FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
A. RANTOS
fremsat den 20. september 2022 (1)
Sag C-252/21
Meta Platforms Inc., tidligere Facebook Inc.,
Meta Platforms Ireland Limited, tidligere Facebook Ireland Ltd.,
Facebook Deutschland GmbH
mod
Bundeskartellamt,
procesdeltager:
Verbraucherzentrale Bundesverband e.V.
(anmodning om præjudiciel afgørelse indgivet af Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland))
»Præjudiciel forelæggelse – forordning (EU) 2016/679 – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – sociale netværk – artikel 4, nr. 11) – begrebet »samtykke« fra den registrerede – samtykke givet over for en dataansvarlig virksomhed, der er markedsdominerende – artikel 6, stk. 1, litra b)-f) – lovlig behandling – behandling nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse – behandling nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt – artikel 9, stk. 1, og artikel 9, stk. 2, litra e) – særlige kategorier af personoplysninger – personoplysninger, som tydeligvis er offentliggjort af den registrerede – artikel 51-66 – den nationale konkurrencemyndigheds kompetencer – sammenhæng med de kompetencer, der henhører under tilsynsmyndighederne for beskyttelse af personoplysninger – vedtagelse af kartelretlige foranstaltninger ved en myndighed, der er beliggende i en anden medlemsstat end den, hvori den ledende databeskyttelsesmyndighed er beliggende«
Indledning
1. Den foreliggende anmodning om præjudiciel afgørelse er blevet indgivet af Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland) inden for rammerne af en tvist mellem en række selskaber i Meta Platforms-koncernen (2) og Bundeskartellamt (føderal konkurrencemyndighed, Tyskland) vedrørende en afgørelse, hvorved nævnte myndighed forbød sagsøgeren i hovedsagen at foretage den behandling af oplysninger, der er omhandlet i tjenestevilkårene for koncernens sociale netværk Facebook, og gennemførelsen heraf og pålagde denne at træffe foranstaltninger med henblik på at bringe behandlingen til ophør (3).
2. De præjudicielle spørgsmål vedrører nærmere bestemt dels den kompetence, som en national konkurrencemyndighed, såsom Bundeskartellamt, har til, enten umiddelbart eller ved en mellemafgørelse, at undersøge en virksomheds adfærd på baggrund af visse bestemmelser i forordning (EU) 2016/679 (4), dels fortolkningen af disse bestemmelser hvad navnlig angår behandling af følsomme personoplysninger, relevante betingelser for lovlig behandling af personoplysninger og afgivelse af et frivilligt samtykke over for en markedsdominerende virksomhed.
Retsforskrifter
EU-retten
3. Artikel 4 i forordning 2016/679 fastsætter:
»I denne forordning forstås ved:
[…]
11) »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling
[…]«
4. Denne forordnings artikel 6, stk. 1, med overskriften »Lovlig behandling« er affattet som følger:
»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.«
5. Nævnte forordnings artikel 9, stk. 1 og 2, med overskriften »Behandling af særlige kategorier af personoplysninger« bestemmer:
»1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.
2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:
a) Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.
[…]
e) Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.
[…]«
6. Samme forordnings artikel 51 med overskriften »Tilsynsmyndighed«, der indgår i forordningens kapitel VI, som for sit vedkommende har overskriften »Uafhængige tilsynsmyndigheder«, foreskriver:
»1. Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen […]
2. Hver enkelt tilsynsmyndighed bidrager til ensartet anvendelse af denne forordning i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapitel VII.
[…]«
Tysk ret
7. § 19, stk. 1, i Gesetz gegen Wettbewerbsbeschränkungen (lov om konkurrencebegrænsninger, herefter »GWB«) har følgende ordlyd:
»En eller flere virksomheders udnyttelse af en dominerende stilling på et marked ved misbrug er forbudt.« (5)
8. I GWB’s § 50f fastsættes følgende:
»(1) Konkurrencemyndigheder, reguleringsmyndigheder, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit [(føderal tilsynsførende for databeskyttelse og informationsfrihed)], Landesbeauftragte für Datenschutz [(delstatstilsynsførende for databeskyttelse)] og kompetente myndigheder som omhandlet i § 2 i EU-Verbraucherschutzdurchführungsgesetz [(lov om gennemførelse af Den Europæiske Unions forbrugerbeskyttelsesret)] kan, uafhængigt af den valgte procedure, udveksle oplysninger indbyrdes, herunder personoplysninger og handels- og forretningshemmeligheder, for så vidt som dette er nødvendigt for opfyldelse af deres respektive opgaver, samt kan udnytte disse oplysninger inden for rammerne af deres procedurer. […]«
Tvisten i hovedsagen, de præjudicielle spørgsmål og retsforhandlingerne for Domstolen
9. Meta Platforms driver i Den Europæiske Union det sociale onlinenetværk »Facebook« (på adressen www.facebook.com) og andre onlinetjenester, heriblandt Instagram og WhatsApp. Den økonomiske model for de sociale netværk, som Meta Platforms driver, består i det væsentlige dels i at tilbyde sociale netværkstjenester, som er gratis for private brugere, dels i at sælge online-markedsføring, som er tilpasset den individuelle bruger af det sociale netværk og har til formål at vise brugeren de produkter og tjenester, som på baggrund af navnlig dennes personlige forbrugsmønster, interesser, købekraft og livssituation vil kunne interessere vedkommende. Det tekniske grundlag for denne type markedsføring er automatisk oprettelse af meget detaljerede profiler for brugerne af netværket og af de onlinetjenester, som koncernen tilbyder (6).
10. Med henblik på indsamling og behandling af brugeroplysninger baserer Meta Platforms sig på den brugskontrakt, som koncernen indgår med sine brugere ved, at nævnte brugere trykker på knappen »registrer« og derved giver samtykke til Facebooks tjenestevilkår. Samtykke til disse tjenestevilkår er en grundlæggende betingelse for anvendelse af det sociale netværk Facebook (7). Den problemstilling, der udgør kernen i den foreliggende sag, vedrører en praksis, som består i for det første indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps eller gennem cookies indsat på brugerens computer eller mobile terminaludstyr, for det andet sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto og for det tredje anvendelse af de nævnte oplysninger (herefter »den omtvistede praksis«).
11. Bundeskartellamt anlagde sag mod Meta Platforms, hvorved nævnte myndighed med den omtvistede afgørelse forbød nævnte selskab at foretage den behandling af oplysninger, der er omhandlet i tjenestevilkårene for Facebook, og gennemførelsen heraf og pålagde det at træffe foranstaltninger med henblik på at bringe behandlingen til ophør. Bundeskartellamt begrundede bl.a. sin afgørelse med, at den omhandlede behandling udgjorde misbrug af det pågældende selskabs dominerende stilling på markedet for sociale netværk for private brugere i Tyskland som omhandlet i GWB’s § 19 (8).
12. Den 11. februar 2019 anlagde Meta Platforms søgsmål til prøvelse af den omtvistede afgørelse ved den forelæggende ret, Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf) (9), som nærmere bestemt nærer tvivl dels med hensyn til nationale konkurrencemyndigheders mulighed for at føre tilsyn med, hvorvidt en behandling af oplysninger er i overensstemmelse med kravene i forordning 2016/679, og for at fastslå og sanktionere en tilsidesættelse af bestemmelserne heri, dels med hensyn til fortolkningen og anvendelsen af visse bestemmelser i denne forordning.
