DOMSTOLENS DOM (Store Afdeling)
4. juli 2023 (*)
Indhold
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – sociale onlinenetværk – misbrug af dominerende stilling af operatøren af et sådant netværk – misbrug, som består i den behandling af personoplysninger om netværkets brugere, der er fastsat i de almindelige betingelser for anvendelsen heraf – beføjelser for en konkurrencemyndighed i en medlemsstat til at fastslå, at denne behandling er i strid med forordningen – forbindelse med kompetencerne for de nationale myndigheder, der fører tilsyn med beskyttelse af personoplysninger – artikel 4, stk. 3, TEU – princippet om loyalt samarbejde – artikel 6, stk. 1, første afsnit, litra a)-f), i forordning 2016/679 – lovlig behandling – artikel 9, stk. 1 og 2 – behandling af særlige kategorier af personoplysninger – artikel 4, nr. 11) – begrebet »samtykke««
I sag C-252/21,
angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland) ved afgørelse af 24. marts 2021, indgået til Domstolen den 22. april 2021, i sagen
Meta Platforms Inc., tidligere Facebook Inc.,
Meta Platforms Ireland Ltd, tidligere Facebook Ireland Ltd,
Facebook Deutschland GmbH
mod
Bundeskartellamt,
procesdeltager:
Verbraucherzentrale Bundesverband eV,
har
DOMSTOLEN (Store Afdeling),
sammensat af præsidenten, K. Lenaerts, vicepræsidenten, L. Bay Larsen, afdelingsformændene A. Prechal, K. Jürimäe, C. Lycourgos, M. Safjan, L.S. Rossi (refererende dommer), D. Gratsias og M.L. Arastey Sahún og dommerne J.-C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec, Z. Csehi og O. Spineanu-Matei,
generaladvokat: A. Rantos,
justitssekretær: kontorchef D. Dittert,
på grundlag af den skriftlige forhandling og efter retsmødet den 10. maj 2022,
efter at der er afgivet indlæg af:
– Meta Platforms Inc., tidligere Facebook Inc., Meta Platforms Ireland Ltd, tidligere Facebook Ireland Ltd, og Facebook Deutschland GmbH ved Rechtsanwälte M. Braun, M. Esser, L. Hesse, J. Höft og H.-G. Kamann,
– Bundeskartellamt ved J. Nothdurft, K. Ost, , I. Sewczyk og J. Topel, som befuldmægtigede,
– Verbraucherzentrale Bundesverband eV ved Rechtsanwalt S. Louven,
– den tyske regering ved J. Möller og P.-L. Krüger, som befuldmægtigede,
– den tjekkiske regering ved M. Smolek og J. Vláčil, som befuldmægtigede,
– den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocati dello Stato E. De Bonis og P. Gentili,
– den østrigske regering ved A. Posch, J. Schmoll og G. Kunnert, som befuldmægtigede,
– Europa-Kommissionen ved F. Erlbacher, H. Kranenborg og G. Meessen, som befuldmægtigede,
og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 20. september 2022,
afsagt følgende
Dom
1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 4, stk. 3, TEU samt artikel 6, stk. 1, artikel 9, stk. 1 og 2, artikel 51, stk. 1, og artikel 56, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2, herefter »databeskyttelsesforordningen«).
2 Denne anmodning er blevet indgivet i forbindelse med en tvist mellem på den ene side Meta Platforms Inc., tidligere Facebook Inc., Meta Platforms Ireland Ltd, tidligere Facebook Ireland Ltd, og Facebook Deutschland GmbH og på den anden side Bundeskartellamt (forbundskonkurrencemyndighed, Tyskland) vedrørende sidstnævntes beslutning om at forbyde selskaberne den behandling af visse personoplysninger, som foreskrives i de almindelige betingelser for anvendelsen af det sociale netværk Facebook (herefter »de almindelige betingelser«).
Retsforskrifter
EU-retten
Forordning (EF) nr. 1/2003
3 Artikel 5 i Rådets forordning (EF) nr. 1/2003 af 16. december 2002 om gennemførelse af konkurrencereglerne i [artikel 101 TEUF] og [102 TEUF] (EFT 2003, L 1, s. 1) med overskriften »De nationale konkurrencemyndigheders kompetence« bestemmer:
»Medlemsstaternes konkurrencemyndigheder er beføjede til at anvende [artikel 101 EUF] og [102 TEUF] i konkrete sager. I denne forbindelse kan de enten på eget initiativ eller på grundlag af en klage vedtage følgende beslutninger:
– påbyde, at en overtrædelse skal bringes til ophør
– træffe foreløbige forholdsregler
– acceptere tilsagn
– pålægge bøder, tvangsbøder eller andre former for sanktioner, der er fastsat i deres nationale ret.
Når det på grundlag af de oplysninger, de er i besiddelse af, følger, at betingelserne for et forbud ikke er opfyldt, kan de tillige beslutte, at der ikke er nogen grund til, at de griber ind.«
Databeskyttelsesforordningen
4 Følgende fremgår af 1., 4., 38., 42., 43., 46., 47., 49. og 51. betragtning til databeskyttelsesforordningen:
»(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) og i artikel 16, stk. 1, [TEUF] fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.
[…]
(4) Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit, til samvittigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksomhed, adgang til effektive retsmidler og til en retfærdig rettergang og kulturel, religiøs og sproglig mangfoldighed.
[…]
(38) Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår behandling af personoplysninger. En sådan særlig beskyttelse bør navnlig gælde for brug af børns personoplysninger med henblik på markedsføring eller til at oprette personligheds- eller brugerprofiler og indsamling af personoplysninger vedrørende børn, når de anvender tjenester, der tilbydes direkte til et barn. Samtykke fra indehaveren af forældremyndigheden er ikke nødvendigt, når det drejer sig om forebyggende eller rådgivende tjenester, der tilbydes direkte til et barn. Samtykke fra indehaveren af forældremyndigheden er ikke nødvendigt, når det drejer sig om forebyggende eller rådgivende tjenester, der tilbydes direkte til et barn.
[…]
(42) Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen. […] For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende.
(43) Med henblik på at sikre, at der frivilligt er givet samtykke, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation. Samtykke formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde, eller hvis opfyldelsen af en kontrakt, herunder ydelsen af en tjeneste, gøres afhængig af samtykke, selv om et sådant samtykke ikke er nødvendigt for dennes opfyldelse.
[…]
(46) Behandling af personoplysninger, der er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden fysisk persons liv, bør ligeledes anses for lovlig. Behandling af personoplysninger på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Nogle typer behandling kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når behandling er nødvendig af humanitære årsager, herunder med henblik på at overvåge epidemier og deres spredning eller i humanitære nødsituationer, navnlig i tilfælde af naturkatastrofer og menneskeskabte katastrofer.
(47) En dataansvarligs legitime interesser, herunder en dataansvarlig, som personoplysninger kan videregives til, eller en tredjemands legitime interesser kan udgøre et retsgrundlag for behandling, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor under hensyntagen til registreredes rimelige forventninger på grundlag af deres forhold til den dataansvarlige. […] I alle tilfælde kræver tilstedeværelsen af en legitim interesse en nøje vurdering, herunder af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at behandling med dette formål kan finde sted. Den registreredes interesser og grundlæggende rettigheder kan navnlig gå forud for den dataansvarliges interesser, hvis personoplysninger behandles under omstændigheder, hvor registrerede ikke med rimelighed forventer viderebehandling. […] Behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse.
[…]
(49) Behandling af personoplysninger i det omfang, det er strengt nødvendigt og forholdsmæssigt for at sikre net- og informationssikkerhed, dvs. et nets eller et informationssystems evne til på et givet sikkerhedsniveau at kunne modstå utilsigtede hændelser eller ulovlige eller ondsindede handlinger, som kompromitterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af opbevarede eller transmitterede personoplysninger, og sikkerheden ved hermed forbundne tjenester udbudt af eller tilgængelige via sådanne net og systemer, […] udgør en legitim interesse for den berørte dataansvarlige.
[…]
(51) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandling af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Disse personoplysninger bør omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket »race« i denne forordning ikke betyder, at [Den Europæiske Union] accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, eftersom de kun vil være omfattet af definitionen af biometriske data, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig identifikation eller autentifikation af en fysisk person. Sådanne personoplysninger bør ikke behandles, medmindre behandling er tilladt i specifikke tilfælde, der er fastsat i denne forordning, under hensyntagen til at medlemsstaternes nationale ret kan fastsætte specifikke bestemmelser om databeskyttelse for at tilpasse anvendelsen af reglerne i denne forordning med henblik på overholdelse af en retlig forpligtelse eller udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Foruden de specifikke krav til sådan behandling bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkelig gives mulighed for undtagelser fra det generelle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at muliggøre udøvelse af grundlæggende frihedsrettigheder.«
5 Denne forordnings artikel 4 fastsætter:
»I denne forordning forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); […]
2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse
[…]
7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
[…]
11) »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling
[…]
23) »grænseoverskridende behandling«:
a) behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvarligs eller en databehandlers virksomheder i mere end én medlemsstat i Unionen, hvor den dataansvarlige eller databehandleren er etableret i mere end én medlemsstat, eller
b) behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvarligs eller en databehandlers eneste etablering i Unionen, men som i væsentlig grad påvirker eller sandsynligvis i væsentlig grad vil kunne påvirke registrerede i mere end én medlemsstat
[…]«
6 Nævnte forordnings artikel 5 med overskriften »Principper for behandling af personoplysninger« bestemmer følgende i stk. 1 og 2:
»1. Personoplysninger skal:
a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; […]
c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
[…]
2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«
7 Forordningens artikel 6 med overskriften »Lovlig behandling« er affattet således:
»1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
d) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.
[…]
3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
a) EU-retten, eller
b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
[…]
[…] EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.«
8 Databeskyttelsesforordningens artikel 7 med overskriften »Betingelser for samtykke« bestemmer:
»1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
[…]
4. Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.«
9 Denne forordnings artikel 9 med overskriften »Behandling af særlige kategorier af personoplysninger« fastsætter:
»1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.
2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:
a) Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.
[…]
e) Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.
f) Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol.
[…]«
10 Nævnte forordnings artikel 13 vedrørende »[o]plysningspligt ved indsamling af personoplysninger hos den registrerede« bestemmer følgende i stk. 1:
»Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:
[…]
c) formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen
d) de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
[…]«
11 Databeskyttelsesforordningens kapitel VI vedrørende »[u]afhængige tilsynsmyndigheder« indeholder forordningens artikel 51-59.
12 Nævnte forordnings artikel 51 med overskriften »Tilsynsmyndighed« fastsætter i stk. 1 og 2:
»1. Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen […]
2. Hver enkelt tilsynsmyndighed bidrager til ensartet anvendelse af denne forordning i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med [Europa-]Kommissionen i henhold til kapitel VII.«
13 Forordningens artikel 55 med overskriften »Definitioner« har følgende ordlyd:
»1. Hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.
2. Hvis behandling foretages af offentlige myndigheder eller af private organer, der handler på grundlag af artikel 6, stk. 1, litra c) eller e), er tilsynsmyndigheden i den pågældende medlemsstat kompetent. I så fald finder artikel 56 ikke anvendelse.«
14 Databeskyttelsesforordningens artikel 56 med overskriften »Den ledende tilsynsmyndigheds kompetence« bestemmer følgende i stk. 1:
»Uden at det berører artikel 55 er tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering kompetent til at fungere som ledende tilsynsmyndighed for den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler efter proceduren i artikel 60.«
15 Denne forordnings artikel 57, der har overskriften »Opgaver«, fastsætter følgende i stk. 1:
»Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:
a) føre tilsyn med og håndhæve anvendelsen af denne forordning
[…]
g) samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning
[…]«
16 I nævnte forordnings artikel 58 fastsættes i stk. 1 listen over de undersøgelsesbeføjelser, som hver tilsynsmyndighede har, og det præciseres i denne artikels stk. 5, at »[h]ver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning«.
