CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:704

CONCLUSIE VAN ADVOCAAT-GENERAAL

A. RANTOS

van 20 september 2022 (1)

Zaak C‑252/21

Meta Platforms Inc., voorheen Facebook Inc.,

Meta Platforms Ireland Limited, voorheen Facebook Ireland Ltd.,

Facebook Deutschland GmbH

tegen

Bundeskartellamt,

in tegenwoordigheid van:

Verbraucherzentrale Bundesverband e.V.

[verzoek van het Oberlandesgericht Düsseldorf (hoogste rechterlijke instantie van de deelstaat Noordrijn-Westfalen, Düsseldorf, Duitsland) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Verordening (EU) 2016/679 – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Sociale netwerken – Artikel 4, punt 11 – Begrip ‚toestemming’ van de betrokkene – Toestemming verleend aan een voor de verwerking verantwoordelijke onderneming met een machtspositie – Artikel 6, lid 1, onder b) tot en met f) – Rechtmatigheid van de verwerking – Verwerking die noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde – Verwerking die noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen, of voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen – Artikel 9, lid 1, en artikel 9, lid 2, onder e) – Bijzondere categorieën van persoonsgegevens – Persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt – Artikelen 51 tot en met 66 – Bevoegdheden van de nationale mededingingsautoriteit – Samenhang met de bevoegdheden van de toezichthoudende autoriteiten voor de bescherming van persoonsgegevens – Vaststelling van maatregelen krachtens het mededingingsrecht door een autoriteit die is gevestigd in een andere lidstaat dan die van de leidende toezichthoudende autoriteit voor de bescherming van persoonsgegevens”

Inleiding

1. Het onderhavige verzoek om een prejudiciële beslissing is ingediend door het Oberlandesgericht Düsseldorf (hoogste rechterlijke instantie van de deelstaat Noordrijn-Westfalen, Düsseldorf, Duitsland) in het kader van een geding tussen vennootschappen van het concern Meta Platforms(2) en het Bundeskartellamt (federale mededingingsautoriteit, Duitsland) betreffende het besluit waarbij deze autoriteit verzoeker in het hoofdgeding een verbod tot gegevensverwerking als bedoeld in de servicevoorwaarden van zijn online sociale netwerk Facebook, alsmede een verbod tot toepassing van deze servicevoorwaarden heeft opgelegd, en heeft bevolen deze activiteiten te beëindigen.(3)

2. In wezen betreffen de prejudiciële vragen de bevoegdheid van een nationale mededingingsautoriteit zoals het Bundeskartellamt om primair of incidenteel gedragingen van een onderneming te onderzoeken in het licht van een aantal bepalingen van verordening (EU) 2016/679(4), alsmede de uitlegging van deze bepalingen met betrekking tot, met name, de verwerking van gevoelige persoonsgegevens, de relevante voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens en de uiting van vrije toestemming ten aanzien van een onderneming met een machtspositie.

Toepasselijke bepalingen

Unierecht

3. Artikel 4 AVG bepaalt:

„Voor de toepassing van deze verordening wordt verstaan onder:

[…]

11) ‚toestemming’ van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt;

[…]”

4. Artikel 6 („Rechtmatigheid van de verwerking”), lid 1, van deze verordening luidt als volgt:

„De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.”

5. Artikel 9 („Verwerking van bijzondere categorieën van persoonsgegevens”), leden 1 en 2, van deze verordening luidt:

„1. Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;

[…]

e) de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;

[…]”

6. Artikel 51 van deze verordening („Toezichthoudende autoriteit”), dat deel uitmaakt van hoofdstuk VI („Onafhankelijke toezichthoudende autoriteiten”), luidt als volgt:

„1. Elke lidstaat bepaalt dat een of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken […].

2. Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze verordening in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de Commissie samen overeenkomstig hoofdstuk VII.

[…]”

Duits recht

7. § 19, lid 1, van het Gesetz gegen Wettbewerbsbeschränkungen (wet tegen de beperking van de mededinging; hierna: „GWB”) bepaalt:

„Het is verboden dat een of meer ondernemingen misbruik maken van een machtspositie op de markt.”(5)

8. § 50f GWB bepaalt:

„(1) De mededingingsautoriteiten, de regulerende instanties, de federale verantwoordelijke voor gegevensbescherming en vrijheid van informatie, de regionale verantwoordelijken voor gegevensbescherming van de deelstaten en de bevoegde autoriteiten in de zin van § 2 van het EU-Verbraucherschutzdurchführungsgesetz (wet betreffende de uitvoering van het consumentenbeschermingsrecht van de Europese Unie) kunnen, ongeacht de gekozen procedure, onderling informatie uitwisselen, met inbegrip van persoonsgegevens en handels- en zakengeheimen, voor zover dit noodzakelijk is voor de uitvoering van hun respectieve taken, en deze informatie gebruiken in hun procedures. […]”

Hoofdgeding, prejudiciële vragen en procedure bij het Hof

9. Meta Platforms beheert het aanbod van het online sociale netwerk „Facebook” in de Europese Unie (op het adres www.facebook.com), en andere onlinediensten, waaronder Instagram en WhatsApp. Het economische model van de door Meta Platforms beheerde sociale netwerken bestaat, in wezen, in het aanbieden van gratis socialemediadiensten aan particuliere gebruikers en in het verkopen van onlineadvertenties, die op maat worden gemaakt voor de individuele gebruikers van het sociale netwerk en waarmee aan de betrokken gebruiker producten en diensten worden getoond die hem zouden kunnen interesseren wegens met name zijn persoonlijke consumptiegedrag, zijn interesses, zijn koopkracht en zijn persoonlijke situatie. De technische basis voor dit soort advertenties bestaat in het geautomatiseerd opstellen van zeer gedetailleerde profielen van de gebruikers van het netwerk en van de op concernniveau aangeboden onlinediensten.(6)