13. Under disse betingelser har Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf) besluttet af udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) a) Er artikel 51 ff. i forordning […] 2016/679 til hinder for, at en national konkurrencemyndighed i en medlemsstat, såsom Bundeskartellamt, der ikke er tilsynsmyndighed som omhandlet [i] artikel 51 ff. i forordning […] 2016/679, og i hvilken medlemsstat en virksomhed med hjemsted uden for Den Europæiske Union har en etablering, der inden for markedsføring, kommunikation og PR bistår denne virksomheds hovedvirksomhed, som er beliggende i en anden medlemsstat, og som har eneansvaret for behandlingen af personoplysninger på hele Den Europæiske Unions område, for det kartelretlige misbrugstilsyn fastslår, at hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger og gennemførelsen heraf udgør en tilsidesættelse af forordning […] 2016/679, og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør?
b) Såfremt dette spørgsmål besvares bekræftende: Er artikel 4, stk. 3, TEU til hinder herfor, når den ledende tilsynsmyndighed i den medlemsstat, hvor hovedvirksomheden er beliggende, som omhandlet i artikel 56, stk. 1, i forordning […] 2016/679 samtidig underkaster hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?
Såfremt det første spørgsmål besvares bekræftende:
2) a) Udgør det forhold, at en internetbruger enten kun besøger eller også indtaster informationer, f.eks. ved registrering eller bestillinger, på websteder eller apps, der vedrører kriterierne i artikel 9, stk. 1, i forordning […] 2016/679, såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder, og en anden virksomhed såsom Facebook Ireland gennem grænseflader på disse websteder eller i disse apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr indsamler oplysninger om brugerens besøg på disse websteder og apps og om de informationer, som brugeren har indtastet, sammenstiller disse oplysninger med oplysningerne om brugerens [Facebook]-konto og anvender dem, behandling af følsomme oplysninger i forordningens forstand for så vidt angår indsamlingen og/eller sammenstillingen og/eller anvendelsen?
b) Såfremt dette spørgsmål besvares bekræftende: Indebærer besøg på disse websteder og apps og/eller indtastning af informationer og/eller tryk på knapper på disse websteder eller apps (»sociale plugins« såsom »synes godt om«, »del« eller »Facebook login« eller »account kit«) fra en udbyder som Facebook Ireland, at brugeren i kraft af selve besøget og/eller indtastningen tydeligvis har offentliggjort oplysningerne som omhandlet i artikel 9, stk. 2, litra e), i forordning […] 2016/679?
3) Kan en virksomhed som Facebook Ireland, der driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter, påberåbe sig den begrundelse, at behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt som omhandlet i artikel 6, stk. 1, litra b), i forordning […] 2016/679, eller er nødvendig for at forfølge en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning […] 2016/679, når den med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens [Facebook]-konto og anvender dem?
4) Kan også
– det forhold, at brugerne er mindreårige, af hensyn til persontilpasningen af indhold og markedsføring, produktforbedring, netværkssikkerhed og ikke-markedsføringsmæssig kommunikation med brugeren,
– levering af målinger, analyser og øvrige virksomhedsservices til markedsføringskunder, udviklere og øvrige partnere, således at disse kan evaluere og forbedre deres ydelser,
– levering af marketingkommunikation med brugeren, således at virksomheden kan forbedre sine produkter og gennemføre direct marketing,
– forskning og innovation til gavn for samfundet med henblik på at fremme niveauet for teknologiske fremskridt eller den videnskabelige forståelse vedrørende vigtige sociale emner og at øve positiv indflydelse på samfundet og verden,
– det forhold, at der gives oplysninger til retshåndhævende myndigheder og besvares juridiske anmodninger med henblik på at forhindre, opklare og retsforfølge strafbare handlinger, ulovlig brug, tilsidesættelser af tjenestevilkårene og politikkerne og andre former for skadelig adfærd,
i en sådan situation udgøre en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning […] 2016/679, når virksomheden med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens [Facebook]-konto og anvender dem?
5) Kan indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstilling med brugerens [Facebook]-konto og anvendelse heraf eller anvendelse af oplysninger, der allerede i anden sammenhæng er blevet indsamlet og sammenstillet lovligt, i en sådan situation i specifikke tilfælde også være begrundet i henhold til artikel 6, stk. 1, litra c), d) og e), i forordning […] 2016/679 med henblik på f.eks. at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger [litra c)], at bekæmpe skadelig adfærd og fremme sikkerheden [litra d)] eller af hensyn til forskning til gavn for samfundet og til fremme af beskyttelse, integritet og sikkerhed [litra e)]?
6) Kan der gives et gyldigt og navnlig i henhold til artikel 4, nr. 11), i forordning […] 2016/679 frivilligt samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning […] 2016/679 over for en markedsdominerende virksomhed som Facebook Ireland?
Såfremt det første spørgsmål besvares benægtende:
7) a) Kan en national [konkurrence]myndighed i en medlemsstat såsom Bundeskartellamt, som ikke er tilsynsmyndighed som omhandlet i artikel 51 ff. i forordning […] 2016/679, og som vurderer, om en markedsdominerende virksomhed har tilsidesat det kartelretlige forbud mod misbrug, idet denne tilsidesættelse ikke består i, at virksomhedens betingelser for behandling af oplysninger og gennemførelsen heraf tilsidesætter forordning […] 2016/679, f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt denne virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning […] 2016/679?
b) Såfremt dette spørgsmål besvares bekræftende: Gælder dette henset til artikel 4, stk. 3, TEU også, når den ledende tilsynsmyndighed som omhandlet i artikel 56, stk. 1, i forordning […] 2016/679 samtidig underkaster denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?
Såfremt det syvende spørgsmål besvares bekræftende, er det nødvendigt at besvare det tredje til femte spørgsmål med hensyn til oplysninger fra brugen af koncernens tjeneste Instagram.«
14. Meta Platforms, den tyske, den tjekkiske, den italienske og den østrigske regering, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (sammenslutning af forbrugere, Tyskland) samt Europa-Kommissionen har indgivet skriftlige indlæg. Disse parter har ligeledes afgivet mundtlige indlæg i retsmødet, som blev afholdt den 10. maj 2022.
Bedømmelse
15. De præjudicielle spørgsmål, der er genstand for den foreliggende sag, og som vedrører fortolkningen af flere bestemmelser i forordning 2016/679, angår i det væsentlige for det første den kompetence, som en konkurrencemyndighed har til at fastslå og sanktionere en tilsidesættelse af reglerne vedrørende behandling af personoplysninger, og de forpligtelser, som den pågældende myndighed har til at samarbejde med den ledende tilsynsmyndighed som omhandlet i forordning 2016/679 (det første og det syvende præjudicielle spørgsmål), for det andet forbud mod behandling af følsomme personoplysninger og gældende betingelser for samtykke til behandling heraf (det andet præjudicielle spørgsmål), for det tredje lovlig behandling af personoplysninger på baggrund af visse begrundelser (det tredje til det femte præjudicielle spørgsmål) og for det fjerde gyldighed af et samtykke til behandling af personoplysninger, der gives over for en markedsdominerende virksomhed (det sjette præjudicielle spørgsmål).