17 Databeskyttelsesforordningens afdeling 1, der har overskriften »Samarbejde«, i denne forordnings kapitel VII med overskriften »Samarbejde og sammenhæng«, indeholder forordningens artikel 60-62. Artikel 60 vedrørende »samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder« bestemmer følgende i stk. 1:
»Den ledende tilsynsmyndighed samarbejder i henhold til denne artikel med de andre berørte tilsynsmyndigheder med henblik på at nå til enighed. Den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder udveksler alle relevante oplysninger med hinanden.«
18 Databeskyttelsesforordningens artikel 61 med overskriften »Gensidig bistand« fastsætter i stk. 1:
»Tilsynsmyndighederne udveksler relevante oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelser og høringer, inspektioner og undersøgelser.«
19 Forordningens artikel 62 med overskriften »Tilsynsmyndigheders fælles aktiviteter« foreskriver følgende i stk. 1 og 2:
»1. Hvis det er hensigtsmæssigt, gennemfører tilsynsmyndighederne fælles aktiviteter, herunder fælles undersøgelses- og håndhævelsesforanstaltninger, som medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i.
2. Hvis den dataansvarlige eller databehandleren har etableringer i flere medlemsstater, eller hvor et betydeligt antal registrerede i mere end én medlemsstat sandsynligvis påvirkes i væsentlig grad af behandlingsaktiviteter, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles aktiviteter. […]«
20 Databeskyttelsesforordningens afdeling 2 med overskriften »Sammenhæng« i kapitel VII indeholder forordningens artikel 63-67. Artikel 63 med overskriften »Sammenhængsmekanisme« har følgende ordlyd:
»Med henblik på at bidrage til en ensartet anvendelse af denne forordning i hele Unionen samarbejder tilsynsmyndighederne med hinanden og, hvis det er relevant, med Kommissionen gennem den sammenhængsmekanisme, der er omhandlet i denne afdeling.«
21 Forordningens artikel 64, stk. 2, er affattet således:
»En tilsynsmyndighed, formanden for [Det Europæiske Databeskyttelsesråd] eller Kommissionen kan kræve, at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af [Det Europæiske Databeskyttelsesråd] med henblik på en udtalelse, navnlig hvis en kompetent tilsynsmyndighed ikke opfylder forpligtelserne vedrørende gensidig bistand, jf. artikel 61, eller vedrørende fælles aktiviteter, jf. artikel 62.«
22 Nævnte forordnings artikel 65 med overskriften »Tvistbilæggelse ved Databeskyttelsesrådet« bestemmer i stk. 1:
»Med henblik på at sikre korrekt og konsekvent anvendelse af denne forordning i hvert enkelt tilfælde vedtager [Det Europæiske Databeskyttelsesråd] en bindende afgørelse i følgende tilfælde:
a) [H]vis en berørt tilsynsmyndighed i et tilfælde som omhandlet i artikel 60, stk. 4, er fremkommet med en relevant og begrundet indsigelse mod et udkast til afgørelse udarbejdet af den ledende tilsynsmyndighed, og den ledende tilsynsmyndighed ikke har fulgt indsigelsen eller har afvist en sådan indsigelse som værende uden relevans eller ubegrundet. Den bindende afgørelse skal vedrøre alle spørgsmål, der er genstand for den relevante og begrundede indsigelse, navnlig hvorvidt denne forordning er overtrådt.
b) [H]vis der er uenighed om, hvilken af de berørte tilsynsmyndigheder der er kompetent med hensyn til hovedvirksomheden.
[…]«
Tysk ret
23 § 19, stk. 1, i Gesetz gegen Wettbewerbsbeschränkungen (lov om bekæmpelse af konkurrencebegrænsninger) i den udgave, der blev offentliggjort den 26. juni 2013 (BGBl. 2013 I, s. 1750, 3245), senest ændret ved artikel 2 i lov af 16.7.2021 (BGBl. 2021 I, s. 2959) (herefter »GWB«), bestemmer:
»En eller flere virksomheders misbrug af en dominerende stilling på et marked er forbudt.«
24 GWB’s § 32, stk. 1, har følgende ordlyd:
»Konkurrencemyndigheden kan pålægge virksomheder eller sammenslutninger af virksomheder at bringe en overtrædelse af en bestemmelse i denne del eller af artikel 101 eller 102 i traktaten om Den Europæiske Unions funktionsmåde til ophør.«
25 GWB’s § 50f fastsætter følgende i stk. 1:
»Konkurrencemyndigheder, reguleringsmyndigheder, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit [(forbundstilsynsførende for databeskyttelse og informationsfrihed)], Landesbeauftragte für Datenschutz [(delstatstilsynsførende for databeskyttelse)] og kompetente myndigheder som omhandlet i § 2 i EU-Verbraucherschutzdurchführungsgesetz [(lov om gennemførelse af EU-forbrugerbeskyttelsesretten)] kan, uafhængigt af den valgte procedure, udveksle oplysninger indbyrdes, herunder personoplysninger og handels- og forretningshemmeligheder, for så vidt som dette er nødvendigt for opfyldelse af deres respektive opgaver, samt anvende disse oplysninger inden for rammerne af deres procedurer. […]«
Tvisten i hovedsagen og de præjudicielle spørgsmål
26 Meta Platforms Ireland driver i Unionen det sociale onlinenetværk Facebook og udbyder bl.a. på adressen www.facebook.com tjenester, som er gratis for private brugere. Andre virksomheder i Meta-koncernen udbyder i Den Europæiske Union andre onlinetjenester, herunder Instagram, WhatsApp, Oculus og – indtil den 13. marts 2020 – Masquerade.
27 Den økonomiske model for det sociale onlinenetværk Facebook er baseret på onlinereklamefinansiering, som er tilpasset den individuelle bruger af det sociale netværk, bl.a. på baggrund af vedkommendes forbrugsmønster, interesser, købekraft og livssituation. En sådan reklametype er gjort teknisk mulig ved den automatiske oprettelse af detaljerede profiler for brugerne af netværket og af de onlinetjenester, som Meta-koncernen tilbyder. Til dette formål indsamles – ud over de oplysninger, som brugerne afgiver direkte i forbindelse med deres registrering hos de pågældende onlinetjenester – ligeledes andre oplysninger om nævnte brugere og deres enheder inden for og uden for det sociale netværk og de onlinetjenester, som Meta-koncernen udbyder, og forbindes til brugerens forskellige konti. Disse oplysningers samlede indhold gør det muligt at drage detaljerede konklusioner vedrørende brugernes præferencer og interesser.
28 Med henblik på behandling af de nævnte oplysninger baserer Meta Platforms Ireland sig på den brugskontrakt, som koncernen indgår med det sociale netværk Facebooks brugere, når nævnte brugere trykker på knappen »Opret ny profil«, hvorved de accepterer dette selskabs almindelige betingelser. Samtykke til disse betingelser er nødvendig for at kunne anvende det sociale netværk Facebook. Med hensyn til behandling af personoplysninger henvises der i de almindelige betingelser til den af nævnte selskab fastlagte datapolitik og politik om cookies. I henhold til disse indsamler Meta Platforms Ireland oplysninger om brugerne og deres enheder vedrørende brugernes aktiviteter inden for og uden for det sociale netværk og tilknytter dem til de pågældende brugeres Facebook-konti. Hvad angår de sidstnævnte oplysninger vedrørende brugernes aktiviteter uden for det sociale netværk (herefter også »off Facebook-oplysningerne«) er der dels tale om oplysninger om besøg på tredjeparters websteder og anvendelse af disses applikationer, som er forbundet med Facebook gennem programmeringsgrænseflader – »Facebook Business Tools« – dels oplysninger om brug af andre onlinetjenester, der tilhører Meta-koncernen, herunder Instagram, WhatsApp, Oculus og – indtil den 13. marts 2020 – Masquerade.
29 Forbundskonkurrencemyndigheden indledte en procedure i forhold til Meta Platforms, Meta Platforms Ireland og Facebook Deutschland, ved afslutningen af hvilken den ved afgørelse af 6. februar 2019 i henhold til GWB’s § 19, stk. 1, og § 32 i det væsentlige pålagde selskaberne et forbud mod i de almindelige betingelser at gøre de tysk bosiddende brugeres anvendelse af det sociale netværk Facebook betinget af behandlingen af deres off Facebook-oplysninger og mod uden brugernes samtykke at behandle disse oplysninger på grundlag af de dagældende almindelige betingelser. Forbundskonkurrencemyndigheden pålagde endvidere selskaberne at tilpasse deres almindelige betingelser, således at det klart fremgår heraf, at de nævnte oplysninger hverken indsamles, tilknyttes brugernes Facebook-konti eller anvendes uden den pågældende brugers samtykke, og præciserede den omstændighed, at et sådant samtykke ikke er gyldigt, når det er en betingelse for anvendelsen af det sociale netværk.
30 Forbundskonkurrencemyndigheden begrundede sin afgørelse med, at behandlingen af brugernes oplysninger, således som den var fastsat i de almindelige betingelser og gennemført af Meta Platforms Ireland, udgjorde misbrug af selskabets dominerende stilling på markedet for sociale onlinenetværk for private brugere i Tyskland som omhandlet i GWB’s § 19, stk. 1. Forbundskonkurrencemyndigheden anførte navnlig, at disse almindelige betingelser, for så vidt som de udsprang af denne dominerende stilling, var urimelige, eftersom den behandling af off Facebook-oplysningerne, som betingelserne fastsatte, ikke var i overensstemmelse med de værdier, som databeskyttelsesforordningen er bygget på, og navnlig ikke kunne være begrundet i lyset af denne forordnings artikel 6, stk. 1, og artikel 9, stk. 2.
31 Den 11. februar 2019 har Meta Platforms, Meta Platforms Ireland og Facebook Deutschland anlagt søgsmål til prøvelse af afgørelsen fra Forbundskonkurrencemyndigheden ved Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland).
32 Den 31. juli 2019 indførte Meta Platforms Ireland nye almindelige betingelser, hvoraf det udtrykkeligt fremgår, at brugeren i stedet for at betale for brugen af Facebook-produkterne afgiver samtykke til visning af annoncer.
33 Siden den 28. januar 2020 har Meta Platforms i hele verden desuden tilbudt den såkaldte »Off-Facebook-Activity«, hvormed det sociale netværk Facebooks brugere kan modtage et sammendrag af de oplysninger, som vedrører dem, og som Meta får om deres aktiviteter på andre websteder og applikationer, og efter ønske adskille disse oplysninger fra deres Facebook.com-konto, både historisk og i fremtiden.
34 Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf) nærer for det første tvivl om de nationale konkurrencemyndigheders mulighed for som led i udøvelsen af deres beføjelser at kontrollere, om behandlingen af personoplysninger er i overensstemmelse med kravene efter databeskyttelsesforordningen, for det andet om muligheden for en operatør af et socialt onlinenetværk for at behandle den registreredes følsomme personoplysninger som omhandlet i forordningens artikel 9, stk. 1 og 2, for det tredje om det er lovligt for en sådan operatør at behandle den pågældende brugers personoplysninger i henhold til nævnte forordnings artikel 6, stk. 1, og for det fjerde om et samtykke, som afgives med henblik på en sådan behandling til en virksomhed, der har en dominerende stilling på det nationale marked for sociale onlinenetværk, er lovligt i lyset af samme forordnings artikel 6, stk. 1, første afsnit, litra a), og artikel 9, stk. 2, litra a).
35 På denne baggrund har Oberlandesgericht Düsseldorf (den regionale ret i første instans i Düsseldorf), eftersom den finder, at afgørelsen af tvisten i hovedsagen afhænger af besvarelsen spørgsmålene, besluttet af udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) a) Er [databeskyttelsesforordningens] artikel 51 ff. […] til hinder for, at en national kartelmyndighed i en medlemsstat, såsom [Forbundskonkurrencemyndigheden], der ikke er tilsynsmyndighed som omhandlet [denne forordnings] artikel 51 ff. […], og i hvilken medlemsstat en virksomhed med hjemsted uden for Den Europæiske Union har en etablering, der inden for markedsføring, kommunikation og PR bistår denne virksomheds hovedvirksomhed, som er beliggende i en anden medlemsstat, og som har eneansvaret for behandlingen af personoplysninger på hele Den Europæiske Unions område, for det [konkurrenceretlige] misbrugstilsyn fastslår, at hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger og gennemførelsen heraf udgør en tilsidesættelse af [databeskyttelsesforordningen], og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør?
b) Såfremt dette spørgsmål besvares bekræftende: Er artikel 4, stk. 3, TEU til hinder herfor, når den ledende tilsynsmyndighed i den medlemsstat, hvor hovedvirksomheden er beliggende, som omhandlet [i databeskyttelsesforordningens] artikel 56, stk. 1, […] samtidig underkaster hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?