10. Voor het verzamelen en verwerken van gebruikersgegevens baseert Meta Platforms zich op de gebruiksovereenkomst die gebruikers met haar sluiten door op de knop „Registreren” te klikken en zich zo akkoord te verklaren met de servicevoorwaarden van Facebook. De aanvaarding van deze servicevoorwaarden is een essentiële voorwaarde voor het gebruik van het online sociale netwerk Facebook.(7) Centraal in de onderhavige zaak staat de praktijk waarbij, ten eerste, gegevens worden verzameld die afkomstig zijn van andere diensten van het concern alsmede van websites en apps van derden, via daarin geïntegreerde interfaces of via cookies die op de computer of het mobiele apparaat van de gebruiker zijn opgeslagen, ten tweede, deze gegevens worden gekoppeld aan het Facebookaccount van de gebruiker in kwestie en, ten derde, deze gegevens worden gebruikt (hierna: „litigieuze praktijk”).

11. Het Bundeskartellamt heeft Meta Platforms, na een tegen haar ingeleide procedure, bij het litigieuze besluit een verbod tot gegevensverwerking als bedoeld in de servicevoorwaarden van Facebook, alsmede een verbod tot toepassing van deze voorwaarden opgelegd, en heeft bevolen deze activiteiten te beëindigen. Het Bundeskartellamt heeft zijn besluit met name gebaseerd op het feit dat de betrokken gegevensverwerking misbruik vormde van de machtspositie van deze vennootschap op de markt van online sociale netwerken voor particuliere gebruikers in Duitsland, in de zin van § 19 GWB.(8)

12. Op 11 februari 2019 is Meta Platforms tegen het litigieuze besluit opgekomen bij het Oberlandesgericht Düsseldorf(9), de verwijzende rechter, die in wezen twijfels heeft over de mogelijkheid voor de nationale mededingingsautoriteiten om te toetsen of gegevensverwerking aan de eisen van de AVG voldoet en om een inbreuk op het bepaalde in deze verordening vast te stellen en te bestraffen, alsmede over de uitlegging en de toepassing van een aantal bepalingen van de verordening.

13. In deze omstandigheden heeft het Oberlandesgericht Düsseldorf de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1) a) Is het verenigbaar met de artikelen 51 e.v. AVG, wanneer een nationale mededingingsautoriteit van een lidstaat, zoals het Bundeskartellamt, die geen toezichthoudende autoriteit in de zin van de artikelen 51 e.v. AVG is en in wier lidstaat een buiten de Europese Unie gevestigde onderneming een vestiging heeft die de in een andere lidstaat gelegen hoofdvestiging van deze onderneming, welke de uitsluitende verantwoordelijkheid draagt voor de verwerking van persoonsgegevens voor het gehele gebied van de Europese Unie, ondersteunt op het gebied van advertenties, communicatie en publiciteit, in het kader van het toezicht op misbruik op het gebied van de mededinging vaststelt dat de contractuele bepalingen van de hoofdvestiging inzake de gegevensverwerking en de uitvoering daarvan inbreuk maken op de AVG, en de beëindiging van die inbreuk beveelt?

b) Zo ja: is dit verenigbaar met artikel 4, lid 3, VEU, wanneer tegelijkertijd de leidende toezichthoudende autoriteit in de lidstaat van de hoofdvestiging in de zin van artikel 56, lid 1, AVG een onderzoek heeft ingesteld naar haar contractuele bepalingen inzake de gegevensverwerking?

Indien de eerste vraag bevestigend moet worden beantwoord:

2) a) In het geval dat een internetgebruiker websites of apps waarop de criteria van artikel 9, lid 1, AVG betrekking hebben, bijvoorbeeld flirting-apps, datingsites voor homoseksuelen, websites van politieke partijen, gezondheidsgerelateerde websites, ofwel slechts opent ofwel daar ook gegevens invoert, zoals bij registratie of bestellingen, en een andere onderneming, zoals Facebook Ireland, via op deze websites en apps geïntegreerde interfaces, zoals ‚Facebook Business Tools’, of via op de computer of een mobiel apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën, de gegevens over het openen van de websites en apps door de gebruiker en over de daar gegeven invoer van de gebruiker verzamelt, met de gegevens van het Facebookaccount van de gebruiker verbindt en gebruikt, dient dit verzamelen en/of verbinden en/of gebruiken dan te worden aangemerkt als de verwerking van gevoelige gegevens in de zin van de bepaling?

b) Zo ja: kan het openen van deze websites en apps en/of het invoeren van gegevens en/of het aanklikken van de op deze websites of apps geïntegreerde knoppen (‚sociale plugins’ zoals ‚Vind ik leuk’, ‚Delen’ of ‚Facebook login’ of ‚Account Kit’) van een aanbieder als Facebook Ireland worden beschouwd als het kennelijk openbaar maken van de gegevens via het openen van de website of app als zodanig en/of via de door de gebruiker gegeven invoer in de zin van artikel 9, lid 2, onder e), AVG?

3) Kan een onderneming als Facebook Ireland, die een door advertenties gefinancierd, digitaal sociaal netwerk exploiteert en in haar gebruiksvoorwaarden de personalisatie van de inhoud en van de advertenties, de netwerkveiligheid, de productverbetering en het consistente en probleemloze gebruik van alle producten van het concern aanbiedt, zich beroepen op de rechtvaardigingsgrond van de noodzakelijkheid voor de uitvoering van een overeenkomst overeenkomstig artikel 6, lid 1, onder b), AVG of op de rechtvaardigingsgrond van de behartiging van gerechtvaardigde belangen overeenkomstig artikel 6, lid 1, onder f), AVG, wanneer de onderneming voor dit doel gegevens uit andere diensten van het concern en uit websites en apps van derden via daarin geïntegreerde interfaces, zoals ‚Facebook Business Tools’, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën verzamelt, met het Facebookaccount van de gebruiker verbindt en gebruikt?