16. I de følgende punkter vil jeg først behandle det første og det syvende spørgsmål og dernæst de øvrige spørgsmål, i den rækkefølge, hvori de er blevet forelagt, idet det tredje til det femte spørgsmål vil blive behandlet samlet.
Om det første præjudicielle spørgsmål
17. Med det første præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om en konkurrencemyndighed, når den retsforfølger en tilsidesættelse af konkurrencereglerne, dels umiddelbart kan fastslå (10), at en virksomhed, hvis hovedvirksomhed, som har eneansvaret for behandlingen af personoplysninger på hele Unionens område, har tilsidesat reglerne i forordning 2016/679 vedrørende behandling af oplysninger, dels kan vedtage en afgørelse om, at denne tilsidesættelse skal bringes til ophør [det første spørgsmål, litra a)], og, såfremt dette spørgsmål besvares bekræftende, om den kompetente ledende tilsynsmyndighed i medfør af artikel 56, stk. 1, i forordning 2016/679 endvidere kan underkaste denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelse [det første spørgsmål, litra b)].
18. Medmindre andet fremgår af den forelæggende rets kontrol, er jeg imidlertid af den opfattelse, at Bundeskartellamt i den omtvistede afgørelse ikke sanktionerede en tilsidesættelse af forordning 2016/679 fra Meta Platforms’ side, men alene med henblik på anvendelse af konkurrencereglerne foretog undersøgelsen af en formodet tilsidesættelse af forbuddet mod misbrug af dominerende stilling fra denne virksomheds side, under hensyntagen til bl.a. det forhold, at virksomhedens adfærd ikke var i overensstemmelse med bestemmelserne i denne forordning.
19. Følgelig er det første spørgsmål, litra a), efter min opfattelse irrelevant, for så vidt som det vedrører en konkurrencemyndigheds mulighed for umiddelbart at fastslå en tilsidesættelse af reglerne i forordning 2016/679 og for at vedtage en afgørelse om, at denne tilsidesættelse skal bringes til ophør som omhandlet i denne forordning (11).
20. Det første spørgsmål, litra b), der er betinget af, at det første spørgsmål, litra a), besvares bekræftende, er herefter ligeledes irrelevant (12).
Om det syvende præjudicielle spørgsmål
21. Med det syvende præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om en konkurrencemyndighed, når den retsforfølger en tilsidesættelse af konkurrencereglerne, ved en mellemafgørelse (13) kan foretage konstateringer om, hvorvidt betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning 2016/679 [det syvende spørgsmål, litra a)], og, såfremt dette spørgsmål besvares bekræftende, hvorvidt konkurrencemyndigheden ligeledes kan foretage en sådan undersøgelse, når den kompetente ledende tilsynsmyndighed samtidig underkaster disse betingelser en undersøgelsesprocedure [det syvende spørgsmål, litra b)].
22. Hvad for det første angår det syvende spørgsmål, litra a), er jeg af den opfattelse, at selv om en konkurrencemyndighed ikke er kompetent til at fastslå en tilsidesættelse af forordning 2016/679 (14), er denne forordning principielt ikke til hinder for, at andre myndigheder end tilsynsmyndigheder, under udøvelse af deres egne kompetencer og beføjelser, ved en mellemafgørelse kan tage hensyn til, hvorvidt en adfærd er forenelig med bestemmelserne i forordning 2016/679. Dette er efter min opfattelse bl.a. tilfældet for så vidt angår en konkurrencemyndigheds udøvelse af de beføjelser, som den er tillagt ved artikel 102 TEUF og artikel 5, stk. 1, i forordning (EF) nr. 1/2003 (15) eller ved enhver anden tilsvarende national regel (16).
23. En konkurrencemyndighed skal nemlig under udøvelse af sine kompetencer navnlig vurdere, om den undersøgte adfærd udgør en anvendelse af metoder, der adskiller sig fra dem, der regulerer en normal konkurrence, i betragtning af den retlige og økonomiske sammenhæng, hvori denne adfærd indgår (17). Hvorvidt nævnte adfærd, ikke i sig selv, men henset til alle sagens omstændigheder, er i overensstemmelse med bestemmelserne i forordning 2016/679, kan i denne forbindelse være et væsentligt indicium for at fastslå, om denne adfærd udgør en anvendelse af metoder, der regulerer en normal konkurrence, idet det skal præciseres, at det ikke følger af en adfærds overensstemmelse eller manglende overensstemmelse med forordning 2016/679 eller med andre retsregler, at adfærden har eller ikke har karakter af misbrug i henseende til artikel 102 TEUF (18).
24. Jeg er følgelig af den opfattelse, at en undersøgelse af en dominerende stilling på et marked kan begrunde en konkurrencemyndigheds fortolkning af regler, der ikke henhører under konkurrenceretten, såsom reglerne i forordning 2016/679 (19), idet det skal præciseres, at en sådan undersøgelse skal foretages ved en mellemafgørelse (20) og ikke berører de kompetente tilsynsmyndigheders anvendelse af denne forordning (21).
25. Hvad for det andet angår det syvende spørgsmål, litra b), har den forelæggende ret rejst spørgsmålet om, hvilke forpligtelser en konkurrencemyndighed, når den fortolker bestemmelser i forordning 2016/679, har i forbindelse med anvendelsen af det princip om loyalt samarbejde, som er nedfældet i artikel 4, stk. 3, TEU, i forhold til den kompetente ledende tilsynsmyndighed som omhandlet i denne forordning, og, mere specifikt, når samme adfærd som den, konkurrencemyndigheden undersøger, undersøges af den kompetente ledende tilsynsmyndighed.
26. I den foreliggende sag indebærer en konkurrencemyndigheds undersøgelse af en virksomheds adfærd på baggrund af reglerne i forordning 2016/679, om end en sådan undersøgelse foretages ved en mellemafgørelse, en risiko for, at konkurrencemyndigheden og tilsynsmyndighederne fortolker denne forordning forskelligt, hvilket principielt kan skade den ensartede fortolkning af forordning 2016/679 (22).
27. EU-retten fastsætter ikke udførlige regler hvad angår samarbejde mellem en konkurrencemyndighed og tilsynsmyndigheder som omhandlet i forordning 2016/679 i en sådan situation. Nærmere bestemt finder hverken mekanismen vedrørende samarbejde mellem kompetente myndigheder som omhandlet i forordning 2016/679 under anvendelse af denne forordning (23) eller andre præcise regler vedrørende samarbejde mellem administrative myndigheder, såsom reglerne om samarbejde mellem konkurrencemyndigheder og mellem disse og Kommissionen under anvendelse af konkurrencereglerne (24), anvendelse i den foreliggende sag.