Såfremt det første spørgsmål besvares bekræftende:
2) a) Udgør det forhold, at en internetbruger enten kun besøger eller også indtaster informationer, f.eks. ved registrering eller bestillinger, på websteder eller apps, der vedrører kriterierne i [databeskyttelsesforordningens] artikel 9, stk. 1, […], såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder, og en […] virksomhed såsom [Meta Platforms] Ireland gennem grænseflader på disse websteder eller i disse apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr indsamler oplysninger om brugerens besøg på disse websteder og apps og om de informationer, som brugeren har indtastet, sammenstiller disse oplysninger med oplysningerne om brugerens Facebook.com-konto og anvender dem, behandling af følsomme oplysninger i [denne bestemmelses] forstand for så vidt angår indsamlingen og/eller sammenstillingen og/eller anvendelsen?
b) Såfremt dette spørgsmål besvares bekræftende: Indebærer besøg på disse websteder og apps og/eller indtastning af informationer og/eller tryk på knapper på disse websteder eller apps (»sociale plugins« såsom »synes godt om«, »del« eller »Facebook login« eller »account kit«) fra en udbyder som Meta Platforms Ireland, at brugeren i kraft af selve besøget og/eller indtastningen tydeligvis har offentliggjort oplysningerne som omhandlet i [databeskyttelsesforordningens] artikel 9, stk. 2, litra e) […]?
3) Kan en virksomhed som [Meta Platforms] Ireland, der driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter, påberåbe sig den begrundelse, at behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt som omhandlet i [databeskyttelsesforordningens] artikel 6, stk. 1, litra b), […], eller er nødvendig for at forfølge en legitim interesse som omhandlet i [denne forordnings] artikel 6, stk. 1, litra f), […], når den med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.com-konto og anvender dem?
4) Kan også
– det forhold, at brugerne er mindreårige, af hensyn til persontilpasning af indhold og markedsføring, produktforbedring, netværkssikkerhed og ikke-markedsføringsmæssig kommunikation med brugeren,
– levering af målinger, analyser og øvrige virksomhedsservices til markedsføringskunder, udviklere og øvrige partnere, således at disse kan evaluere og forbedre deres ydelser,
– levering af marketingkommunikation med brugeren, således at virksomheden kan forbedre sine produkter og gennemføre direct marketing,
– forskning og innovation til gavn for samfundet med henblik på at fremme niveauet for teknologiske fremskridt eller den videnskabelige forståelse vedrørende vigtige sociale emner og at øve positiv indflydelse på samfundet og verden,
– det forhold, at der gives oplysninger til retshåndhævende myndigheder og besvares juridiske anmodninger med henblik på at forhindre, opklare og retsforfølge strafbare handlinger, ulovlig brug, tilsidesættelser af tjenestevilkårene og politikkerne og andre former for skadelig adfærd,
i en sådan situation udgøre en legitim interesse som omhandlet i [databeskyttelsesforordningens] artikel 6, stk. 1, litra f), […], når virksomheden med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.com-konto og anvender dem?
5) Kan indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstilling med brugerens Facebook.com-konto og anvendelse heraf eller anvendelse af oplysninger, der allerede i anden sammenhæng er blevet indsamlet og sammenstillet lovligt, i en sådan situation i specifikke tilfælde også være begrundet i henhold til [databeskyttelsesforordningens] artikel 6, stk. 1, litra c), d) og e), […] med henblik på f.eks. at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger [litra c)], at bekæmpe skadelig adfærd og fremme sikkerheden [litra d)] eller af hensyn til forskning til gavn for samfundet og til fremme af beskyttelse, integritet og sikkerhed [litra e)]?
6) Kan der gives et gyldigt og navnlig i henhold til [databeskyttelsesforordningens] artikel 4, nr. 11), […] frivilligt samtykke som omhandlet i [denne forordnings] artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), […] over for en markedsdominerende virksomhed som [Meta Platforms] Ireland?
Såfremt det første spørgsmål besvares benægtende:
7) a) Kan en national kartelmyndighed i en medlemsstat såsom [Forbundskonkurrencemyndigheden], som ikke er tilsynsmyndighed som omhandlet i [databeskyttelsesforordningens] artikel 51 ff. […], og som vurderer, om en markedsdominerende virksomhed har tilsidesat det [konkurrenceretlige] forbud mod misbrug, idet denne tilsidesættelse ikke består i, at virksomhedens betingelser for behandling af oplysninger og gennemførelsen heraf tilsidesætter [nævnte] forordning […], f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt denne virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med [databeskyttelsesforordningen]?
b) Såfremt dette spørgsmål besvares bekræftende: Gælder dette henset til artikel 4, stk. 3, TEU også, når den ledende tilsynsmyndighed som omhandlet i [databeskyttelsesforordningens] artikel 56, stk. 1, […] samtidig underkaster denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?
Såfremt det syvende spørgsmål besvares bekræftende, er det nødvendigt at besvare det tredje til det femte spørgsmål med hensyn til oplysninger fra brugen af koncernens tjeneste Instagram.«
Om de præjudicielle spørgsmål
Det første og det syvende spørgsmål
36 Med det første og det syvende spørgsmål, som skal undersøges samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 51 ff. skal fortolkes således, at en medlemsstats konkurrencemyndighed som led i undersøgelsen af en virksomheds misbrug af dominerende stilling som omhandlet i artikel 102 TEUF kan fastslå, at denne virksomheds almindelige brugerbetingelser vedrørende behandlingen af personoplysninger og gennemførelsen heraf ikke er i overensstemmelse med databeskyttelsesforordningen, og i bekræftende fald om artikel 4, stk. 3, TEU skal fortolkes således, at konkurrencemyndigheden ligeledes kan foretage en sådan indirekte konstatering, når disse betingelser samtidig er underkastet en undersøgelsesprocedure af den ledende kompetente tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 56, stk. 1.
37 Med henblik på besvarelsen af dette spørgsmål skal det indledningsvis bemærkes, at databeskyttelsesforordningens artikel 55, stk. 1, indfører kompetencen for hver tilsynsmyndighed til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område (dom af 15.6.2021, Facebook Ireland m.fl., C-645/19, EU:C:2021:483, præmis 47 og den deri nævnte retspraksis).
38 De opgaver, som tilsynsmyndighederne er pålagt, omfatter tilsyn med og håndhæve anvendelsen af databeskyttelsesforordningen, som er fastsat i denne forordnings artikel 51, stk. 1, og artikel 57, stk. 1, litra a), med henblik på at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af deres personoplysninger og for at lette den frie udveksling af personoplysninger i Unionen. Det fremgår endvidere af nævnte forordnings artikel 51, stk. 2, og artikel 57, stk. 1, litra g), at de nævnte tilsynsmyndigheder samarbejder med hinanden, herunder gennem udveksling af oplysninger og gensidig bistand med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning.
39 Med henblik på udførelsen af disse opgaver tillægger databeskyttelsesforordningens artikel 58 ved stk. 1 nævnte tilsynsmyndigheder undersøgelsesbeføjelser, ved stk. 2 beføjelser til at vedtage korrigerende foranstaltninger og ved stk. 5 beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller deltage i retssager med henblik på at håndhæve denne forordning.
40 Uden at det berører kompetencereglen i databeskyttelsesforordningens artikel 55, stk. 1, fastsætter denne forordnings artikel 56, stk. 1, med hensyn til grænseoverskridende behandlinger som omhandlet i forordningens artikel 4, nr. 23), en mekanisme for ét kontaktpunkt, der er baseret på en kompetencefordeling mellem en »ledende tilsynsmyndighed« og de øvrige berørte tilsynsmyndigheder samt på et samarbejde mellem alle disse myndigheder i overensstemmelse med samarbejdsproceduren i nævnte forordnings artikel 60.
41 I øvrigt forpligter databeskyttelsesforordningens artikel 61, stk. 1, tilsynsmyndighederne til bl.a. at udveksle relevante oplysninger og yde hinanden gensidig bistand med henblik på at gennemføre og anvende samme forordning på en ensartet måde i hele Unionen. Nævnte forordnings artikel 63 præciserer, at det er til dette formål, at den i samme forordnings artikel 64 og 65 omhandlede sammenhængsmekanisme er fastsat (dom af 15.6.2021, Facebook Ireland m.fl., C-645/19, EU:C:2021:483, præmis 52 og den deri nævnte retspraksis).
42 Når dette er sagt, skal det bemærkes, at samarbejdsreglerne i databeskyttelsesforordningen ikke er rettet til de nationale konkurrencemyndigheder, men regulerer samarbejdet mellem de berørte nationale tilsynsmyndigheder og den ledende tilsynsmyndighed samt eventuelt samarbejdet mellem på denne side disse myndigheder og på den anden side Det Europæiske Databeskyttelsesråd og Kommissionen.
43 Hverken databeskyttelsesforordningen eller noget andet EU-retligt instrument fastsætter nemlig specifikke regler med hensyn til samarbejdet mellem den nationale konkurrencemyndighed og de pågældende tilsynsmyndigheder eller den ledende tilsynsmyndighed. Der er desuden ingen bestemmelse i denne forordning, der forbyder de nationale konkurrencemyndigheder som led i udøvelsen af deres opgaver at fastslå, at en behandling af personoplysninger, som en dominerende virksomhed har foretaget, og som kan udgøre misbrug af en denne stilling, er i strid med nævnte forordning.
44 For det første skal det i denne henseende præciseres, at de nationale tilsynsmyndigheder og de nationale konkurrencemyndigheder har forskellige funktioner og forfølger deres egne formål og opgaver.
45 På den ene side er den væsentligste opgave for tilsynsmyndigheden, således som det er anført i denne doms præmis 38, i medfør af databeskyttelsesforordningens artikel 51, stk. 1 og 2, og artikel 57, stk. 1, litra a) og g), at føre tilsyn med og håndhæve anvendelsen af denne forordning, idet den bidrager til, at forordningen anvendes på en ensartet måde i hele Unionen, med henblik på at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af deres personoplysninger og for at lette den frie udveksling af personoplysninger i Unionen. Som det er anført i denne doms præmis 39, har tilsynsmyndigheden de forskellige beføjelser, som den er tillagt i henhold til databeskyttelsesforordningens artikel 58.
46 På den anden side fremgår det af artikel 5 i forordning nr. 1/2003, at de nationale kompetente konkurrencemyndigheder er beføjede til bl.a. at vedtage afgørelser, hvorved det fastslås, at en virksomhed har misbrugt en dominerende stilling som omhandlet i artikel 102 TEUF, hvis formål er at oprette en ordning, der sikrer, at konkurrencevilkårene ikke fordrejes på det indre marked, ligeledes henset til konsekvenserne af et sådant misbrug for forbrugerne på dette marked.
47 Som generaladvokaten i det væsentlige har anført i punkt 23 i forslaget til afgørelse, skal en konkurrencemyndighed ved vedtagelsen af en sådan afgørelse på grundlag af alle de konkrete omstændigheder i sagen vurdere, om den dominerende virksomheds adfærd bevirker, at den med anvendelse af andre midler end dem, der regulerer en normal konkurrence på varer eller tjenesteydelser, skaber hindringer for opretholdelsen af den grad af konkurrence, der stadig findes på markedet, eller for udviklingen af denne konkurrence (jf. i denne retning dom af 25.3.2021, Deutsche Telekom mod Kommissionen, C-152/19 P, EU:C:2021:238, præmis 41 og 42). I denne henseende kan spørgsmålet, om en sådan adfærd er forenelig med databeskyttelsesforordningens bestemmelser, eventuelt udgøre et væsentligt indicium blandt de relevante omstændigheder i sagen med henblik på at afgøre, om denne adfærd udgør anvendelse af midler, der regulerer den normale konkurrence, samt med henblik på at vurdere følgerne af en bestemt praksis på markedet for forbrugerne.