4) Kunnen in een dergelijk geval tevens

– de minderjarigheid van de gebruikers voor de personalisatie van inhoud en advertenties, productverbetering, netwerkveiligheid en andere dan marketing-gerelateerde communicatie met de gebruiker,

– het aanbieden van metingen, analysen en andere zakelijke diensten aan adverteerders, ontwikkelaars en overige partners zodat deze hun diensten kunnen evalueren en verbeteren,

– het aanbieden van marketingcommunicatie met de gebruiker, zodat de onderneming haar producten kan verbeteren en direct marketing kan toepassen,

– onderzoek en innovatie voor het maatschappelijk belang, om de stand van de techniek respectievelijk het wetenschappelijk begrip ten aanzien van belangrijke sociale onderwerpen te bevorderen en om de maatschappij en de wereld positief te beïnvloeden,

– het informeren van vervolgings- en handhavingsautoriteiten, het reageren op wettelijke verzoeken om strafbare feiten, onrechtmatig gebruik, schending van gebruiksvoorwaarden en beleid alsmede overige nadelige gedragingen te voorkomen, op te sporen en te vervolgen,

gerechtvaardigde belangen in de zin van artikel 6, lid 1, onder f), AVG zijn wanneer de onderneming voor deze doeleinden gegevens uit andere diensten van het concern alsook uit websites en apps van derden via daarin geïntegreerde interfaces, zoals ‚Facebook Business Tools’, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën verzamelt, met het Facebookaccount van de gebruiker verbindt en gebruikt?

5) Kan in een dergelijk geval het verzamelen van gegevens uit andere diensten van het concern en uit websites en apps van derden via daarin geïntegreerde interfaces, zoals ‚Facebook Business Tools’, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën, de verbinding met het Facebook-account van de gebruiker en het gebruik, of het gebruik van reeds op andere wijze rechtmatig verzamelde en verbonden gegevens, in een afzonderlijk geval ook gerechtvaardigd zijn op grond van artikel 6, lid 1, onder c), d) en e), AVG, bijvoorbeeld om te voldoen aan een rechtsgeldig verzoek om bepaalde gegevens [onder c)], om schadelijke gedragingen te bestrijden en de veiligheid te bevorderen [onder d)], voor doeleinden van onderzoek ten behoeve van het welzijn van de maatschappij en om de bescherming, integriteit en veiligheid te bevorderen [onder e)]?

6) Kan aan een onderneming met een machtspositie zoals Facebook Ireland, overeenkomstig artikel 6, lid 1, onder a), en artikel 9, lid 2, onder a), AVG een effectieve en, in het bijzonder in de zin van artikel 4, punt 11, AVG, vrijwillige, toestemming worden verleend?

Indien de eerste vraag ontkennend moet worden beantwoord:

7) a) Kan een nationale mededingingsautoriteit van een lidstaat, zoals het Bundeskartellamt, die geen toezichthoudende autoriteit is in de zin van de artikelen 51 e.v. AVG en die een inbreuk van een onderneming met een machtspositie op het kartelrechtelijke misbruikverbod onderzoekt, welke inbreuk niet bestaat in een inbreuk op de AVG door haar voorwaarden inzake de gegevensverwerking en de toepassing daarvan, in het kader van bijvoorbeeld de belangenafweging vaststellingen doen ten aanzien van de vraag of de voorwaarden inzake gegevensverwerking van deze onderneming en de uitvoering daarvan voldoen aan de AVG?

b) Zo ja: Geldt dit met het oog op artikel 4, lid 3, VEU ook wanneer tegelijkertijd de op grond van artikel 56, lid 1, AVG bevoegde leidende toezichthoudende autoriteit de voorwaarden van deze onderneming inzake de gegevensverwerking onderzoekt?

Indien de zevende vraag bevestigend moet worden beantwoord, moeten de vragen 3 tot en met 5 worden beantwoord ten aanzien van het gebruik van de gegevens voortvloeiende uit het gebruik van de dienst van het concern Instagram.”

14. Schriftelijke opmerkingen zijn ingediend door Meta Platforms, de Duitse, de Tsjechische, de Italiaanse en de Oostenrijkse regering, het Bundeskartellamt, de Verbraucherzentrale Bundesverband e.V. (consumentenorganisatie, Duitsland) en de Europese Commissie. Deze partijen hebben tevens mondelinge opmerkingen gemaakt tijdens de pleitzitting van 10 mei 2022.

Analyse

15. De prejudiciële vragen in de onderhavige zaak, die betrekking hebben op de uitlegging van verschillende bepalingen van de AVG, betreffen in wezen, ten eerste, de bevoegdheid van een mededingingsautoriteit om een inbreuk op de regels inzake de verwerking van persoonsgegevens vast te stellen en te bestraffen, alsmede haar verplichting tot samenwerking met de leidende autoriteit in de zin van de AVG (eerste en zevende prejudiciële vraag), ten tweede, het verbod op de verwerking van gevoelige persoonsgegevens en de voorwaarden die gelden voor het verlenen van toestemming voor het gebruik van deze gegevens (tweede prejudiciële vraag), ten derde, de rechtmatigheid van de verwerking van persoonsgegevens in het licht van bepaalde rechtvaardigingsgronden (derde tot en met vijfde prejudiciële vraag) en, ten vierde, de geldigheid van de toestemming voor de verwerking van persoonsgegevens die is verleend aan een onderneming met een machtspositie (zesde prejudiciële vraag).