28. Når en konkurrencemyndighed fortolker forordning 2016/679, er den ikke desto mindre forpligtet af det princip om loyalt samarbejde, der er fastsat i artikel 4, stk. 3, TEU, og i medfør af hvilket Unionen og medlemsstaterne, herunder deres administrative myndigheder (25), respekterer hinanden og bistår hinanden ved gennemførelsen af de opgaver, der følger af traktaterne. Særligt fastsættes det i tredje afsnit til denne bestemmelse, at medlemsstaterne bistår Unionen i gennemførelsen af dens opgaver og afholder sig fra at træffe foranstaltninger, der kan bringe virkeliggørelsen af Unionens mål i fare (26). I lighed med enhver administrativ myndighed, der har til opgave at anvende EU-retten, er en konkurrencemyndighed endvidere forpligtet af princippet om god forvaltningsskik som et generelt EU-retligt princip, der indeholder en omfattende agtpågivenheds- og forsorgspligt for den nationale myndighed (27).
29. Når en konkurrencemyndighed fortolker bestemmelser i forordning 2016/679, er den således i mangel af præcise regler med hensyn til samarbejdsmekanismer – som det eventuelt påhviler EU-lovgiver at vedtage – i det mindste underlagt en række oplysnings-, efterretnings- og samarbejdsforpligtelser i forhold til de kompetente myndigheder som omhandlet i denne forordning, i henhold til de nationale regler, der regulerer den pågældende myndigheds kompetencer (princippet om medlemsstaternes procesautonomi), og under overholdelse af ækvivalensprincippet og effektivitetsprincippet (28).
30. Heraf følger efter min opfattelse, at når den kompetente ledende tilsynsmyndighed har udtalt sig om anvendelsen af visse bestemmelser i forordning 2016/679 i forhold til en enslydende eller tilsvarende praksis, kan konkurrencemyndigheden principielt ikke frigøre sig fra førstnævnte myndigheds fortolkning, idet denne myndighed er den eneste, der er kompetent med henblik på anvendelsen af denne forordning (29), og konkurrencemyndigheden skal så vidt muligt og under overholdelse af navnlig de registreredes ret til forsvar efterkomme eventuelle afgørelser, som den ledende tilsynsmyndighed måtte have vedtaget vedrørende den samme adfærd (30), idet den i tilfælde af tvivl med hensyn til den fortolkning, som den kompetente myndighed har givet i den konkrete sag, skal rådslå sig med den ledende tilsynsmyndighed, eller eventuelt, når denne er beliggende i en anden medlemsstat, med den nationale tilsynsmyndighed (31).
31. Desuden påhviler det i mangel af en afgørelse fra den kompetente tilsynsmyndighed ikke desto mindre konkurrencemyndigheden at underrette tilsynsmyndigheden (32) og samarbejde med denne, når tilsynsmyndigheden har indledt en undersøgelse af den samme praksis eller tilkendegivet, at den har til hensigt at gøre det, og eventuelt afvente udfaldet af den undersøgelse, som tilsynsmyndigheden foretager, inden den indleder sin egen bedømmelse, for så vidt som dette er hensigtsmæssigt og ikke berører bl.a. konkurrencemyndighedens overholdelse af en rimelig undersøgelsesfrist og af de registreredes ret til forsvar (33).
32. Henset til den foreliggende sag er det min opfattelse, at den omstændighed, at konkurrencemyndigheden formelt har indledt et samarbejde med de ansvarlige nationale tilsynsmyndigheder (34) og ligeledes uformelt har kontaktet den ledende irske tilsynsmyndighed – en omstændighed, som Bundeskartellamt har henvist til, og som det tilkommer den forelæggende ret at efterprøve – kan være tilstrækkelig til at konkludere, at konkurrencemyndigheden har opfyldt sine forpligtelser til agtpågivenhed og loyalt samarbejde (35).
33. Sammenfattende foreslår jeg at besvare det syvende præjudicielle spørgsmål med, at artikel 51-66 i forordning 2016/679 skal fortolkes således, at en konkurrencemyndighed som led i sine beføjelser som omhandlet i konkurrencereglerne ved en mellemafgørelse kan undersøge, om den undersøgte praksis er i overensstemmelse med reglerne i forordning 2016/679, idet den skal tage hensyn til enhver afgørelse eller undersøgelse fra den i henhold til forordning 2016/679 kompetente tilsynsmyndighed og skal underrette den nationale tilsynsmyndighed og efter omstændighederne rådslå sig med denne.
Om det andet præjudicielle spørgsmål
34. Med det andet præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at den omtvistede praksis, når den vedrører besøg på tredjeparters websteder og apps (36), henhører under behandling af de opregnede følsomme personoplysninger (37), som er forbudt (38) [det andet spørgsmål, litra a)], og, såfremt dette spørgsmål besvares bekræftende, om denne forordnings artikel 9, stk. 2, litra e), skal fortolkes således, at en bruger tydeligvis har offentliggjort oplysningerne som omhandlet i denne bestemmelse, dels når oplysningerne afgives ved besøg på websteder og apps, dels når de indtastes eller følger af tryk på knapper på disse websteder eller apps (39) [det andet spørgsmål, litra b)].
35. Hvad for det første angår det andet spørgsmål, litra a), erindrer jeg om, at behandling af følsomme personoplysninger i medfør af artikel 9, stk. 1, i forordning 2016/679 er forbudt. Som det fremgår af 51. betragtning til denne forordning, er den særlige beskyttelse af disse oplysninger begrundet ved, at de i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, og at behandling af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Til trods for den relativt uklare affattelse af denne bestemmelse (40) er det endvidere ikke min opfattelse, at bestemmelsen, således som den forelæggende ret har lagt til grund, indfører nogen væsentlig sondring mellem personoplysninger, der er følsomme, fordi de »angiver« en bestemt situation, og oplysninger, der er følsomme i sig selv (41).
36. Det er i den foreliggende sag efter min opfattelse åbenbart, at den omtvistede praksis udgør en behandling af personoplysninger, som principielt kan høre ind under anvendelsesområdet for denne bestemmelse og være forbudt, når de oplysninger, der behandles, »angiver« en af de heri opregnede følsomme situationer. Det skal således fastslås, om og i hvilket omfang besøg på websteder og apps eller indtastning af informationer på disse websteder og apps kan bevirke en »angivelse« af en af de følsomme situationer, der er opført i den omhandlede bestemmelse.
37. Jeg tvivler i denne forbindelse på, at det ville være relevant (og endog muligt) at sondre mellem på den ene side en ren og skær interesse i bestemte oplysninger fra den registreredes side og på den anden side den pågældende persons tilhørsforhold til en af de kategorier, der er nævnt i den omhandlede bestemmelse (42). Selv om parterne i hovedsagen har modsatrettede synspunkter i denne henseende (43), er jeg af den opfattelse, at et svar på dette spørgsmål alene kan søges i det enkelte tilfælde og med hensyn til hver enkelt af de aktiviteter, der udgør den omtvistede praksis.
38. Alene indsamling af følsomme personoplysninger vedrørende besøg på et websted eller en app – således som den tyske regering har anført – er ganske vist ikke i sig selv nødvendigvis en behandling af følsomme personoplysninger som omhandlet i denne bestemmelse (44), hvorimod sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto eller anvendelse af disse oplysninger er en adfærd, der lettere vil kunne udgøre en sådan behandling. Det afgørende forhold med henblik på anvendelsen af artikel 9, stk. 1, i forordning 2016/679 er efter min opfattelse, at de oplysninger, der behandles, kan gøre det muligt at foretage en profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse (45).