48 Det følger heraf, at den pågældende medlemsstats konkurrencemyndighed i forbindelse med undersøgelsen af en virksomheds misbrug af dominerende stilling kan finde det nødvendigt ligeledes at undersøge, om virksomhedens adfærd er i overensstemmelse med andre regler end konkurrencereglerne, såsom databeskyttelsesforordningens regler om beskyttelse af personoplysninger.
49 Henset til de forskellige formål, der forfølges med henholdsvis konkurrencereglerne, navnlig artikel 102 TEUF, og reglerne om beskyttelse af personoplysninger i henhold til databeskyttelsesforordningen, skal det fastslås, at når en national konkurrencemyndighed opdager en tilsidesættelse af denne forordning som led i konstateringen af et misbrug af dominerende stilling, erstatter den ikke tilsynsmyndighederne. En sådan national konkurrencemyndighed fører navnlig hverken tilsyn med eller håndhæver, at denne forordning anvendes med formålet i forordningens artikel 51, stk. 1, dvs. for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette den frie udveksling af personoplysninger i Unionen. Eftersom en sådan myndighed blot undersøger, om behandlingen af personoplysninger er forenelig med databeskyttelsesforordningen, alene med henblik på at fastslå et misbrug af dominerende stilling, og idet den pålægger foranstaltninger til at bringe dette misbrug til ophør i henhold til et retsgrundlag i konkurrenceretten, udøver denne myndighed ingen af opgaverne i denne forordnings artikel 57, ligesom den heller ikke anvender de beføjelser, som er forbeholdt tilsynsmyndigheden i henhold til nævnte forordningens artikel 58.
50 Det skal endvidere fastslås, at adgangen til personoplysninger og udnyttelsen heraf har stor betydning i den digitale økonomi. I tvisten i hovedsagen ses denne betydning ved den økonomiske model, som det sociale netværk Facebook er støttet på, hvori der, således som det er anført i denne doms præmis 27, foreskrives finansiering ved markedsføring af personligt tilpassede reklamebeskeder på baggrund af brugerens profiler udarbejdet på grundlag af de af Meta Platforms Ireland indsamlede personoplysninger.
51 Som Kommissionen bl.a. har fremhævet, er adgangen til personoplysninger og muligheden for behandling af disse oplysninger blevet et væsentligt parameter i konkurrencen mellem virksomhederne i den digitale økonomi. Såfremt reglerne for beskyttelse af personoplysninger udelukkes fra den retlige ramme, som konkurrencemyndighederne skal tage i betragtning, når de undersøger misbrug af dominerende stilling, ses der dermed bort fra virkeligheden i den økonomiske udvikling, og den effektive virkning af konkurrenceretten inden for Unionen vil kunne påvirkes.
52 For det andet skal det imidlertid bemærkes, at såfremt en national konkurrencemyndighed finder det nødvendigt som led i en afgørelse om misbrug af dominerende stilling at tage stilling til spørgsmålet, om den omhandlede virksomheds behandling af personoplysninger er forenelig med databeskyttelsesforordningen, skal denne myndighed og den pågældende tilsynsmyndighed eller i givet fald den kompetente ledende tilsynsmyndighed som omhandlet i denne forordning samarbejde indbyrdes for at sikre en sammenhængende anvendelse af forordningen.
53 Selv om hverken databeskyttelsesforordningen eller andre retlige instrumenter i EU-retten, således som det er anført i denne doms præmis 42 og 43, fastsætter specifikke regler i denne henseende, forholder det sig nemlig alligevel sådan, således som generaladvokaten i det væsentlige har anført i punkt 28 i forslaget til afgørelse, at de forskellige involverede nationale myndigheder, når de anvender databeskyttelsesforordningen, er forpligtede af princippet om loyalt samarbejde fastsat i artikel 4, stk. 3, TEU. I medfør af dette princip skal medlemsstaterne, herunder deres administrative myndigheder, på alle områder af EU-retten i overensstemmelse med fast retspraksis bistå hinanden ved gennemførelsen af de opgaver, der følger af traktaterne, med fuld gensidig respekt, træffe alle foranstaltninger for at sikre opfyldelsen af de forpligtelser, der følger af bl.a. retsakter vedtaget af EU-institutionerne, og afholde sig fra at træffe foranstaltninger, der kan bringe virkeliggørelsen af Unionens mål i fare (jf. i denne retning dom af 7.11.2013, UPC Nederland, C-518/11, EU:C:2013:709, præmis 59, og af 1.8.2022, Sea Watch, C-14/21 og C-15/21, EU:C:2022:604, præmis 156).
54 Henset til dette princip skal de nationale konkurrencemyndigheder, når de som led i udøvelsen af deres beføjelser skal undersøge, om en virksomheds adfærd er i overensstemmelse med databeskyttelsesforordningen, således koordinere og samarbejde loyalt med de pågældende nationale tilsynsmyndigheder eller med den ledende tilsynsmyndighed, idet samtlige disse myndigheder i denne forbindelse har pligt til at respektere hinandens respektive beføjelser og kompetencer, således at forpligtelserne i henhold til databeskyttelsesforordningen og formålene med denne forordning overholdes, og den effektive virkning heraf sikres.
55 En konkurrencemyndigheds undersøgelse af en virksomheds adfærd i lyset af databeskyttelsesforordningen kan nemlig indebære en risiko for, at denne myndighed og tilsynsmyndighederne fortolker denne forordning forskelligt.
56 Det følger heraf, at når en national konkurrencemyndighed som led i en undersøgelse med henblik på konstatering af en virksomheds misbrug af dominerende stilling som omhandlet i artikel 102 TEUF finder det nødvendigt at undersøge, om denne virksomheds adfærd er lovlig i lyset af databeskyttelsesforordningens bestemmelser, skal nævnte myndighed efterprøve, om denne adfærd eller en tilsvarende adfærd allerede har været genstand for en afgørelse fra den kompetente nationale tilsynsmyndighed, den ledende tilsynsmyndighed eller endda Domstolen. Såfremt dette er tilfældet, kan den nationale konkurrencemyndighed ikke afvige herfra, alt imens den frit kan drage sine egne konklusioner ud fra anvendelsen af konkurrenceretten.
57 Når den nationale konkurrencemyndighed nærer tvivl om rækkevidden af den vurdering, som den kompetente nationale tilsynsmyndighed eller den ledende tilsynsmyndighed har foretaget, når den pågældende adfærd eller en tilsvarende adfærd samtidig undersøges af disse myndigheder, eller når konkurrencemyndigheden, såfremt de sidstnævnte myndigheder ikke har foretaget en sådan undersøgelse, finder, at en virksomheds adfærd er i strid med databeskyttelsesforordningens bestemmelser, skal denne konkurrencemyndighed høre disse myndigheder og anmode om deres samarbejde for at fjerne tvivlen eller for at afgøre, om der er grundlag for at afvente den pågældende tilsynsmyndigheds vedtagelse af en afgørelse, inden den foretager sin egen vurdering.
58 Når tilsynsmyndigheden modtager en anmodning fra en national konkurrencemyndighed, skal den for sin del besvare denne anmodning om oplysninger eller samarbejde inden for en rimelig frist, idet den meddeler konkurrencemyndigheden de oplysninger, den råder over, som kan afklare denne myndigheds tvivl om rækkevidden af tilsynsmyndighedens vurdering, eller idet den eventuelt meddeler den nationale konkurrencemyndighed, om den påtænker at indlede samarbejdsproceduren med andre berørte tilsynsmyndigheder eller med den ledende tilsynsmyndighed i overensstemmelse med databeskyttelsesforordningens artikel 60 ff., for at nå til en afgørelse af, om den pågældende adfærd er i overensstemmelse med denne forordning.
59 Såfremt den adspurgte tilsynsmyndighed ikke svarer inden for en rimelig frist, kan den nationale konkurrencemyndighed fortsætte sin egen undersøgelse. Det forholder sig på samme måde, når den kompetente nationale tilsynsmyndighed og den ledende tilsynsmyndighed ikke fremsætter indsigelse mod, at en sådan undersøgelse fortsættes, uden at en deres afgørelse afventes.
60 I det foreliggende tilfælde fremgår det af sagsakterne for Domstolen, at forbundskonkurrencemyndigheden i oktober og november 2018, dvs. inden vedtagelsen af afgørelsen af 6. februar 2019, kontaktede Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (forbundskommissæren for databeskyttelse og informationsfrihed, Tyskland), Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (kommissæren for databeskyttelse og informationsfrihed u Hamborg, Tyskland), som havde kompetence i forhold til Facebook Deutschland, samt Data Protection Commission (DPC) (databeskyttelsesmyndighed, Irland) for at underrette disse myndigheder om sin intervention. Det ses desuden, at forbundskonkurrencemyndigheden modtog bekræftelse på, at de nævnte myndigheder på daværende tidspunkt ikke gennemførte undersøgelser vedrørende faktiske omstændigheder svarende til de i hovedsagen omhandlede, og disse myndigheder fremsatte ingen indsigelse vedrørende denne konkurrencemyndigheds intervention. I punkt 555 og 556 i afgørelsen af 6. februar 2019 henviste forbundskonkurrencemyndigheden udtrykkeligt til dette samarbejde.
61 På denne baggrund og med forbehold for den efterprøvelse, som det tilkommer den forelæggende ret at foretage, ses forbundskonkurrencemyndigheden at have opfyldt sine forpligtelser til loyalt samarbejde med de pågældende nationale tilsynsmyndigheder og med den ledende tilsynsmyndighed.
62 Henset til det ovenstående skal det første og det syvende spørgsmål besvares med, at databeskyttelsesforordningens artikel 51 ff. og artikel 4, stk. 3, TEU skal fortolkes således, at med forbehold for overholdelse af pligten til loyalt samarbejde med tilsynsmyndighederne kan en medlemsstats konkurrencemyndighed som led i undersøgelsen af en virksomheds misbrug af dominerende stilling som omhandlet i artikel 102 TEUF fastslå, at denne virksomheds almindelige brugerbetingelser vedrørende behandlingen af personoplysninger og gennemførelsen heraf ikke er i overensstemmelse med databeskyttelsesforordningen, når denne konstatering er nødvendig for at påvise et sådant misbrug.
63 I lyset af denne pligt til loyalt samarbejde kan den nationale konkurrencemyndighed ikke fravige en afgørelse fra den kompetente nationale tilsynsmyndighed eller den ledende tilsynsmyndighed om disse almindelige betingelser eller tilsvarende almindelige betingelser. Når den nationale konkurrencemyndighed nærer tvivl om rækkevidden af en sådan afgørelse, når nævnte betingelser eller tilsvarende betingelser samtidig undersøges af disse myndigheder, eller når konkurrencemyndigheden, såfremt de sidstnævnte myndigheder ikke har foretaget en sådan undersøgelse, finder, at de pågældende betingelser er i strid med databeskyttelsesforordningens bestemmelser, skal denne konkurrencemyndighed høre disse myndigheder og anmode om deres samarbejde for at fjerne tvivlen eller for at afgøre, om der er grundlag for at afvente deres vedtagelse af en afgørelse, inden den foretager sin egen vurdering. Såfremt disse myndigheder ikke fremsætter indsigelse eller ikke svarer inden for en rimelig frist, kan den nationale konkurrencemyndighed fortsætte sin egen undersøgelse.