16. In de volgende punten zal ik eerst de eerste en de zevende prejudiciële vraag behandelen en vervolgens de andere prejudiciële vragen in de volgorde waarin zij zijn gesteld, onder samenvoeging van de derde tot en met de vijfde prejudiciële vraag.

Eerste prejudiciële vraag

17. Met zijn eerste prejudiciële vraag wenst de verwijzende rechter in wezen te vernemen of een mededingingsautoriteit, bij de vervolging van inbreuken op de mededingingsregels, zich primair kan uitspreken(10) over de inbreuk op de AVG-regels inzake gegevensverwerking door een onderneming waarvan de hoofdvestiging die voor de gehele Unie exclusief verantwoordelijk is voor de verwerking van persoonsgegevens zich in een andere lidstaat bevindt, en kan bevelen dat deze inbreuk wordt beëindigd [eerste vraag, onder a)], en, zo ja, of de leidende toezichthoudende autoriteit die krachtens artikel 56, lid 1, AVG competent is, de voorwaarden voor de gegevensverwerking van deze onderneming nog aan een onderzoeksprocedure mag onderwerpen [eerste vraag, onder b)].

18. Onder voorbehoud van verificatie door de verwijzende rechter, komt het mij niettemin voor dat het Bundeskartellamt in het litigieuze besluit geen inbreuk op de AVG door Meta Platforms heeft bestraft, maar louter met het oog op de toepassing van de mededingingsregels een gestelde inbreuk op het verbod op misbruik van een machtspositie door deze onderneming heeft onderzocht en daarbij onder meer rekening heeft gehouden met het feit dat het gedrag van deze onderneming niet met deze verordening in overeenstemming was.

19. Derhalve is de eerste vraag, onder a), voor zover zij betrekking heeft op de mogelijkheid voor een mededingingsautoriteit om zich primair uit te spreken over de schending van de AVG-regels en te bevelen dat deze inbreuk in de zin van deze verordening wordt beëindigd, volgens mij niet ter zake dienend.(11)

20. Hieruit volgt dat de eerste vraag, onder b), die afhankelijk is van een bevestigend antwoord op de eerste vraag, onder a), eveneens niet ter zake dient.(12)

Zevende prejudiciële vraag

21. Met zijn zevende prejudiciële vraag wenst de verwijzende rechter in wezen te vernemen of een mededingingsautoriteit, wanneer zij inbreuken op de mededingingsregels vervolgt, incidenteel kan vaststellen(13) of de voorwaarden inzake gegevensverwerking en de toepassing daarvan in overeenstemming zijn met de AVG [zevende vraag, onder a)] en, zo ja, of deze mededingingsautoriteit een dergelijk onderzoek ook kan uitvoeren wanneer deze voorwaarden tegelijkertijd door de bevoegde leidende toezichthoudende autoriteit worden onderzocht [zevende vraag, onder b)].

22. Wat ten eerste de zevende vraag, onder a), betreft, lijkt het mij dat een mededingingsautoriteit weliswaar niet bevoegd is om een inbreuk op de AVG vast te stellen(14), maar dat deze verordening in beginsel niet in de weg staat aan de mogelijkheid dat andere dan de toezichthoudende autoriteiten bij de uitoefening van hun eigen bevoegdheden incidenteel rekening houden met de verenigbaarheid van bepaald gedrag met de AVG. Dit geldt volgens mij met name voor de uitoefening door een mededingingsautoriteit van de bevoegdheden die haar bij artikel 102 VWEU en artikel 5, eerste alinea, van verordening (EG) nr. 1/2003(15) of bij enige andere overeenkomstige nationale norm(16) zijn verleend.

23. Bij de uitoefening van haar bevoegdheden moet een mededingingsautoriteit namelijk onder meer beoordelen of het onderzochte gedrag bestaat in het aanwenden van andere middelen dan die welke behoren bij concurrentie op basis van verdienste, rekening houdend met de juridische en economische context waarin dit gedrag plaatsvindt.(17) In dit verband kan de verenigbaarheid dan wel onverenigbaarheid van dit gedrag met de AVG – niet op zichzelf beschouwd maar rekening houdend met alle omstandigheden van het geval – een belangrijke aanwijzing vormen om vast te stellen of dit gedrag bestaat in het aanwenden van middelen die passen in het kader van de normale mededinging, met dien verstande dat de vraag of bepaald gedrag al dan niet misbruik uitmaakt in de zin van artikel 102 VWEU niet blijkt uit de verenigbaarheid dan wel onverenigbaarheid van dit gedrag met de AVG of met andere rechtsregels.(18)

24. Derhalve ben ik van mening dat het onderzoek naar misbruik van een machtspositie op de markt kan rechtvaardigen dat een mededingingsautoriteit regels uitlegt die niet tot het mededingingsrecht behoren, zoals de AVG-regels(19), met dien verstande dat een dergelijk onderzoek incidenteel wordt verricht(20) en niet vooruitloopt op de toepassing van deze verordening door de bevoegde toezichthoudende autoriteiten.(21)

25. Wat ten tweede de zevende vraag, onder b), betreft, stelt de verwijzende rechter de vraag welke verplichtingen er in het kader van de toepassing van het in artikel 4, lid 3, VEU neergelegde beginsel van loyale samenwerking jegens de bevoegde leidende toezichthoudende autoriteit in de zin van de AVG op een mededingingsautoriteit rusten bij haar uitlegging van het bepaalde in deze verordening, en met name wanneer het door de mededingingsautoriteit onderzochte gedrag ook door de bevoegde leidende toezichthoudende autoriteit wordt onderzocht.