39. For at kunne afgøre, om en behandling af oplysninger hører ind under anvendelsesområdet for denne bestemmelse, kunne det i denne sammenhæng være hensigtsmæssigt efter omstændighederne at sondre mellem på den ene side behandling af oplysninger, der prima facie kan klassificeres i kategorien følsomme personoplysninger, og som i sig selv muliggør profilering af den registrerede, og på den anden side behandling af oplysninger, der ikke i sig selv er følsomme, men for hvilke der kræves en efterfølgende sammenføring, for at der kan drages troværdige konklusioner med henblik på profilering af den registrerede.
40. Det skal ikke desto mindre præciseres, at tilstedeværelsen af en kategorisering som omhandlet i denne bestemmelse er uafhængig af, om kategoriseringen er sand eller korrekt (46). Det afgørende er muligheden for, at en sådan kategorisering indebærer en betydelig risiko for den registreredes grundlæggende rettigheder og frihedsrettigheder, således som der erindres om i 51. betragtning til forordning 2016/679, idet denne mulighed er uafhængig af, om kategoriseringen er sandfærdig.
41. Hvad endelig angår den forelæggende rets anmodning med henblik på at få oplyst, om hensigten om anvendelse har betydning for den pågældende vurdering (47), er jeg – i modsætning til, hvad sagsøgeren i hovedsagen har gjort gældende – af den opfattelse, at det principielt ikke er påkrævet, at den dataansvarlige behandler oplysningerne »med fuld viden herom og i den hensigt at uddrage særlige informationskategorier direkte heraf«. Formålet med den omhandlede bestemmelse er nemlig i det væsentlige objektivt at hindre betydelige risici, som behandling af følsomme personoplysninger måtte indebære for de registreredes grundlæggende rettigheder og frihedsrettigheder, uafhængigt af ethvert subjektivt forhold, såsom den dataansvarliges hensigt.
42. Hvad for det andet angår det andet spørgsmål, litra b), erindrer jeg om, at det følger af artikel 9, stk. 2, litra e), i forordning 2016/679, at forbuddet mod behandling af følsomme personoplysninger ikke finder anvendelse, hvis behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede. Henvisningen i affattelsen af denne bestemmelse til adverbiet »tydeligvis« og den omstændighed, at nævnte bestemmelse udgør en undtagelse fra princippet om forbud mod behandling af følsomme personoplysninger (48), foreskriver desuden en særligt streng anvendelse af denne undtagelse på grund af de betydelige risici, som registreredes grundlæggende rettigheder og frihedsrettigheder er omfattet af (49). For at denne undtagelse kan finde anvendelse, skal brugeren efter min opfattelse have fuld bevidsthed om ved en udtrykkelig handling (50) at have offentliggjort personoplysninger (51).
43. Det er i den foreliggende sag min opfattelse, at en adfærd, der består i besøg på websteder og apps, indtastning af informationer på disse websteder og apps og tryk på knapper på disse websteder og apps principielt ikke kan sidestilles med en adfærd, hvorved brugerens følsomme personoplysninger tydeligvis er offentliggjort som omhandlet i artikel 9, stk. 2, litra e), i forordning 2016/679.
44. Mere specifikt noterer jeg, at besøg på websteder og apps principielt alene gør besøgsdataene tilgængelige for administratoren af det pågældende websted eller den pågældende app og for tredjeparter, som sidstnævnte videregiver disse informationer til, såsom sagsøgeren i hovedsagen (52). På samme måde noterer jeg ligeledes, at selv om den registrerede ved indtastning af informationer på websteder og apps direkte og frivilligt vil kunne afgive informationer om visse følsomme personoplysninger, er disse informationer kun tilgængelige for administratoren af det pågældende websted eller den pågældende app og for tredjeparter, som sidstnævnte videregiver disse informationer til. Jeg udelukker således, at en sådan adfærd kan være udtryk for et ønske om at gøre disse oplysninger offentligt tilgængelige (53). Selv om det er åbenbart, at den registrerede ved tryk på knapper på websteder eller apps (54) tydeligt udtrykker et ønske om at dele visse oplysninger med en i forhold til det pågældende websted eller den pågældende app ekstern offentlighed, er jeg desuden af den opfattelse, at den pågældende person – således som Bundeskartellamt har fremhævet – ved denne adfærd er bevidst om at dele oplysninger med en bestemt kreds af personer, der ofte er defineret af brugeren selv (55), og ikke med offentligheden (56).
45. Hvad endelig angår relevansens af et eventuelt samtykke, som brugeren har afgivet som omhandlet i artikel 5, stk. 3, i direktiv 2002/58 til indsamling af personoplysninger ved brug af cookies eller lignende teknologier, og hvortil den forelæggende ret har henvist, er jeg af den opfattelse, at et sådant samtykke i betragtning af dets specifikke formål ikke i sig selv kan begrunde en behandling af følsomme personoplysninger, der er indsamlet ved sådanne midler (57). Nævnte samtykke, som er nødvendigt for installation af et teknisk middel til opsamling af visse brugeraktiviteter (58), vedrører nemlig ikke behandling af følsomme personoplysninger og kan ikke sidestilles med et ønske om tydeligvis at offentliggøre sådanne oplysninger som omhandlet i artikel 9, stk. 2, litra e), i forordning 2016/679 (59).
46. Sammenfattende foreslår jeg at besvare det andet præjudicielle spørgsmål med, for det første, at artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at forbud mod behandling af følsomme personoplysninger kan omfatte en behandling af oplysninger, der foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger fra en bruger, når denne besøger andre websteder eller apps eller indtaster disse oplysninger på disse websteder eller apps, sammenstilling af nævnte oplysninger med brugerkontoen for det sociale netværk og anvendelse af oplysningerne, forudsat at de oplysninger, der behandles – individuelt betragtet eller sammenført – muliggør profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse, og, for det andet, at artikel 9, stk. 2, litra e), i forordning 2016/679 skal fortolkes således, at en bruger ikke tydeligvis har offentliggjort oplysninger, når oplysningerne er afgivet ved besøg på websteder og apps eller indtastes eller følger af tryk på knapper på disse websteder eller apps.
Om det tredje til det femte præjudicielle spørgsmål
47. Med det tredje til det femte præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 6, stk. 1, litra b), c), d), e) og f), i forordning 2016/679 skal fortolkes således, at den omtvistede praksis (60) hører ind under anvendelsesområdet for en af de begrundelser, der fremgår af disse bestemmelser, nærmere bestemt:
– behandling er nødvendig af hensyn til opfyldelse af en kontrakt (61) eller for at forfølge en legitim interesse (62), henset til den omstændighed, at Meta Platforms driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter (det tredje præjudicielle spørgsmål)
– hensyntagen til denne legitime interesse (63) i sammenhæng med visse situationer (64) (det fjerde præjudicielle spørgsmål)
– nødvendigheden af at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger (65), nødvendigheden af at bekæmpe skadelig adfærd og fremme sikkerheden (66) eller hensyn til forskning til gavn for samfundet samt nødvendigheden af at fremme beskyttelse, integritet og sikkerhed (67) (det femte præjudicielle spørgsmål).