Det andet spørgsmål
64 Med det andet spørgsmål, litra a), ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 9, stk. 1, skal fortolkes således, at såfremt en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer, der vedrører en eller flere af de i denne bestemmelse omhandlede kategorier, og eventuelt indtaster oplysninger heri ved at oprette en profil eller foretage onlinebestillinger, skal den behandling af personoplysninger, som operatøren af dette sociale onlinenetværk foretager, og som består i indsamling af oplysninger fra besøg på disse websteder eller anvendelse af disse applikationer samt de af brugeren indtastede oplysninger gennem grænseflader, cookies eller lignende lagringsteknologier, sammenstilling af samtlige disse oplysninger med brugerens konto på det sociale netværk og operatørens anvendelse af nævnte oplysninger, anses for at udgøre »behandling af særlige kategorier af personoplysninger« som omhandlet i denne bestemmelse, hvilket principielt er forbudt med forbehold for undtagelserne i denne forordnings artikel 9, stk. 2.
65 Såfremt dette spørgsmål besvares bekræftende, ønsker den forelæggende ret med det andet spørgsmål, litra b), nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 9, stk. 2, litra e), skal fortolkes således, at når en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer, der har forbindelse med de kategorier, der er opregnet i databeskyttelsesforordningens artikel 9, stk. 1, indtaster oplysninger på disse sider eller trykker på valgknapper på disse sider, såsom knapperne »synes godt om« eller »del« eller på knapper, som giver brugeren mulighed for at identificere sig på disse sider eller applikationer ved anvendelse af de loginoplysninger, som er knyttet til vedkommendes brugerkonto på det sociale onlinenetværk, telefonnummer eller e-mailadresse, anses vedkommende for som omhandlet i den førstnævnte bestemmelse at have offentliggjort de oplysninger, som operatøren af det sociale onlinenetværk ved denne lejlighed har indsamlet gennem cookies eller lignende lagringsteknologier.
Det andet spørgsmål, litra a)
66 Det fremgår af 51. betragtning til databeskyttelsesforordningen, at personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandling af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Det præciseres i denne betragtning, at sådanne personoplysninger ikke bør behandles, medmindre behandling er tilladt i specifikke tilfælde, der er fastsat i denne forordning.
67 I denne forbindelse fastsætter databeskyttelsesforordningens artikel 9, stk. 1, princippet om forbud mod behandling af de heri omtalte særlige kategorier af personoplysninger. Der er bl.a. tale om oplysninger, som afslører den fysiske persons race eller etniske oprindelse, politiske holdninger og religiøse overbevisning samt oplysninger om vedkommendes helbred, seksuelle forhold eller seksuelle orientering.
68 Med henblik på anvendelse af databeskyttelsesforordningens artikel 9, stk. 1, skal det i tilfælde af, at operatøren af et socialt onlinenetværk behandler personoplysninger, efterprøves, om disse oplysninger kan afsløre oplysninger, som henhører under en af de i denne bestemmelse omhandlede kategorier, uanset om disse oplysninger vedrører brugeren af netværket eller enhver anden fysisk person. I bekræftende fald er behandlingen af personoplysninger følgelig forbudt med forbehold for undtagelserne i databeskyttelsesforordningens artikel 9, stk. 2.
69 Som generaladvokaten i det væsentlige har anført i punkt 40 og 41 i forslaget til afgørelse, er dette principielle forbud, der er fastsat i databeskyttelsesforordningens artikel 9, stk. 1, uafhængigt af, om de oplysninger, der afsløres ved den pågældende behandling, er korrekte eller ej, og om den dataansvarlige handler med henblik på at opnå oplysninger, som henhører under en af de særlige kategorier, der er omhandlet i denne bestemmelse.
70 Henset til de betydelige risici for de pågældende personers grundlæggende rettigheder og frihedsrettigheder, som enhver behandling af personoplysninger omfattet af de i databeskyttelsesforordningens artikel 9, stk. 1, omhandlede kategorier bevirker, har denne bestemmelse til formål at forbyde denne behandling uafhængigt af det anførte formål hermed.
71 I det foreliggende tilfælde består den i hovedsagen omhandlede behandling, som Meta Platforms Ireland har foretaget, indledningsvis i indsamling af personoplysninger fra brugerne af det sociale netværk Facebook, når disse brugere besøger websteder eller anvender applikationer – herunder personoplysninger, der kan afsløre oplysninger, som henhører under en eller flere af de i databeskyttelsesforordningens artikel 9, stk. 1, omhandlede kategorier – og i givet faldt indtaster oplysninger på disse ved at registrere sig eller foretage onlinebestillinger, dernæst i sammenstillingen af disse oplysninger med brugernes konto på det sociale netværk og endelig i anvendelse af nævnte oplysninger.
72 Det tilkommer i denne henseende den forelæggende ret at afgøre, om de herved indsamlede oplysninger i sig selv eller ved sammenstillingen heraf med de pågældende brugeres Facebook-konti faktisk gør det muligt at afsløre sådanne oplysninger, uanset om oplysningerne vedrører brugeren af dette netværk eller enhver anden fysisk person. Henset til den forelæggende rets tvivl skal det præciseres, at det med forbehold for den efterprøvelse, som denne ret skal foretage, ses, at behandlingen af oplysninger om besøg på de pågældende websteder eller anvendelse af disse applikationer i visse tilfælde kan afsløre sådanne oplysninger, uden at de nævnte brugere indtaster oplysninger på disse ved at oprette en profil eller foretage onlinebestillinger.
73 Henset til det ovenstående skal det andet spørgsmål, litra a), besvares med, at databeskyttelsesforordningens artikel 9, stk. 1, skal fortolkes således, at såfremt en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af de i denne bestemmelse omhandlede kategorier, og eventuelt indtaster oplysninger heri ved at oprette en profil eller foretage onlinebestillinger, skal den behandling af personoplysninger, som operatøren af dette sociale onlinenetværk foretager, og som består i indsamling af oplysninger fra besøg på disse websteder eller anvendelse af disse applikationer samt de af brugeren indtastede oplysninger gennem grænseflader, cookies eller lignende lagringsteknologier, sammenstilling af samtlige disse oplysninger med brugerens konto på det sociale netværk og operatørens anvendelse af nævnte oplysninger, anses for at udgøre »behandling af særlige kategorier af personoplysninger« som omhandlet i denne bestemmelse, hvilket principielt er forbudt med forbehold for undtagelserne i denne forordnings artikel 9, stk. 2, når denne behandling af oplysninger kan afsløre oplysninger, der er omfattet af en af disse kategorier, uanset om oplysningerne vedrører en bruger af dette netværk eller enhver anden fysisk person.
Det andet spørgsmål, litra b)
74 Med hensyn til det andet spørgsmål, litra b), således som det er omformuleret i denne doms præmis 65, om undtagelsen i databeskyttelsesforordningens artikel 9, stk. 2, litra e), skal det bemærkes, at det følger af denne bestemmelse, at det i artikel 9, stk. 1, fastsatte principielle forbud mod enhver behandling af særlige kategorier af personoplysninger ikke finder anvendelse, såfremt behandlingen vedrører personoplysninger, som »tydeligvis er offentliggjort af den registrerede«.
75 For det første skal det indledningsvis bemærkes, at denne undtagelse alene gælder for oplysninger, der tydeligvis er offentliggjort »af den registrerede«. Undtagelsen gælder således ikke for oplysninger om andre personer end dem, der har offentliggjort disse oplysninger.
76 For det andet skal databeskyttelsesforordningens artikel 9, stk. 2, for så vidt som den fastsætter en undtagelse til det principielle forbud mod behandling af særlige kategorier af personoplysninger, fortolkes indskrænkende (jf. i denne retning dom af 17.9.2014, Baltic Agro, C-3/13, EU:C:2014:2227, præmis 24 og den deri nævnte retspraksis, og af 6.6.2019, Weil, C-361/18, EU:C:2019:473, præmis 43 og den deri nævnte retspraksis).
77 Det følger heraf, at med henblik på anvendelsen af undtagelsen i databeskyttelsesforordningens artikel 9, stk. 2, litra e), skal det efterprøves, om den registrerede udtrykkeligt og ved en klar bekræftelse har haft til hensigt at offentliggøre de omhandlede personoplysninger.
78 Hvad angår besøg på websteder eller anvendelse af applikationer i forbindelse med en eller flere af de kategorier, der er omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, skal det fastslås, at den pågældende bruger ved disse besøg på ingen måde har haft til hensigt at offentliggøre den omstændighed, at vedkommende har besøgt disse websteder eller anvendt applikationer og de oplysninger om dette besøg, som kan knyttes til personen. Denne bruger kan nemlig maksimalt forvente, at forvalteren af webstedet eller applikationen har adgang til disse oplysninger, og at den pågældende eventuelt og med forbehold for brugerens udtrykkelige samtykke deler disse med bestemte tredjeparter og ikke med offentligheden.
79 Det kan således ikke af brugerens blotte besøg på sådanne websteder eller anvendelse af applikationer udledes, at nævnte personoplysninger tydeligvis er offentliggjort af brugeren som omhandlet i databeskyttelsesforordningens artikel 9, stk. 2, litra e).
80 Med hensyn til handlinger, som består i at indtaste oplysninger på de nævnte websteder eller applikationer og trykke på valgknapper på disse, såsom knapperne »synes godt om«, »del«, eller på knapper, som giver brugeren mulighed for at identificere sig på et websted eller en applikation ved anvendelse af de loginoplysninger, som er tilknyttet vedkommendes Facebook-konto, telefonnummer eller e-mailadresse, skal det bemærkes, at disse handlinger indebærer interaktion mellem brugeren og det pågældende websted eller applikationen og eventuelt det sociale onlinenetværks websted, i hvilken interaktion formerne for reklame kan variere, alt efter om de kan være genstand for nævnte brugers individuelle tilpasning.
81 På denne baggrund påhviler det den forelæggende ret at efterprøve, om de pågældende brugere har mulighed for på grundlag af en tilpasning, der foretages med fuldt kendskab til sagen, at gøre de oplysninger, som indtastes på de pågældende websteder eller applikationer, samt oplysninger fra tryk på valgknapper på disse tilgængelige for offentligheden eller tværtimod for et mere eller mindre begrænset antal udvalgte personer.
82 Når de pågældende brugere rent faktisk har et sådant valg, kan de, når de frivilligt indtaster oplysninger på et websted eller i en applikation eller trykker på valgknapper på disse, kun anses for tydeligvis at offentliggøre oplysninger om dem selv som omhandlet i databeskyttelsesforordningens artikel 9, stk. 2, litra e), når disse brugere på grundlag af en individuel tilpasning, der er foretaget med fuldt kendskab til sagen, klart har givet udtryk for deres valg om, at disse oplysninger offentliggøres for et ubegrænset antal personer, hvilket det påhviler den forelæggende ret at efterprøve.
83 Såfremt en sådan individuel tilpasning derimod ikke tilbydes, skal det, henset til det i denne doms præmis 77 anførte, fastslås, at når brugerne frivilligt indtaster oplysninger på et websted eller i en applikation eller trykker på knapper på disse, skal de for at kunne anses for tydeligvis at have offentliggjort disse oplysninger – udtrykkeligt og på grundlag af udtrykkelige oplysninger givet på dette websted eller denne applikation før en sådan indtastning eller et sådant tryk på en knap – have givet samtykke til, at nævnte oplysninger kan ses af alle, der har adgang til nævnte websted eller applikation.
84 Henset til det ovenstående skal det andet spørgsmål, litra b), besvares med, at databeskyttelsesforordningens artikel 9, stk. 2, litra e), skal fortolkes således, at når en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af de kategorier, der er omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, kan vedkommende ikke anses for tydeligvis at have offentliggjort de oplysninger om dette besøg, som operatøren af det sociale onlinenetværk har indsamlet gennem cookies eller lignende lagringsteknologier, som omhandlet i denne bestemmelse.