26. In het onderhavige geval houdt het – weliswaar incidentele – onderzoek door een mededingingsautoriteit van gedrag van een onderneming in het licht van de normen van de AVG het risico in dat deze regels door deze autoriteit en door de toezichthoudende autoriteiten verschillend worden uitgelegd, hetgeen in beginsel afbreuk kan doen aan de uniforme uitlegging van de AVG.(22)

27. Het Unierecht kent geen gedetailleerde regels voor de samenwerking, in een dergelijke situatie, tussen een mededingingsautoriteit en de toezichthoudende autoriteiten in de zin van de AVG. Meer in het bijzonder zijn in casu noch de regeling voor samenwerking tussen de bevoegde autoriteiten in de zin van de AVG(23) bij de toepassing van die verordening, noch andere specifieke regels inzake de samenwerking tussen administratieve autoriteiten, zoals die inzake de samenwerking tussen de mededingingsautoriteiten en de samenwerking tussen deze autoriteiten en de Commissie bij de toepassing van de mededingingsregels(24), van toepassing.

28. Niettemin dient een mededingingsautoriteit zich bij de uitlegging van de AVG te houden aan het in artikel 4, lid 3, VEU neergelegde beginsel van loyale samenwerking, krachtens hetwelk de Unie en de lidstaten, met inbegrip van hun administratieve autoriteiten(25), elkaar moeten eerbiedigen en steunen bij de vervulling van de taken die uit de Verdragen voortvloeien. Volgens de derde alinea van deze bepaling dienen de lidstaten met name de vervulling van de taak van de Unie te vergemakkelijken en dienen zij zich te onthouden van alle maatregelen die de verwezenlijking van de doelstellingen van de Unie in gevaar kunnen brengen.(26) Bovendien is een mededingingsautoriteit, zoals elke met de toepassing van het Unierecht belaste administratieve autoriteit, gehouden aan het beginsel van behoorlijk bestuur als algemeen beginsel van het Unierecht, dat onder meer een brede zorgvuldigheidsplicht voor de nationale autoriteiten omvat.(27)

29. Bij gebreke van nauwkeurige regels wat betreft samenwerkingsmechanismen, die eventueel door de Uniewetgever kunnen worden vastgesteld, is een mededingingsautoriteit bij de uitlegging van de AVG jegens de bevoegde autoriteiten in de zin van deze verordening op zijn minst gehouden aan verplichtingen om te informeren, inlichtingen te verstrekken en samen te werken, ingevolge de nationale normen die haar bevoegdheden regelen (beginsel van de procedurele autonomie van de lidstaten) en met inachtneming van het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel.(28)

30. Hieruit volgt naar mijn mening dat, wanneer de bevoegde leidende toezichthoudende autoriteit zich heeft uitgesproken over de toepassing van sommige bepalingen van de AVG ten aanzien van eenzelfde of een soortgelijke praktijk, de mededingingsautoriteit in beginsel niet van de uitlegging van eerstgenoemde autoriteit, die als enige bevoegd is voor de toepassing van deze verordening, mag afwijken(29) en zich, voor zover mogelijk en met inachtneming van met name de rechten van de verdediging van de betrokkenen, moet voegen naar eventuele besluiten van die autoriteit met betrekking tot hetzelfde gedrag(30), en, indien in het betrokken geval twijfel bestaat over de door de bevoegde autoriteit gegeven uitlegging, overleg moet plegen met deze autoriteit of – ingeval deze autoriteit eventueel in een andere lidstaat is gevestigd – met de nationale toezichthoudende autoriteit.(31)

31. Bovendien staat het, bij gebreke van een besluit van de bevoegde toezichthoudende autoriteit, aan de mededingingsautoriteit om eerstgenoemde autoriteit te informeren(32) en met haar samen te werken wanneer die autoriteit een onderzoek naar dezelfde praktijk heeft ingeleid of een voornemen in die zin kenbaar heeft gemaakt, en eventueel het resultaat van het door deze autoriteit verrichte onderzoek af te wachten vooraleer zelf over te gaan tot een toetsing, voor zover dit passend is en met name geen afbreuk doet aan de inachtneming door de mededingingsautoriteit van een redelijke onderzoekstermijn en aan de rechten van verdediging van de betrokkenen.(33)

32. In casu komt het mij voor dat het feit dat het Bundeskartellamt is gaan samenwerken met de op nationaal niveau verantwoordelijke toezichthoudende autoriteiten(34) en informeel ook contact heeft opgenomen met de Ierse leidende toezichthoudende autoriteit, welke omstandigheden door het Bundeskartellamt worden genoemd en door de verwijzende rechter dienen te worden geverifieerd, volstaat om te concluderen dat deze autoriteit haar verplichtingen inzake zorgvuldigheid en loyale samenwerking is nagekomen.(35)

33. Concluderend geef ik in overweging om op de zevende prejudiciële vraag te antwoorden dat de artikelen 51 tot en met 66 AVG aldus moeten worden uitgelegd dat een mededingingsautoriteit in het kader van haar bevoegdheden in de zin van de mededingingsregels incidenteel kan onderzoeken of de onderzochte praktijken verenigbaar zijn met de AVG-regels, waarbij zij rekening dient te houden met alle besluiten of onderzoeken van de krachtens de AVG bevoegde toezichthoudende autoriteit, en de nationale toezichthoudende autoriteit dient te informeren en in voorkomend geval dient te raadplegen.

Tweede prejudiciële vraag

34. Met zijn tweede prejudiciële vraag wenst de verwijzende rechter in wezen te vernemen of artikel 9, lid 1, AVG aldus moet worden uitgelegd dat de betwiste praktijk, wanneer zij betrekking heeft op het raadplegen van webpagina’s en apps van derden(36), valt onder de – verboden(37) – verwerking van gevoelige persoonsgegevens in de zin van deze bepaling(38) [tweede vraag, onder a)], en, zo ja, of artikel 9, lid 2, onder e), van deze verordening aldus moet worden uitgelegd dat gegevens die bekend worden door het raadplegen van webpagina’s of apps of die worden ingevoerd of gegenereerd door het aanklikken van in deze webpagina’s of apps geïntegreerde selectieknoppen(39), kennelijk door een gebruiker openbaar worden gemaakt in de zin van deze bepaling [tweede vraag, onder b)].