48. Indledningsvis foreslår jeg – uagtet enkelte spørgsmål med hensyn til, hvorvidt det fjerde og det femte præjudicielle spørgsmål kan antages til realitetsbehandling (68) – at besvare det tredje til det femte spørgsmål samlet, for så vidt som de anvisninger, som jeg vil give nedenfor, hovedsageligt i forhold til det tredje spørgsmål, som er det bedst begrundede, ligeledes kan være nyttige for den forelæggende ret ved anvendelsen af de bestemmelser, der er genstand for det fjerde og det femte præjudicielle spørgsmål.
49. Jeg vil indledningsvis anføre, at personoplysninger i medfør af artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af et ved lov fastsat grundlag. I denne forbindelse præciseres det i artikel 6, stk. 1, i forordning 2016/679, at behandling af disse oplysninger kun er lovlig, hvis den er begrundet i én af de seks præciserede betingelser, der er omhandlet i denne bestemmelse (69).
50. I den foreliggende sag er jeg indledningsvis af den opfattelse, at det tredje til det femte præjudicielle spørgsmål nødvendiggør en udførlig undersøgelse i det enkelte tilfælde af de forskellige punkter i Facebooks tjenestevilkår i sammenhæng med den omtvistede praksis, idet det ikke er muligt i forhold til denne praksis at fastslå, hvorvidt »en virksomhed som [Meta Platforms]« samlet set kan påberåbe sig alle (eller visse af) de begrundelser, der er opført i artikel 6, stk. 1, i forordning 2016/679, selv om det ikke kan udelukkes, at nævnte praksis eller visse af de aktiviteter, der indgår heri, i visse tilfælde kan høre ind under anvendelsesområdet for denne bestemmelse (70).
51. Dernæst foretages den i de nævnte bestemmelser påtænkte behandling i det foreliggende tilfælde på grundlag af de almindelige kontraktbetingelser, som den dataansvarlige har opstillet, uden samtykke fra den registrerede (71), endog mod dennes ønske, hvilket efter min opfattelse nødvendiggør en streng fortolkning af de omhandlede begrundelser, bl.a. for at undgå en omgåelse af betingelsen om samtykke (72).
52. Endelig minder jeg om, at det følger af artikel 5, stk. 2, i forordning 2016/679, at bevisbyrden med hensyn til at påvise, at personoplysningerne behandles efter reglerne i denne forordning, påhviler den dataansvarlige, og at det i henhold til nævnte forordnings artikel 13, stk. 1, litra c), påhviler den dataansvarlige at præcisere formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen.
Det tredje præjudicielle spørgsmål
53. For det første følger det af artikel 6, stk. 1, litra b), i forordning 2016/679, at en behandling af personoplysninger er lovlig, i det omfang den er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i (73).
54. Jeg erindrer i denne forbindelse om, at begrebet »nødvendig« ikke er defineret i EU-retten, men ikke desto mindre ifølge retspraksis udgør et selvstændigt EU-retligt begreb (74). For at behandling er nødvendig af hensyn til opfyldelse af en kontrakt, er det ikke tilstrækkeligt, at den finder sted i forbindelse med opfyldelse af kontrakten, eller at den nævnes i kontrakten (75), eller endog blot, at den er nyttig for opfyldelse af kontrakten (76). Ifølge Domstolens praksis skal behandlingen være objektivt nødvendig for opfyldelse af kontrakten, således at forstå, at der ikke må findes realistiske, mindre indgribende alternativer (77), under hensyntagen ligeledes til den registreredes rimelige forventninger (78). Dette omfatter ligeledes det forhold, at hvis kontrakten består af flere særskilte tjenester eller aspekter af en tjeneste, der kan opfyldes uafhængigt af hinanden, bør spørgsmålet om, hvorvidt artikel 6, stk. 1, litra b), i forordning 2016/679 kan finde anvendelse, vurderes inden for rammerne af hver enkelt af disse tjenester særskilt (79).
55. Inden for rammerne af denne begrundelse har den forelæggende ret henvist til persontilpasning af indhold og ensartet og velfungerende brug af koncernens produkter (eller rettere tjenester).
56. For så vidt angår persontilpasning af indhold er det min opfattelse, at selv om en sådan aktivitet i et vist omfang kan være i brugerens interesse, for så vidt som den gør det muligt – navnlig i »newsfeedet« – at præsentere indhold, som i henhold til en automatisk vurdering svarer til brugerens interesser, tvivler jeg på, at den tillige er nødvendig for ydelsen af den pågældende sociale netværkstjeneste, således at behandling af personoplysninger til disse formål ikke kræver samtykke fra denne bruger (80). Med henblik på denne undersøgelse skal der ligeledes tages hensyn til det forhold, at den omtvistede praksis omhandler behandling, ikke af oplysninger, der vedrører brugerens adfærd inden for webstedet eller appen Facebook, men af oplysninger fra eksterne og dermed potentielt ubegrænsede kilder. Jeg vil således gerne vide, i hvilket omfang denne behandling kan svare til en gennemsnitlig forbrugers forventninger, og, mere generelt, hvilken »grad af persontilpasning« denne forbruger kan forvente af den tjeneste, som den pågældende tilmelder sig (81).
57. For så vidt angår ensartet og velfungerende brug af koncernens tjenester noterer jeg, at en forbindelse mellem de forskellige tjenester, som sagsøgeren i hovedsagen tilbyder, f.eks. mellem Facebook og Instagram, ganske vist kan være nyttig for brugeren, eller endog undertiden ønsket af denne. Jeg tvivler ikke desto mindre på, at en behandling af personoplysninger fra andre af koncernens tjenester (navnlig Instagram) er nødvendig for ydelsen af Facebooks tjenester (82).
58. For det andet fremgår det af artikel 6, stk. 1, litra f), i forordning 2016/679, at behandling af personoplysninger er lovlig, i det omfang den er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
59. Ifølge Domstolens praksis fastsætter den omhandlede bestemmelse tre kumulative betingelser for, at en behandling af personoplysninger er lovlig, nemlig for det første, at den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, forfølger en legitim interesse, for det andet, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse, og for det tredje betingelsen om, at de grundlæggende rettigheder og frihedsrettigheder, der tilkommer den person, der er omfattet af beskyttelsen af oplysningerne, ikke går forud herfor (83).
60. Hvad indledningsvis angår forfølgelsen af en legitim interesse erindrer jeg om, at der i forordning 2016/679 og i retspraksis anerkendes en bred vifte af interesser, der anses for at være legitime (84), idet det skal præciseres, at det i henhold til artikel 13, stk. 1, litra d), i forordning 2016/679 påhviler den dataansvarlige at oplyse de legitime interesser, der forfølges inden for rammerne af artikel 6, stk. 1, litra f), i forordning 2016/679 (85).
61. Hvad dernæst angår betingelsen vedrørende nødvendigheden af behandling af personoplysninger af hensyn til opfyldelse af den legitime interesse, der forfølges, skal undtagelser fra og begrænsninger af beskyttelsen af personoplysninger ifølge Domstolens praksis holdes inden for det strengt nødvendige (86). Det er således nødvendigt, at der er en tæt forbindelse mellem behandlingen og den interesse, der forfølges, i mangel af alternativer med en bedre beskyttelse af personoplysninger, idet det ikke er tilstrækkeligt, at behandlingen alene skyldes, at den er nyttig for den dataansvarlige.