85 Når brugeren indtaster oplysninger på sådanne websteder eller applikationer eller trykker på valgknapper på disse websteder og applikationer, såsom knapperne »synes godt om«, »del«, eller på knapper, som giver brugeren mulighed for at identificere sig på disse websteder eller i disse applikationer ved anvendelse af de loginoplysninger, der er tilknyttet brugerens konto på det sociale netværk, telefonnummer eller e-mailadresse, kan en sådan bruger kun anses for tydeligvis at have offentliggjort de således indtastede oplysninger eller oplysninger fra tryk på disse knapper som omhandlet i artikel 9, stk. 2, litra e), når vedkommende udtrykkeligt på forhånd har tilkendegivet sit valg, eventuelt på grundlag af en personlig tilpasning, der er foretaget med fuldt kendskab til sagen, om at gøre oplysningerne om den pågældende offentligt tilgængelige for et ubegrænset antal personer.
Det tredje til det femte spørgsmål
86 Med det tredje og det fjerde spørgsmål, som skal undersøges samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om og på hvilke betingelser databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b) og f), skal fortolkes således, at den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, kan anses for at være nødvendig for at opfylde den kontrakt, som de pågældende personer er parter i som omhandlet i litra b), eller for de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand som omhandlet i litra f). Den forelæggende ret ønsker bl.a. oplyst, om visse interesser, som den udtrykkeligt har nævnt, med henblik herpå udgør en »legitim interesse« som omhandlet i sidstnævnte bestemmelse.
87 Med det femte spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c)-e), skal fortolkes således, at en sådan behandling af personoplysninger kan anses for at være nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige som omhandlet i litra c), for at beskytte den registreredes eller en anden fysisk persons vitale interesser som omhandlet i litra d) eller til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt som omhandlet i litra e), når nævnte behandling foretages henholdsvis med henblik på at besvare en retlig gyldig anmodning om visse oplysninger, med henblik på at bekæmpe skadelig adfærd og fremme sikkerheden og med henblik på forskning til gavn for samfundet og for at fremme beskyttelse, integritet og sikkerhed.
Indledende bemærkninger
88 For det første skal det indledningsvis bemærkes, at det tredje til det femte spørgsmål er forelagt, eftersom brugerne af det sociale netværk Facebook ifølge konstateringerne i afgørelsen af 6. februar 2019 truffet af forbundskonkurrencemyndigheden ikke kan anses for at have givet samtykke til den i hovedsagen omhandlede behandling af deres personoplysninger som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a), og artikel 9, stk. 2, litra a). Det er således i denne sammenhæng, at den forelæggende ret, samtidig med at den med det sjette spørgsmål har adspurgt Domstolen om denne forudsætning, har fundet, at det skal efterprøves, om denne behandling svarer til en af de andre betingelser for lovlighed, som er omhandlet i denne forordnings artikel 6, stk. 1, første afsnit, litra b)-f).
89 Det skal i denne henseende bemærkes, at den indsamling, sammenstilling og anvendelse af de oplysninger, som er omhandlet i det tredje til det femte spørgsmål, både kan omfatte følsomme oplysninger som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, og ikke-følsomme oplysninger. Det skal præciseres, at såfremt en helhed af oplysninger, der både omfatter følsomme oplysninger og ikke-følsomme oplysninger, er genstand for sådanne operationer og bl.a. er indsamlet i blokke, uden at oplysningerne kan adskilles fra hinanden under indsamlingen, skal behandlingen af denne helhed af oplysninger anses for at være forbudt som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, eftersom den i hvert fald indebærer én følsom oplysning, og ingen af undtagelserne i forordningens artikel 9, stk. 2, finder anvendelse.
90 For det andet skal det for at besvare det tredje til det femte spørgsmål bemærkes, at databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, fastsætter en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig. For at kunne anses for at være lovlig skal behandlingen således være omfattet af et af de tilfælde, som er omhandlet i denne bestemmelse (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 99 og den deri nævnte retspraksis).
91 I medfør af denne forordnings artikel 6, stk. 1, første afsnit, litra a), er behandling af personoplysninger lovlig, såfremt og i det omfang den registrerede har givet samtykke til et eller flere specifikke formål.
92 Når der ikke foreligger et sådant samtykke, eller når samtykket ikke er blevet givet frivilligt, specifikt, informeret og utvetydigt som omhandlet i databeskyttelsesforordningens artikel 4, nr. 11), er en sådan behandling alligevel begrundet, hvis den opfylder et af de krav om nødvendighed, der er omtalt i denne forordnings i artikel 6, stk. 1, første afsnit, litra b)-f).
93 I denne henseende skal de begrundelser, der er fastsat i sidstnævnte bestemmelse, fortolkes indskrænkende, for så vidt som de giver mulighed for at gøre en behandling af personoplysninger, som foretages uden den registreredes samtykke, lovlig (jf. i denne retning dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 73 og den deri nævnte retspraksis).
94 Som Domstolen har fastslået, er det, når det kan fastslås, at en behandling af personoplysninger er nødvendig i lyset af en af de begrundelser, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b)-f), endvidere ikke nødvendigt at afgøre, om denne behandling ligeledes henhører under en anden af disse begrundelser (jf. i denne retning dom af 1.8.2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, præmis 71).
95 Det skal endelig præciseres, at det følger af databeskyttelsesforordningens artikel 5, at den dataansvarlige skal bevise, at disse oplysninger bl.a. indsamles med de fastlagte udtrykkelige og legitime formål, og at de behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. I henhold til denne forordnings artikel 13, stk. 1, litra c), påhviler det endvidere den dataansvarlige, når personoplysningerne indsamles fra den registrerede, at oplyse vedkommende om formålene med den behandling, som disse oplysninger skal bruges til, og retsgrundlaget for behandlingen.
96 Selv om det tilkommer den forelæggende ret at afgøre, om de forskellige forhold ved den i hovedsagen omhandlede behandling er begrundet af en af nødvendighederne i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b)-f), kan Domstolen dog give denne ret nyttige oplysninger for at sætte den i stand til at afgøre den tvist, der er indbragt for den.
Det tredje og det fjerde spørgsmål
97 I første række bestemmer databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b), at behandling af personoplysninger er lovlig, når den er »nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt«.
98 I denne henseende skal behandlingen af personoplysninger, for at den kan anses for at være nødvendig af hensyn til opfyldelse af en kontrakt som omhandlet i denne bestemmelse, være objektivt uundværlig for at gennemføre et formål, som er en integrerende del af den kontraktlige ydelse til den registrerede. Den dataansvarlige skal således kunne påvise, på hvilken måde kontraktens hovedformål ikke vil kunne opfyldes uden den pågældende behandling.
99 Den omstændighed, at en sådan behandling omtales i en kontrakt, eller at den alene er nyttig med henblik på opfyldelsen heraf, er i sig selv uden betydning i denne henseende. Den afgørende faktor med henblik på anvendelsen af begrundelsen i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b), er, at den dataansvarliges behandling af personoplysninger er væsentlig for at kunne opfylde den kontrakt, som er indgået mellem denne og den registrerede, korrekt, og dermed at der ikke findes andre mulige og mindre indgribende løsninger.
100 Som generaladvokaten har anført i punkt 54 i forslaget til afgørelse, skal spørgsmålet om, hvorvidt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b), finder anvendelse, såfremt kontrakten består af flere særskilte tjenester eller aspekter af en tjeneste, der kan opfyldes uafhængigt af hinanden, vurderes særskilt inden for rammerne af hver enkelt af disse tjenester.
101 I det foreliggende tilfælde har den forelæggende ret i forbindelse med de begrundelser, der kan henhøre under anvendelsesområdet for denne bestemmelse, som aspekter, der skal sikre den passende opfyldelse af den kontrakt, som er indgået mellem Meta Platforms Ireland og brugerne, henvist til den personlige tilpasning af indhold og til den homogene og flydende anvendelse af Meta-koncernens tjenester.
102 For det første skal det med hensyn til begrundelsen udledt af den personlige tilpasning af indholdet bemærkes, at selv om en sådan personlig tilpasning er nyttig for brugeren, idet den giver vedkommende mulighed for bl.a. at se indhold, der i vidt omfang svarer til den pågældendes interesser, forholder det sig ikke desto mindre således, at den personlige tilpasning af indholdet – med forbehold for den efterprøvelse, som den forelæggende ret skal foretage – ikke ses at være nødvendig for at tilbyde brugeren det sociale onlinenetværks tjenester. Disse tjenester kan eventuelt leveres til vedkommende i form af et tilsvarende alternativ, som ikke indebærer en sådan personlig tilpasning, hvorfor denne tilpasning ikke er objektivt uundværlig for et formål, der er en integreret del af disse tjenester.
103 For det andet fremgår det med hensyn til begrundelsen om en homogen og flydende anvendelse af Meta-koncernens tjenester af sagsakterne for Domstolen, at en person ikke har pligt til at abonnere på de forskellige tjenester, som Meta-koncernen udbyder, for at kunne oprette en brugerkonto på det sociale netværk Facebook. De forskellige varer og tjenester, som koncernen udbyder, kan nemlig anvendes uafhængigt af hinanden, og anvendelsen af den enkelte vare eller tjeneste er baseret på indgåelsen af en særskilt brugskontrakt.
104 Med forbehold for den forelæggende rets efterprøvelse ses behandlingen af personoplysninger fra andre af Meta-koncernens tjenester end tjenesten med det sociale netværk ikke at være nødvendig for at kunne levere sidstnævnte tjeneste.
105 I anden række bestemmer databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), at behandling af personoplysninger er lovlig, når den er »nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn«.
106 Som Domstolen allerede har fastslået, fastsætter denne bestemmelse tre kumulative betingelser for, at en behandling af personoplysninger er lovlig, nemlig for det første, at den dataansvarlige eller en tredjemand forfølger en legitim interesse, for det andet, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse, og for det tredje betingelsen om, at den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder ikke går forud for den dataansvarliges eller tredjemands legitime interesse (dom af 17.6.2021, M.I.C.M., C-597/19, EU:C:2021:492, præmis 106 og den deri nævnte retspraksis).
107 For det første skal det med hensyn til betingelsen om, at der forfølges en legitim interesse, præciseres, at det følger af databeskyttelsesforordningens artikel 13, stk. 1, første afsnit, litra d), at det påhviler den dataansvarlige ved indsamlingen af personoplysninger hos den registrerede at oplyse den pågældende om de legitime interesser, som forfølges, hvis behandlingen er baseret på denne forordnings artikel 6, stk. 1, første afsnit, litra f).
108 For det andet indebærer betingelsen om, at behandlingen af personoplysninger er nødvendig for at virkeliggøre den forfulgte legitime interesse, at den forelæggende ret skal efterprøve, om den legitime interesse, som forfølges med behandlingen af personoplysninger, ikke med rimelighed kan beskyttes lige så effektivt ved andre midler, som er mindre indgribende i de registreredes grundlæggende friheder og rettigheder, navnlig retten til respekt for privatlivet og beskyttelse af personoplysninger som sikret ved chartrets artikel 7 og 8 (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 110 og den deri nævnte retspraksis).
109 Det skal i denne henseende ligeledes bemærkes, at betingelsen om behandlingens nødvendighed skal undersøges sammen med princippet om såkaldt »dataminimering« i databeskyttelsesforordningens artikel 5, stk. 1, litra c), hvorefter personoplysningerne skal være »tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles« (jf. i denne retning dom af 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, præmis 48).
110 For det tredje har Domstolen med hensyn til betingelsen om de interesser eller grundlæggende rettigheder og frihedsrettigheder, som tilkommer den person, der er omfattet af beskyttelsen af oplysninger, ikke går forud for den legitime interesse, som forfølges af den dataansvarlige eller tredjemand, allerede fastslået, at denne betingelse indebærer en afvejning af de pågældende modstående rettigheder og interesser, som principielt afhænger af de konkrete omstændigheder i det enkelte tilfælde, og at det følgelig tilkommer den forelæggende ret at foretage denne afvejning under hensyn til disse konkrete omstændigheder (dom af 17.6.2021, M.I.C.M., C-597/19, EU:C:2021:492, præmis 111 og den deri nævnte retspraksis).