35. Wat ten eerste de tweede vraag, onder a), betreft, herinner ik eraan dat de verwerking van gevoelige persoonsgegevens krachtens artikel 9, lid 1, AVG verboden is. Zoals blijkt uit overweging 51 van deze verordening, is de bijzondere bescherming van deze gegevens ingegeven door het feit dat zij door hun aard bijzonder gevoelig zijn wat de grondrechten en de fundamentele vrijheden betreft, en dat de verwerking ervan significante risico’s voor deze rechten en vrijheden meebrengt. Bovendien komt het mij ondanks de enigszins onduidelijke bewoordingen van deze bepaling(40) niet voor dat zij, zoals de verwijzende rechter aanneemt, een wezenlijk verschil invoert tussen persoonsgegevens die gevoelig zijn omdat er een bepaalde situatie uit „blijkt” en gegevens die op zich gevoelig zijn.(41)

36. In de onderhavige zaak is het volgens mij duidelijk dat de litigieuze praktijk moet worden aangemerkt als een verwerking van persoonsgegevens die in beginsel binnen de werkingssfeer van deze bepaling kan vallen en verboden kan zijn, wanneer uit de verwerkte gegevens een van de in deze bepaling opgesomde gevoelige situaties „blijkt”. Derhalve moet worden vastgesteld of en in hoeverre uit het raadplegen van websites en apps, dan wel uit het aldaar invoeren van gegevens, een van de in de betrokken bepaling bedoelde gevoelige situaties kan „blijken”.

37. In dit verband betwijfel ik of het relevant (en steeds mogelijk) is om een onderscheid te maken tussen eenvoudige interesse die de betrokkene voor bepaalde informatie toont en het feit dat hij tot een van de in de betrokken bepalingen bedoelde groepen behoort.(42) Hoewel de partijen in het hoofdgeding in dit opzicht tegenover elkaar staan(43), ben ik van mening dat een antwoord op deze vraag alleen per geval en met betrekking tot elk van de tot de litigieuze praktijk behorende activiteiten kan worden gezocht.

38. Hoewel, zoals de Duitse regering opmerkt, het loutere verzamelen van gevoelige persoonsgegevens inzake de raadpleging van een website of een app op zich niet noodzakelijkerwijs een verwerking van gevoelige persoonsgegevens in de zin van deze bepaling is(44), vormen het koppelen van deze gegevens aan het Facebookaccount van de betrokken gebruiker en het gebruik van deze gegevens daarentegen gedrag dat gemakkelijker als een dergelijke verwerking kan worden aangemerkt. Het doorslaggevende element voor de toepassing van artikel 9, lid 1, AVG is volgens mij het feit dat de verwerkte gegevens het mogelijk maken om de gebruiker te profileren aan de hand van een van de in deze bepaling opgesomde categorieën van gevoelige persoonsgegevens.(45)

39. In dit verband zou het, om te bepalen of een gegevensverwerking binnen de werkingssfeer van deze bepaling valt, nuttig kunnen zijn om in voorkomend geval een onderscheid te maken tussen, enerzijds, de verwerking van gegevens die prima facie als gevoelige persoonsgegevens kunnen worden aangemerkt en die op zich een profilering van de betrokkene mogelijk maken en, anderzijds, de verwerking van gegevens die op zich niet gevoelig zijn, maar waarvoor een verdere groepering nodig is teneinde aannemelijke conclusies te kunnen trekken wat de profilering van de betrokkene betreft.

40. Niettemin moet worden verduidelijkt dat een uitgevoerde categorisering in de zin van deze bepaling losstaat van de vraag of deze categorisering waarheidsgetrouw en juist is.(46) Waar het om gaat is de mogelijkheid dat een dergelijke categorisering een aanzienlijk risico voor de grondrechten en de fundamentele vrijheden van de betrokkene inhoudt, zoals in herinnering is gebracht in overweging 51 AVG, waarbij irrelevant is of deze mogelijkheid wel de realiteit is.

41. Wat ten slotte betreft de vraag van de verwijzende rechter of het doel van het gebruik van belang is voor de betrokken beoordeling(47), ik ben, anders dan verzoeker in het hoofdgeding, van oordeel dat in beginsel niet is vereist dat de verwerkingsverantwoordelijke deze gegevens verwerkt „in de wetenschap en met de bedoeling om er rechtstreeks bepaalde categorieën van informatie uit af te leiden”. De betrokken bepaling heeft immers in wezen tot doel om op objectieve wijze aanzienlijke risico’s voor de grondrechten en de fundamentele vrijheden van de betrokkenen als gevolg van de verwerking van gevoelige persoonsgegevens te voorkomen, ongeacht enig subjectief element zoals de bedoelingen van de verwerkingsverantwoordelijke.