62. Hvad endelig angår afvejningen af den dataansvarliges interesser på den ene side og den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder på den anden side påhviler det ifølge Domstolens praksis den forelæggende ret at foretage en afvejning af de berørte interesser (87). Som det fremgår af 47. betragtning til forordning 2016/679, er det desuden i forbindelse med denne afvejning strengt nødvendigt at tage hensyn til registreredes rimelige forventninger på grundlag af deres forhold til den dataansvarlige og at vurdere, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at behandling med dette formål kan finde sted.
63. Inden for rammerne af denne begrundelse har den forelæggende ret henvist til persontilpasset markedsføring, netværkssikkerhed og produktforbedring.
64. Hvad indledningsvis angår persontilpasning af markedsføring fremgår det af 47. betragtning til forordning 2016/679, at behandling af personoplysninger til direkte markedsføring (direct marketing) kan anses for at være foretaget i en legitim interesse for den dataansvarlige. Hvad angår nødvendigheden af behandlingen skal det ikke desto mindre påpeges, at de omhandlede oplysninger stammer fra kilder uden for Facebook, og det spørgsmål rejser sig derfor, hvilken »grad af persontilpasning« af markedsføringen der er objektivt nødvendig i denne henseende. Hvad angår afvejningen af de berørte interesser skal der efter min opfattelse tages hensyn til karakteren af den pågældende legitime interesse (i det foreliggende tilfælde en rent økonomisk interesse) og til behandlingens konsekvenser for brugeren, herunder dennes rimelige forventninger og eventuelle beskyttelsesforanstaltninger, som den dataansvarlige måtte have gennemført (88).
65. Der kan dernæst foretages lignende betragtninger for så vidt angår netværkssikkerhed. Selv om en sådan begrundelse kan udgøre en legitim interesse for den dataansvarlige (89), er det nemlig mindre indlysende at konkludere, at behandling er nødvendig i den foreliggende sag, ligeledes i betragtning af, at de omhandlede oplysninger stammer fra kilder uden for Facebook (90). Jeg erindrer under alle omstændigheder om, at det påhviler den dataansvarlige at præcisere de sikkerhedsmål, som den enkelte behandling i givet fald er støttet på.
66. Hvad endelig angår produktforbedring er jeg af den opfattelse, at en sådan begrundelse – selv om sikkerhedsrelaterede forbedringer, der henhører under den specifikke begrundelse, som er blevet undersøgt ovenfor, skal holdes ude – snarere bør være i brugerens end i den dataansvarliges interesse. Ud fra denne synsvinkel er det vanskeligt at forstå, i hvilket omfang denne begrundelse kan udgøre en legitim interesse for den dataansvarlige og unddrage sig samtykke fra brugeren. For så vidt angår betingelsen om, at det er nødvendigt at foretage en afvejning af de berørte rettigheder og interesser, henviser jeg til ovenstående betragtninger.
Det fjerde og det femte præjudicielle spørgsmål
67. Med det fjerde præjudicielle spørgsmål, som i det væsentlige udgør en forlængelse af det tredje præjudicielle spørgsmåls anden del, ønskes det oplyst, om visse tilbagevendende situationer, der er opregnet, indebærer, at der foreligger en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning 2016/679, mens den forelæggende ret med det femte præjudicielle spørgsmål ønsker oplyst, om nødvendigheden af at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger, nødvendigheden af at bekæmpe skadelig adfærd og fremme sikkerheden eller hensyn til forskning til gavn for samfundet samt nødvendigheden af at fremme beskyttelse, integritet og sikkerhed udgør begrundelser, der kan finde anvendelse på den omtvistede praksis (91).
68. Uafhængigt af spørgsmålet om, hvorvidt disse spørgsmål kan antages til realitetsbehandling (92), er jeg overordnet set af den opfattelse, at det hvad angår det fjerde præjudicielle spørgsmål ikke kan udelukkes, at visse betingelser, der kendetegner den omtvistede praksis, kan være begrundet i legitime interesser under de omstændigheder, som den forelæggende ret har henvist til (93), og, med hensyn til det femte præjudicielle spørgsmål, at den omtvistede praksis i visse situationer kan være begrundet med udgangspunkt i de anførte bestemmelser.
69. Det fremgår imidlertid ikke af forelæggelsesafgørelsen, om og i hvilket omfang Meta Platforms Ireland for hvert formål med behandling og for hver overordnede type oplysninger, der behandles, har oplyst, hvilke legitime interesser der konkret forfølges, eller hvilke andre begrundelser der måtte være relevante i den foreliggende sag (94). Det påhviler således den forelæggende ret under hensyntagen til ovenstående anvisninger at undersøge, i hvilket omfang den omtvistede praksis, under de omstændigheder, som nævnte ret har henvist til, er begrundet i legitime interesser for Meta Platforms Ireland i behandling af oplysninger som omhandlet i artikel 6, stk. 1, litra f), i forordning 2016/679, eller i et andet af de i denne forordnings artikel 6, stk. 1, litra c), d) og e), anførte forhold.
Besvarelsen af det tredje til det femte præjudicielle spørgsmål
70. Sammenfattende foreslår jeg at besvare det tredje til det femte præjudicielle spørgsmål med, at artikel 6, stk. 1, litra b), c), d), e) og f), i forordning 2016/679 skal fortolkes således, at den omtvistede praksis eller visse af de aktiviteter, der udgør den, kan henhøre under de undtagelser, der er fastsat i disse bestemmelser, for så vidt som hver enkelt behandlingsform, der undersøges, opfylder de betingelser, der fremgår af den begrundelse, som den dataansvarlige konkret har anført, og følgelig for så vidt som:
– behandling er objektivt nødvendig for ydelsen af de tjenester, der er knyttet til Facebook-kontoen
– behandling er nødvendig for opfyldelse af en legitim interesse, som den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, har anført, og ikke påvirker den registreredes grundlæggende rettigheder og frihedsrettigheder uforholdsmæssigt
– behandling er nødvendig for at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger, for at bekæmpe skadelig adfærd og fremme sikkerheden eller af hensyn til forskning til gavn for samfundet samt for at fremme beskyttelse, integritet og sikkerhed.
Om det sjette præjudicielle spørgsmål
71. Med det sjette præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679 skal fortolkes således, at der kan gives et gyldigt og frivilligt samtykke som omhandlet i denne forordnings artikel 4, nr. 11), over for en virksomhed, der er markedsdominerende på det nationale marked for sociale onlinenetværk for private brugere.
72. Jeg erindrer indledningsvis om, at artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679 fastsætter en forpligtelse til samtykke fra den registrerede for så vidt angår henholdsvis behandling af personoplysninger i almindelighed og behandling af følsomme personoplysninger. Derudover fremgår det af artikel 4, nr. 11), i forordning 2016/679, at der i denne forordning ved »samtykke« fra den registrerede forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling (95).