111 Det fremgår i denne henseende af selve ordlyden af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), at der som led i en sådan afvejning skal tages særligt hensyn til den situation, hvor den registrerede er et barn. Ifølge 38. betragtning til denne forordning bør børn nemlig nyde særlig beskyttelse af behandlingen af deres personoplysninger, eftersom de ofte er mindre bevidste om de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår behandling af personoplysninger. En sådan særlig beskyttelse bør således navnlig gælde for behandling af børns personoplysninger med henblik på markedsføring eller til at oprette personligheds- eller brugerprofiler eller udbud af tjenester, der tilbydes direkte til børn.
112 Som det fremgår af 47. betragtning til databeskyttelsesforordningen, kan den registreredes interesser og grundlæggende rettigheder navnlig gå forud for den dataansvarliges interesser, når personoplysninger behandles under omstændigheder, hvor registrerede ikke med rimelighed forventer en sådan behandling.
113 I det foreliggende tilfælde har den forelæggende ret som led i de begrundelser, der kan henhøre under anvendelsesområdet for databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), henvist til, at reklamerne er personligt tilpassede, til netværkssikkerheden, forbedring af varen, oplysninger til de myndigheder, der har kompetence til at foretage strafforfølgning og ‑fuldbyrdelse, til den omstændighed, at brugeren er mindreårig, forskning og innovation med samfundsmæssige formål samt til udbuddet til annoncører og andre erhvervsmæssige partnere af tjenester med kommerciel kommunikation med brugeren og analyseværktøjer, der gør det muligt at vurdere deres præstationer.
114 Det skal i denne henseende indledningsvis bemærkes, at anmodningen om præjudiciel afgørelse ikke indeholder forklaringer, der gør det muligt at forstå, hvorledes forskning og innovation med samfundsmæssige formål eller den omstændighed, at brugeren er mindreårig, kan begrunde indsamling og udnyttelse af det pågældende oplysninger som legitime interesser som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f). Domstolen kan derfor ikke udtale sig herom.
115 For det første skal det med hensyn til den personlige tilpasning af reklamer bemærkes, at det fremgår af 47. betragtning til databeskyttelsesforordningen, at behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget for at opfylde den dataansvarliges legitime interesse.
116 Det kræves imidlertid ligeledes, at en sådan behandling er nødvendig for at opfylde denne interesse, og at den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder ikke går forud for en sådan interesse. I forbindelse med afvejningen af de pågældende modstridende rettigheder og interesser, dvs. henholdsvis den dataansvarliges og den registreredes rettigheder og interesser, skal der, således som det er anført i denne doms præmis 112, bl.a. tages hensyn til den registreredes rimelige forventninger samt til omfanget af den pågældende behandling og behandlingens indvirkning på denne person.
117 Det skal i denne henseende bemærkes, at selv om tjenesterne på et socialt onlinenetværk som Facebook er gratis, kan brugeren heraf ikke med rimelighed forvente, at operatøren af dette sociale netværk uden vedkommendes samtykke behandler denne brugers personoplysninger med henblik på personlig tilpasning af reklamer. På denne baggrund skal det fastslås, at en sådan brugers interesser og grundlæggende rettigheder går forud for denne operatørs interesse i en sådan personlig tilpasning af reklamer, hvorved operatøren finansierer sin virksomhed, hvorfor den pågældendes behandling med sådanne formål ikke kan henhøre under databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f).
118 Den i hovedsagen omhandlede behandling er endvidere særligt omfangsrig, eftersom den vedrører potentielt ubegrænsede oplysninger, og den har en betydelig indvirkning på brugeren, hvis onlineaktiviteter i vid udstrækning eller næsten fuldstændigt overvåges af Meta Platforms Ireland, hvilket hos brugeren kan skabe en følelse af konstant overvågning af vedkommendes privatliv.
119 For det andet udgør formålet med at sikre netværkssikkerheden, således som det fremgår af 49. betragtning til databeskyttelsesforordningen, en legitim interesse for Meta Platforms Ireland, som kan begrunde den i hovedsagen omhandlede behandling.
120 Med hensyn til, om denne behandling er nødvendig for at gennemføre denne legitime interesse, skal den forelæggende ret imidlertid efterprøve, om og i hvilket omfang behandlingen af personoplysninger indsamlet fra kilder uden for det sociale netværk Facebook rent faktisk er nødvendig for at sikre, at dette netværks interne sikkerhed ikke skades.
121 I denne sammenhæng skal den forelæggende ret, således som det er anført i denne doms præmis 108 og 109, ligeledes efterprøve, dels om den legitime interesse, som forfølges med behandlingen af personoplysninger, ikke med rimelighed kan beskyttes lige så effektivt ved andre midler, som er mindre indgribende i de registreredes grundlæggende friheder og rettigheder, navnlig retten til respekt for privatlivet og beskyttelse af personoplysninger som sikret ved chartrets artikel 7 og 8, dels om princippet om såkaldt »dataminimering«, som er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra c), er overholdt.
122 For det tredje kan det med hensyn til formålet om at forbedre varen ikke umiddelbart udelukkes, at den dataansvarliges interesse i at forbedre sin vare eller tjenesteydelse med henblik på at forbedre dens præstationer og således gøre den mere tiltrækkende kan udgøre en legitim interesse, der kan begrunde en behandling af personoplysninger, og at en sådan behandling kan være nødvendig for at forfølge denne interesse.
123 Med forbehold for den endelige vurdering, som i denne henseende skal foretages af den forelæggende ret, er det imidlertid tvivlsomt, om formålet om forbedring af varen med hensyn til den i hovedsagen omhandlede behandling af oplysninger – henset til behandlingens omfang og dens betydelige indvirkning på brugeren samt til den omstændighed, at brugeren ikke med rimelighed kan forvente, at Meta Platforms Ireland behandler disse oplysninger – kan gå forud for en sådan brugers interesser og grundlæggende rettigheder, navnlig når brugeren er et barn.
124 For det fjerde skal det med hensyn til det af den forelæggende ret anførte formål vedrørende oplysninger til de myndigheder, der har kompetence til strafforfølgning og ‑fuldbyrdelse, for at undgå, afsløre og forfølge overtrædelser, fastslås, at dette formål principielt ikke kan udgøre en legitim interesse, som forfølges af den dataansvarlige som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f). En privat operatør som Meta Platforms Ireland kan nemlig ikke påberåbe sig en sådan legitim interesse, der ligger uden for dens økonomiske og kommercielle virksomhed. Nævnte formål kan derimod begrunde en sådan operatørs behandling, når behandlingen er objektivt nødvendig for at overholde en retlig forpligtelse, som påhviler denne operatør.
125 Henset til samtlige ovenstående betragtninger skal det tredje og det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b), skal fortolkes således, at den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, kun kan anses for at være nødvendig for at opfylde den kontrakt, som de pågældende personer er parter i som omhandlet i denne bestemmelse, hvis denne behandling er objektivt uundværlig for at gennemføre et formål, som udgør en integrerende del af den kontraktlige ydelse til disse brugere, hvorfor kontraktens hovedformål ikke kan opnås uden denne behandling.
126 Databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), skal fortolkes således, at en sådan behandling kun kan anses for nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse som omhandlet i denne bestemmelse, på betingelse af, at nævnte operatør har oplyst de brugere, hos hvem oplysningerne er blevet indsamlet, om den legitime interesse, som forfølges med behandlingen heraf, at behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt for at gennemføre denne legitime interesse, og at det fremgår af en afvejning af de modstridende interesser, henset til samtlige relevante omstændigheder, at brugernes interesser og grundlæggende rettigheder og frihedsrettigheder ikke går forud for den dataansvarliges eller tredjemands nævnte legitime interesse.
Det femte spørgsmål
127 For det første skal det, for så vidt som dette spørgsmål vedrører databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c) og e), bemærkes, at i henhold til dette litra c) er behandlingen af personoplysninger lovlig, hvis den er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. I henhold til artikel dette litra e) er behandlingen ligeledes lovlig, når den er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
128 Databeskyttelsesforordningens artikel 6, stk. 3, præciserer bl.a. med hensyn til disse to tilfælde, hvor en behandling anses for at være lovlig, at behandlingen skal ske på grundlag af EU-retten eller lovgivningen i den medlemsstat, som den dataansvarlige er underlagt, og at dette retsgrundlag skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.
129 I det foreliggende tilfælde ønsker den forelæggende ret oplyst, om en behandling af personoplysninger som den i hovedsagen omhandlede kan anses for begrundet i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), når den tilsigter at »besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger«, og i henhold til denne forordnings artikel 6, stk. 1, første afsnit, litra e), når den sker med henblik på »forskning til gavn for samfundet« og for at »fremme beskyttelse, integritet og sikkerhed«.
130 Det skal imidlertid fastslås, at den forelæggende ret ikke har forelagt Domstolen oplysninger, som sætter den i stand til at tage konkret stilling hertil.
131 Det påhviler således den forelæggende ret, henset til de betingelser, der er nævnt i denne doms præmis 128, at efterprøve, om behandlingen kan anses for at være begrundet i de fremførte formål.
132 Henset til det i denne doms præmis 124 anførte tilkommer det navnlig denne med henblik på anvendelsen af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), at efterprøve, om Meta Platforms Ireland er pålagt en retlig forpligtelse til indsamling og opbevaring af personoplysninger som forebyggelsesforanstaltning med henblik på at kunne besvare enhver anmodning fra en national myndighed om indsamling af bestemte oplysninger om brugerne.
133 På samme måde skal den forelæggende ret, henset til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e), efterprøve, om Meta Platforms Ireland er blevet pålagt at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, navnlig med henblik på at sikre forskning til gavn for samfundet og fremme beskyttelse, integritet og sikkerhed, idet det præciseres, at det i lyset af, at selskabets virksomhed i det væsentlige er økonomisk og kommerciel, er usandsynligt, at denne private aktør er pålagt en sådan opgave.
134 Den forelæggende ret skal endvidere i givet fald efterprøve, om Meta Platforms Irelands behandling af personoplysninger og den betydelige indvirkning heraf på brugerne af det sociale netværk Facebook, henset til omfanget af denne behandling, er foretaget inden for rammerne af, hvad der er strengt nødvendigt.
135 For det andet bestemmer databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra d), at behandlingen af personoplysninger er lovlig, når den er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
136 Som det fremgår af 46. betragtning til denne forordning, vedrører denne bestemmelse en særlig situation, hvor behandlingen af personoplysninger er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden fysisk persons liv. I den nævnte betragtning nævnes bl.a. humanitære årsager, herunder overvågning af epidemier og deres spredning, samt naturkatastrofer og menneskeskabte katastrofer.
137 Det følger af disse eksempler og af den indskrænkende fortolkning, som skal anlægges for databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra d), at en operatør af et socialt onlinenetværk – henset til arten af de tjenester, som leveres af denne operatør, hvis virksomhed i det væsentlige er økonomisk og kommerciel – ikke kan påberåbe sig beskyttelsen af et hensyn af fundamental betydning for brugernes eller en anden fysisk persons liv i absolut henseende og på en rent abstrakt og forebyggende måde som begrundelse for, at en behandling af personoplysninger som den i hovedsagen omhandlede er lovlig.
138 Henset til samtlige ovenstående betragtninger skal det femte spørgsmål besvares med, at databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), skal fortolkes således, at den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, er begrundet, når den faktisk er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige i henhold til EU-retten eller lovgivningen i den pågældende medlemsstat, når dette retsgrundlag opfylder et formål i samfundets interesse og står i rimeligt forhold til det legitime mål, der forfølges, og behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt.
139 Databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra d) og e), skal fortolkes således, at en sådan behandling af personoplysninger i princippet og med forbehold for den efterprøvelse, som den forelæggende ret skal foretage, ikke kan anses for at være nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser som omhandlet i litra d) eller til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt som omhandlet i litra e).
Det sjette spørgsmål
140 Med det sjette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a), og artikel 9, stk. 2, litra a), skal fortolkes således, at et samtykke, som en bruger af et socialt onlinenetværk har afgivet til operatøren af et sådant netværk, kan anses for at opfylde de betingelser for gyldighed, der er fastsat i denne forordnings artikel 4, nr. 11), navnlig betingelsen om, at dette samtykke skal afgives frivilligt, når denne operatør har en dominerende stilling på markedet for sociale onlinenetværk.