42. Wat ten tweede de tweede vraag, onder b), betreft, herinner ik eraan dat overeenkomstig artikel 9, lid 2, onder e), AVG het verbod op de verwerking van gevoelige persoonsgegevens niet van toepassing is indien de verwerking betrekking heeft op persoonsgegevens die door de betrokkene kennelijk openbaar zijn gemaakt. De verwijzing in de bewoordingen van deze bepaling naar het bijwoord „kennelijk” en het feit dat deze bepaling een uitzondering vormt op het beginsel dat de verwerking van gevoelige persoonsgegevens verboden is(48), nopen bovendien tot een bijzonder strikte toepassing van deze uitzondering, wegens de aanzienlijke risico’s voor de grondrechten en de fundamentele vrijheden van de betrokkenen.(49) Voor de toepassing van deze uitzondering moet de gebruiker zich er, naar mijn mening, volledig van bewust zijn dat hij door een expliciete handeling(50) persoonsgegevens openbaar maakt.(51)

43. In casu komt het mij voor dat gedrag dat bestaat in het raadplegen van websites en apps, het aldaar invoeren van gegevens en het aanklikken van daarin geïntegreerde selectieknoppen, in beginsel niet kan worden aangemerkt als gedrag dat gevoelige persoonsgegevens van de gebruiker kennelijk openbaar maakt in de zin van artikel 9, lid 2, onder e), AVG.

44. Met name merk ik op dat door het raadplegen van websites en apps de raadplegingsgegevens in beginsel alleen toegankelijk worden gemaakt voor de beheerder van de betrokken webpagina of app en voor derden aan wie deze beheerder deze gegevens doorgeeft, zoals verzoeker in het hoofdgeding.(52) Evenzo merk ik op dat, ook al zou de betrokkene, door het invoeren van gegevens op websites en apps, rechtstreeks en vrijwillig informatie kunnen verstrekken over bepaalde gevoelige persoonsgegevens, deze informatie alleen toegankelijk is voor de beheerder van de betrokken website of app en voor derden aan wie deze beheerder deze informatie doorgeeft. Ik sluit derhalve uit dat dergelijk gedrag een uiting kan zijn van de wil om deze gegevens publiekelijk beschikbaar te stellen.(53) Hoewel het duidelijk is dat de betrokkene, door het aanklikken van in websites of apps geïntegreerde selectieknoppen(54), duidelijk te kennen heeft dat hij bepaalde informatie wil delen met een publiek buiten de betrokken website of app, ben ik bovendien van mening dat, zoals het Bundeskartellamt benadrukt, de betrokkene zich ervan bewust is dat hij door dit gedrag informatie deelt met een welbepaalde – dikwijls door de gebruiker zelf vastgestelde(55) – groep personen, en niet met het algemene publiek.(56)

45. Wat ten slotte de relevantie betreft van een eventuele toestemming van de gebruiker in de zin van artikel 5, lid 3, van richtlijn 2002/58 voor het verzamelen van persoonsgegevens door middel van cookies of soortgelijke technologieën, waaraan de verwijzende rechter refereert, ben ik van mening dat deze toestemming, gelet op het specifieke doel ervan, op zich de verwerking van via deze middelen verzamelde gevoelige persoonsgegevens niet kan rechtvaardigen.(57) Deze toestemming, die noodzakelijk is voor de installatie van een technisch middel waarmee bepaalde activiteiten van de gebruiker kunnen worden geregistreerd(58), heeft immers geen betrekking op de verwerking van gevoelige persoonsgegevens en kan niet worden gelijkgesteld met de wil om deze gegevens kennelijk openbaar te maken in de zin van artikel 9, lid 2, onder e), AVG.(59)

46. Concluderend geef ik in overweging om op de tweede prejudiciële vraag te antwoorden dat, ten eerste, artikel 9, lid 1, AVG aldus moet worden uitgelegd dat het verbod op de verwerking van gevoelige persoonsgegevens zich kan uitstrekken tot de verwerking van gegevens door een exploitant van een online sociaal netwerk bestaande in het verzamelen van gegevens van een gebruiker wanneer hij andere websites of apps raadpleegt of daar gegevens invoert, het koppelen van deze gegevens aan het gebruikersaccount van het sociale netwerk en het gebruik van deze gegevens, mits de verwerkte gegevens, individueel beschouwd of gegroepeerd, het mogelijk maken de gebruiker te profileren volgens de in deze bepaling opgesomde categorieën van gevoelige persoonsgegevens, en, ten tweede, artikel 9, lid 2, onder e), AVG aldus moet worden uitgelegd dat een gebruiker gegevens niet kennelijk openbaar maakt door het feit dat van deze gegevens is gebleken door het raadplegen van webpagina’s of apps, dan wel deze gegevens daar zijn ingevoerd of gegenereerd door het aanklikken van in deze webpagina’s of apps geïntegreerde selectieknoppen.

Derde tot en met vijfde prejudiciële vraag

47. Met zijn derde tot en met vijfde prejudiciële vraag wenst de verwijzende rechter in wezen te vernemen of artikel 6, lid 1, onder b), c), d), e) en f), AVG aldus moet worden uitgelegd dat de litigieuze praktijk(60) binnen de werkingssfeer van een van de in deze bepalingen genoemde rechtvaardigingsgronden valt. Het gaat met name om de volgende gronden:

– de noodzakelijkheid voor de uitvoering van de overeenkomst(61) of voor de behartiging van gerechtvaardigde belangen(62), gelet op het feit dat Meta Platforms een door advertenties gefinancierd sociaal netwerk exploiteert dat in zijn servicevoorwaarden de personalisatie van de inhoud en van de advertenties, de netwerkveiligheid, de verbetering van het product en het consistente en probleemloze gebruik van alle producten van het concern vermeldt (derde prejudiciële vraag);

– de inaanmerkingneming van deze gerechtvaardigde belangen(63) in het kader van bepaalde omstandigheden(64) (vierde prejudiciële vraag);

– de noodzaak om te voldoen aan een rechtsgeldig verzoek om bepaalde gegevens(65), de noodzaak om schadelijk gedrag te bestrijden en de veiligheid te bevorderen(66), of het belang van onderzoek ten behoeve van het maatschappelijk welzijn en de noodzaak om de bescherming, integriteit en veiligheid te bevorderen(67) (vijfde prejudiciële vraag).