73. For så vidt nærmere bestemt angår betingelsen om, at samtykke skal være givet »frit«, hvilket er den eneste betingelse, der er rejst tvivl om i den foreliggende sag, noterer jeg, at samtykke i henhold til 42. betragtning til forordning 2016/679 ikke bør anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg (96) eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende (97). Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige desuden – som det fremgår af artikel 7, stk. 1, i forordning 2016/679 (og som der mindes om i 42. betragtning hertil) – kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
74. Med henblik på, hvad der er relevant for den foreliggende sag, erindrer jeg først om, at samtykke, således som det fremhæves i første punktum i 43. betragtning til forordning 2016/679, ikke udgør et gyldigt retsgrundlag for behandling af personoplysninger, hvis der er en »klar skævhed« mellem den registrerede og den dataansvarlige (98), dernæst om, at der ifølge ordlyden af artikel 7, stk. 4, i forordning 2016/679 ved vurdering af, om samtykke er givet frit, tages størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt (99), og endelig om, at samtykke i henhold til andet punktum i 43. betragtning til forordning 2016/679 formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde (100).
75. I den foreliggende sag er jeg af den opfattelse, at det forhold, at en virksomhed, der er ansvarlig for behandling af personoplysninger, og som driver et socialt netværk, eventuelt er markedsdominerende, er af betydning for vurderingen af, om der foreligger et frivilligt samtykke fra brugeren af dette netværk. Når der foreligger en situation, hvor en virksomhed, der er ansvarlig for behandling af personoplysninger, har en stærk markedsposition, vil dette nemlig kunne medføre en klar skævhed af styrkeforholdet som omhandlet i punkt 74 i dette forslag til afgørelse (101). Det skal ikke desto mindre præciseres dels, at en sådan situation, hvor en virksomhed har en stærk markedsposition, for at være relevant i forhold til anvendelsen af forordning 2016/679, ikke nødvendigvis skal sidestilles med tærsklen for en dominerende stilling som omhandlet i artikel 102 TEUF (102), dels, at alene denne omstændighed principielt ikke kan berøve et samtykke enhver gyldighed (103).
76. Følgelig skal gyldigheden af et samtykke undersøges i det enkelte tilfælde på baggrund af de øvrige forhold, der er anført i punkt 73 og 74 i dette forslag til afgørelse, og henset til alle sagens omstændigheder samt henset til, at det påhviler den dataansvarlige at påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
77. Sammenfattende foreslår jeg at besvare det sjette præjudicielle spørgsmål med, at artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679 skal fortolkes således, at alene den omstændighed, at en virksomhed, der driver et socialt netværk, er markedsdominerende på det nationale marked for sociale onlinenetværk for private brugere, ikke i sig selv kan berøve det samtykke, som brugeren af dette netværk har givet til behandling af sine personoplysninger, dets gyldighed som omhandlet i artikel 4, nr. 11), i forordning 2016/679. En sådan omstændighed er ikke desto mindre af betydning ved vurderingen af, om samtykket er frivilligt som omhandlet i denne bestemmelse, hvilket det påhviler den dataansvarlige at bevise, idet der efter omstændighederne skal tages hensyn til for det første en eventuel klar skævhed i styrkeforholdet mellem den registrerede og den dataansvarlige, for det andet en eventuel forpligtelse til at samtykke til behandling af personoplysninger ud over oplysninger, der er strengt nødvendige for ydelsen af de pågældende tjenester, for det tredje kravet om, at samtykket skal være specifikt for hvert formål med behandling, og for det fjerde kravet om, at tilbagetrækning af samtykket ikke må medføre skade for den bruger, der trækker sit samtykke tilbage.
Forslag til afgørelse
78. Henset til ovenstående betragtninger foreslår jeg Domstolen at besvare de af Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland) forelagte præjudicielle spørgsmål således:
»1) Artikel 51-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
skal fortolkes således, at
en konkurrencemyndighed som led i sine beføjelser som omhandlet i konkurrencereglerne ved en mellemafgørelse kan undersøge, om den undersøgte praksis er i overensstemmelse med reglerne i denne forordning, idet den skal tage hensyn til enhver afgørelse eller undersøgelse fra den i henhold til nævnte forordning kompetente tilsynsmyndighed og skal underrette den nationale tilsynsmyndighed og efter omstændighederne rådslå sig med denne.
2) Artikel 9, stk. 1, i forordning 2016/679
skal fortolkes således, at
forbud mod behandling af følsomme personoplysninger kan omfatte en behandling af oplysninger, der foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger fra en bruger, når denne besøger andre websteder eller apps eller indtaster disse oplysninger på disse websteder eller apps, sammenstilling af nævnte oplysninger med brugerkontoen for det sociale netværk og anvendelse af oplysningerne, forudsat at de oplysninger, der behandles – individuelt betragtet eller sammenført – muliggør profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse.
Denne forordnings artikel 9, stk. 2, litra e)
skal fortolkes således, at
en bruger ikke tydeligvis har offentliggjort oplysningerne, når oplysningerne afgives ved besøg på websteder og apps eller indtastes eller følger af tryk på knapper på disse websteder eller apps.
3) Artikel 6, stk. 1, litra b), c), d), e) og f), i forordning 2016/679
skal fortolkes således, at
en praksis, som består i for det første indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps eller gennem cookies indsat på brugerens computer eller mobile terminaludstyr, for det andet sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto og for det tredje anvendelse af de nævnte oplysninger eller visse af de aktiviteter, der udgør denne praksis, kan henhøre under de undtagelser, der er fastsat i disse bestemmelser, for så vidt som hver enkelt behandlingsform, der undersøges, opfylder de betingelser, der fremgår af den begrundelse, som den dataansvarlige konkret har anført, og følgelig for så vidt som:
– behandling er objektivt nødvendig for ydelsen af de tjenester, der er knyttet til Facebook-kontoen
– behandling er nødvendig for opfyldelse af en legitim interesse, som den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, har anført, og ikke påvirker den registreredes grundlæggende rettigheder og frihedsrettigheder uforholdsmæssigt
– behandling er nødvendig for at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger, for at bekæmpe skadelig adfærd og fremme sikkerheden eller af hensyn til forskning til gavn for samfundet samt for at fremme beskyttelse, integritet og sikkerhed.
4) Artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679
skal fortolkes således, at:
Den omstændighed alene, at en virksomhed, der driver et socialt netværk, er markedsdominerende på det nationale marked for sociale onlinenetværk for private brugere, kan ikke i sig selv berøve det samtykke, som brugeren af dette netværk har givet til behandling af sine personoplysninger, dets gyldighed som omhandlet i denne forordnings artikel 4, nr. 11). En sådan omstændighed er ikke desto mindre af betydning ved vurderingen af, om samtykket er frivilligt som omhandlet i denne bestemmelse, hvilket det påhviler den dataansvarlige at bevise, idet der efter omstændighederne skal tages hensyn til for det første en eventuel klar skævhed i styrkeforholdet mellem den registrerede og den dataansvarlige, for det andet en eventuel forpligtelse til at samtykke til behandling af personoplysninger ud over oplysninger, der er strengt nødvendige for ydelsen af de pågældende tjenester, for det tredje kravet om, at samtykket skal være specifikt for hvert formål med behandling, og for det fjerde kravet om, at tilbagetrækning af samtykket ikke må medføre skade for den bruger, der trækker sit samtykke tilbage.«