der er en risiko for vildledning, intimidering, tvang eller væsentlige negative konsekvenser (f.eks. store ekstraomkostninger), hvis han/hun ikke samtykker.

99 – Dette spørgsmål krydser delvis det, som er genstand for det tredje præjudicielle spørgsmåls første del (jf. punkt 53-57 i dette forslag til afgørelse). Det præciseres i andet punktum i 43. betragtning til forordning 2016/679, at samtykke i en sådan situation formodes ikke at være givet frivilligt (ifølge punkt 26 i Databeskyttelsesrådets retningslinjer 5/2020 sikrer forordning 2016/679 derved, at den behandling af personoplysninger, der anmodes om samtykke til, hverken direkte eller indirekte kan blive en modydelse for en kontrakt), idet anvendelsen af ordet »formodes« klart viser, at de tilfælde, hvor samtykket er gyldigt, er yderst sjældne (jf. punkt 35 i disse retningslinjer). Artikel 7, stk. 4, i forordning 2016/679 er desuden formuleret som en ikkeudtømmende bestemmelse med vendingen »bl.a.«, hvilket betyder, at der kan være flere andre situationer, der er omfattet af denne bestemmelse, herunder enhver form for upassende pres på eller påvirkning af den registrerede, der forhindrer den registrerede i at udøve sin frie vilje (punkt 14 i Databeskyttelsesrådets retningslinjer 5/2020).

100 – I 32. betragtning til forordning 2016/679 præciseres det bl.a., at samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål, og at der, når behandling tjener flere formål, bør gives samtykke til dem alle. I Databeskyttelsesrådets retningslinjer 5/2020 henvises der i denne forbindelse til samtykkets »granularitet« som hindring for, at det er frit (punkt 44).

101 – En sådan situation fremmer bl.a. pålæggelse af betingelser, der ikke er nødvendige for opfyldelse af en kontrakt (jf. punkt 53-57 i dette forslag til afgørelse).

102 – Som Kommissionen har anført, kan den grad af en virksomheds forholdsmæssige markedsstyrke, der er afgørende for gyldigheden af et samtykke i henhold til forordning 2016/679, med andre ord ikke nødvendigvis sidestilles med tærsklen for en dominerende stilling på markedet som omhandlet i artikel 102 TEUF.

103 – Det gælder naturligvis, at selv om på den ene side den omstændighed, at der er tale om en dominerende stilling, ikke i sig selv er til hinder for, at der kan afgives frivilligt samtykke til behandling af personoplysninger, er den omstændighed, at der ikke er tale om en dominerende stilling, på den anden side ikke i sig selv tilstrækkelig til under alle forhold at sikre, at et sådant samtykke er gyldigt afgivet.