141 I henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a), og artikel 9, stk. 2, litra a), kræves den registreredes samtykke henholdsvis med henblik på behandling af vedkommendes personoplysninger til et eller flere specifikke formål og med henblik på behandlingen af de særlige kategorier af oplysninger, der er omhandlet i artikel 9, stk. 1.
142 Databeskyttelsesforordningens artikel 4, nr. 11), definerer for sin del begrebet »samtykke« som »enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling«.
143 For det første skal det i lyset af den forelæggende rets tvivl bemærkes, at det følger af 42. betragtning til databeskyttelsesforordningen, at samtykke ikke bør anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende.
144 For det andet fremgår det af 43. betragtning til denne forordning, at med henblik på at sikre, at samtykke er givet frivilligt, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige. Det præciseres desuden i denne betragtning, at samtykke ikke formodes at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde.
145 For det tredje bestemmer databeskyttelsesforordningens artikel 7, stk. 4, at der ved vurderingen af, om samtykke er givet frit, tages størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.
146 Det er på grundlag af disse betragtninger, at det sjette spørgsmål skal besvares.
147 Det skal i denne henseende fastslås, at den omstændighed, at en operatør af et socialt onlinenetværk som dataansvarlig har en dominerende stilling på markedet for sociale onlinenetværk, ganske vist ikke som sådan er til hinder for, at brugerne af dette sociale netværk gyldigt kan give samtykke som omhandlet i databeskyttelsesforordningens artikel 4, nr. 11), til denne operatørs behandling af deres personoplysninger.
148 Det forholder sig imidlertid sådan, således som generaladvokaten i det væsentlige har anført i punkt 75 i forslaget til afgørelse, at der skal tages hensyn til en sådan omstændighed ved vurderingen af om, det af brugeren af nævnte netværk afgivne samtykke er gyldigt og navnlig frivilligt, eftersom denne omstændighed kan påvirke det frie valg for denne bruger, som ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende, således som det er indikeret i 42. betragtning til databeskyttelsesforordningen.
149 En sådan dominerende stilling kan endvidere skabe en klar skævhed som omhandlet i 43. betragtning til databeskyttelsesforordningen mellem den registrerede og den dataansvarlige, idet denne skævhed bl.a. begunstiger pålæggelsen af betingelser, som ikke er strengt nødvendige for opfyldelsen af kontrakten, hvilket skal tages i betragtning i overensstemmelse med forordningens artikel 7, stk. 4. Det skal i denne sammenhæng, således som det er anført i denne doms præmis 102-104, bemærkes, at det med forbehold for den efterprøvelse, der skal foretages af den forelæggende ret, ikke ses, at den i hovedsagen omhandlede behandling er strengt nødvendig med henblik på opfyldelsen af kontrakten mellem Meta Platforms Ireland og brugerne af det sociale netværk Facebook.
150 Brugerne skal således som led i den kontraktlige proces frit kunne vælge individuelt at afvise at give samtykke til særlige behandlinger af oplysninger, som ikke er nødvendige med henblik på opfyldelsen af kontrakten, uden at de imidlertid forpligtes til at give fuldt afkald på at anvende den tjeneste, som operatøren af det sociale onlinenetværk udbyder, hvilket indebærer, at nævnte brugere, i givet fald mod passende vederlag, kan tilbydes et tilsvarende alternativ, som ikke ledsages af sådanne behandlinger af oplysninger.
151 Henset til omfanget af den pågældende behandling af oplysninger og den betydelige indvirkning heraf på brugerne af dette netværk samt til den omstændighed, at disse brugere ikke med rimelighed kan forvente, at andre oplysninger end dem, der vedrører adfærd på det sociale netværk, behandles af netværkets operatør, er det hensigtsmæssigt som omhandlet i denne 43. betragtning, at der kan gives særskilt samtykke til behandlingen af på den ene side sidstnævnte oplysninger og på den anden side off Facebook-oplysninger. Det tilkommer den forelæggende ret at efterprøve, om en sådan mulighed foreligger, uden hvilken mulighed de nævnte brugere må antages ikke frivilligt at have givet samtykke til behandlingen af off Facebook-oplysningerne.
152 Endelig skal det bemærkes, at det følger af databeskyttelsesforordningens artikel 7, stk. 1, at hvis behandlingen er baseret på samtykke, påhviler det den dataansvarlige at bevise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
153 Det er i lyset af disse kriterier og en detaljeret undersøgelse af alle omstændighederne i den foreliggende sag, at det tilkommer den forelæggende ret at afgøre, om brugerne af det sociale netværk Facebook gyldigt, og navnlig frivilligt, har givet samtykke til den i hovedsagen omhandlede behandling.
154 Henset til det ovenstående skal det sjette spørgsmål besvares med, at databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a), og artikel 9, stk. 2, litra a), skal fortolkes således, at den omstændighed, at en operatør af et socialt onlinenetværk har en dominerende stilling på markedet for sociale onlinenetværk, ikke som sådan er til hinder for, at brugerne af et sådant netværk gyldigt kan give samtykke som omhandlet i denne forordnings artikel 4, nr. 11), til denne operatørs behandling af deres personoplysninger. Denne omstændighed er imidlertid et vigtigt element med henblik på at afgøre, om dette samtykke faktisk er afgivet gyldigt, og navnlig frivilligt, hvilket det påhviler nævnte operatør at påvise.
Sagsomkostninger
155 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.
På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:
1) Artikel 51 ff. i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) samt artikel 4, stk. 3, i traktaten om Den Europæiske Union
skal fortolkes således, at
med forbehold for overholdelse af pligten til loyalt samarbejde med tilsynsmyndighederne kan en medlemsstats konkurrencemyndighed som led i undersøgelsen af en virksomheds misbrug af dominerende stilling som omhandlet i artikel 102 TEUF fastslå, at denne virksomheds almindelige brugerbetingelser vedrørende behandlingen af personoplysninger og gennemførelsen heraf ikke er i overensstemmelse med databeskyttelsesforordningen, når denne konstatering er nødvendig for at påvise et sådant misbrug.
I lyset af denne pligt til loyalt samarbejde kan den nationale konkurrencemyndighed ikke fravige en afgørelse fra den kompetente nationale tilsynsmyndighed eller den ledende tilsynsmyndighed om disse almindelige betingelser eller tilsvarende almindelige betingelser. Når den nationale konkurrencemyndighed nærer tvivl om rækkevidden af en sådan afgørelse, når nævnte betingelser eller tilsvarende betingelser samtidig undersøges af disse myndigheder, eller når konkurrencemyndigheden, såfremt de sidstnævnte myndigheder ikke har foretaget en sådan undersøgelse, finder, at de pågældende betingelser er i strid med bestemmelserne i forordning 2016/679, skal denne konkurrencemyndighed høre disse myndigheder og anmode om deres samarbejde for at fjerne tvivlen eller for at afgøre, om der er grundlag for at afvente deres vedtagelse af en afgørelse, inden den foretager sin egen vurdering. Såfremt disse myndigheder ikke fremsætter indsigelse eller ikke svarer inden for en rimelig frist, kan den nationale konkurrencemyndighed fortsætte sin egen undersøgelse.
2) Artikel 9, stk. 1, i forordning 2016/679
skal fortolkes således, at
såfremt en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af de i denne bestemmelse omhandlede kategorier og eventuelt indtaster oplysninger heri ved at registrere sig eller foretage onlinebestillinger, skal den behandling af personoplysninger, som operatøren af dette sociale onlinenetværk foretager, og som består i indsamling af oplysninger fra besøg på disse websteder eller anvendelse af disse applikationer samt de af brugeren indtastede oplysninger gennem grænseflader, cookies eller lignende lagringsteknologier, sammenstilling af samtlige disse oplysninger med brugerens konto på det sociale netværk og operatørens anvendelse af nævnte oplysninger, anses for at udgøre »behandling af særlige kategorier af personoplysninger« som omhandlet i denne bestemmelse, hvilket principielt er forbudt med forbehold for undtagelserne i denne forordnings artikel 9, stk. 2, når denne behandling af oplysninger kan afsløre oplysninger, der er omfattet af en af disse kategorier, uanset om oplysningerne vedrører en bruger af dette netværk eller enhver anden fysisk person.
3) Artikel 9, stk. 2, litra e), i forordning 2016/679
skal fortolkes således, at
når en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af kategorierne i denne forordnings artikel 9, stk. 1, har vedkommende ikke tydeligvis offentliggjort de oplysninger om dette besøg, som operatøren af det sociale onlinenetværk har indsamlet gennem cookies eller lignende lagringsteknologier, som omhandlet i denne bestemmelse.
Når brugeren indtaster oplysninger på sådanne websteder eller applikationer eller trykker på valgknapper på disse websteder og applikationer, såsom knapperne »synes godt om«, »del«, eller på knapper, som giver brugeren mulighed for at identificere sig på disse websteder eller applikationer ved anvendelse af de loginoplysninger, der er tilknyttet brugerens konto på det sociale netværk, telefonnummer eller e-mailadresse, har en sådan bruger kun tydeligvis offentliggjort de således indtastede oplysninger eller oplysninger fra tryk på disse knapper som omhandlet i artikel 9, stk. 2, litra e), når denne bruger udtrykkeligt på forhånd har tilkendegivet sit valg, eventuelt på grundlag af en personlig tilpasning, der er foretaget med fuldt kendskab til sagen, om at gøre oplysningerne om den pågældende offentligt tilgængelige for et ubegrænset antal personer.
4) Artikel 6, stk. 1, første afsnit, litra b), i forordning 2016/679
skal fortolkes således, at
den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, kun kan anses for at være nødvendig for at opfylde den kontrakt, som de pågældende personer er parter i som omhandlet i denne bestemmelse, hvis denne behandling er objektivt uundværlig for at gennemføre et formål, som udgør en integrerende del af den kontraktlige ydelse til disse brugere, hvorfor kontraktens hovedformål ikke kan opnås uden denne behandling.
5) Artikel 6, stk. 1, første afsnit, litra f), i forordning 2016/679
skal fortolkes således, at
den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelsen af disse oplysninger, kun kan anses for nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse som omhandlet i denne bestemmelse, på betingelse af, at nævnte operatør har oplyst de brugere, hos hvem oplysningerne er blevet indsamlet, om den legitime interesse, som forfølges med behandlingen heraf, at behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt for at gennemføre denne legitime interesse, og at det fremgår af en afvejning af de modstridende interesser, henset til samtlige relevante omstændigheder, at brugernes interesser og grundlæggende rettigheder og frihedsrettigheder ikke går forud for den dataansvarliges eller tredjemands nævnte legitime interesse.
6) Artikel 6, stk. 1, første afsnit, litra c), i forordning 2016/679
skal fortolkes således, at
den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, er begrundet, når den faktisk er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige i henhold til EU-retten eller lovgivningen i den pågældende medlemsstat, når dette retsgrundlag opfylder et formål i samfundets interesse og står i rimeligt forhold til det legitime mål, der forfølges, og behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt.
7) Artikel 6, stk. 1, første afsnit, litra d) og e), i forordning 2016/679
skal fortolkes således, at
den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, i princippet og med forbehold for den efterprøvelse, som den forelæggende ret skal foretage, ikke kan anses for at være nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser som omhandlet i litra d) eller til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt som omhandlet i litra e).
8) Artikel 6, stk. 1, første afsnit, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679
skal fortolkes således, at
den omstændighed, at en operatør af et socialt onlinenetværk har en dominerende stilling på markedet for sociale onlinenetværk, ikke som sådan er til hinder for, at brugerne af et sådant netværk gyldigt kan give samtykke som omhandlet i denne forordnings artikel 4, nr. 11), til denne operatørs behandling af deres personoplysninger. Denne omstændighed er imidlertid et vigtigt element med henblik på at afgøre, om dette samtykke faktisk er afgivet gyldigt, og navnlig frivilligt, hvilket det påhviler nævnte operatør at påvise.
Underskrifter