48. Hoewel er enige twijfels rijzen omtrent de ontvankelijkheid van de vierde en de vijfde prejudiciële vraag(68), stel ik allereerst voor om de derde tot en met de vijfde prejudiciële vraag samen te beantwoorden, aangezien de aanwijzingen die ik hierna zal verstrekken, hoofdzakelijk met betrekking tot de derde prejudiciële vraag, de verwijzende rechter ook van nut kunnen zijn bij de toepassing van de bepalingen die in de vierde en de vijfde prejudiciële vraag aan de orde zijn.

49. Primair merk ik op dat, volgens artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”), persoonsgegevens eerlijk moeten worden verwerkt, voor welbepaalde doeleinden of op basis van een gerechtvaardigde grondslag waarin de wet voorziet. In dit verband preciseert artikel 6, lid 1, AVG dat de verwerking van deze gegevens alleen dan rechtmatig is wanneer aan een van de zes in deze bepaling genoemde voorwaarden is voldaan.(69)

50. In de onderhavige zaak ben ik om te beginnen van mening dat de derde tot en met de vijfde prejudiciële vraag vereisen dat de verschillende clausules van de servicevoorwaarden van Facebook in het kader van de litigieuze praktijk in detail en per geval worden onderzocht, aangezien niet kan worden vastgesteld of „een onderneming als [Meta Platforms]” zich met betrekking tot deze praktijk in globo kan beroepen op alle (of sommige) rechtvaardigingsgronden van artikel 6, lid 1, AVG, ook al kan niet worden uitgesloten dat deze praktijk of sommige van haar activiteiten in bepaalde gevallen binnen de werkingssfeer van dit artikel vallen.(70)

51. Verder vindt de door de aangehaalde bepalingen beoogde verwerking in casu plaats op basis van de door de verwerkingsverantwoordelijke opgelegde algemene voorwaarden van de overeenkomst, zonder toestemming van de betrokkene(71) of zelfs tegen zijn wil, hetgeen naar mijn mening een strikte uitlegging van de betrokken rechtvaardigingsgronden vereist, met name om te voorkomen dat de voorwaarde inzake toestemming wordt omzeild.(72)

52. Ten slotte herinner ik eraan dat, krachtens artikel 5, lid 2, AVG, de bewijslast aangaande de naleving van de norm van deze verordening bij de verwerking van persoonsgegevens op de verwerkingsverantwoordelijke rust, en dat het overeenkomstig artikel 13, lid 1, onder c), van deze verordening aan de verantwoordelijke voor de verwerking van persoonsgegevens staat om de verwerkingsdoeleinden waarvoor de gegevens zijn bestemd, alsook de rechtsgrond voor de verwerking, te specificeren.

Derde prejudiciële vraag

53. Ten eerste is volgens artikel 6, lid 1, onder b), AVG de verwerking van persoonsgegevens rechtmatig voor zover zij noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.(73)

54. In dit verband herinner ik eraan dat het begrip „noodzakelijkheid” niet in het recht van de Unie is gedefinieerd, maar volgens de rechtspraak niettemin een autonoom begrip van het Unierecht is.(74) Om de verwerking als noodzakelijk voor de uitvoering van de overeenkomst te kunnen beschouwen, volstaat het niet dat zij wordt verricht bij de uitvoering van de overeenkomst, dat zij in de overeenkomst wordt vermeld(75) of zelfs dat zij eenvoudigweg nuttig is voor de uitvoering van de overeenkomst.(76) Volgens de rechtspraak van het Hof moet de verwerking objectief noodzakelijk zijn voor de uitvoering van de overeenkomst, in die zin dat er geen realistische, minder indringende alternatieve oplossingen voorhanden mogen zijn(77), mede rekening houdend met de redelijke verwachtingen van de betrokkene.(78) Dit omvat ook het feit dat, wanneer de overeenkomst bestaat uit verschillende diensten of verschillende afzonderlijke elementen van dezelfde dienst die onafhankelijk van elkaar kunnen worden uitgevoerd, de toepasselijkheid van artikel 6, lid 1, onder b), AVG moet worden beoordeeld in het kader van elk van deze diensten afzonderlijk.(79)

55. In het kader van deze rechtvaardiging vermeldt de verwijzende rechter de personalisatie van de inhoud, en het consistente en probleemloze gebruik van de producten (of veeleer de diensten) van het concern.

56. Wat betreft de personalisatie van de inhoud, het komt mij voor dat een dergelijke activiteit weliswaar tot op zekere hoogte in het belang van de gebruiker kan zijn, daar zij het mogelijk maakt om met name in het nieuwsoverzicht inhoud te tonen die volgens een geautomatiseerde beoordeling met de interesses van de gebruiker overeenkomt, maar het is niet vanzelfsprekend dat zij ook noodzakelijk is voor de verrichting van de dienst van het betrokken netwerk, zodat voor de verwerking van persoonsgegevens voor deze doeleinden geen toestemming van de gebruiker vereist zou zijn.(80) Bij dit onderzoek moet er ook rekening mee worden gehouden dat de litigieuze praktijk niet de verwerking van gegevens over het gedrag van de gebruiker op de Facebookpagina of -app betreft, maar die van gegevens uit externe, en daarom in aantal potentieel onbeperkte bronnen. Ik vraag mij dan ook af in hoeverre deze verwerking zou kunnen beantwoorden aan de verwachtingen van een gemiddelde gebruiker en, meer in het algemeen, welke „mate van personalisatie” de gebruiker mag verwachten van de dienst waarvoor hij zich registreert.(81)

57. Wat het consistente en probleemloze gebruik van de diensten van het concern betreft, merk ik op dat het voor de gebruiker inderdaad nuttig kan zijn dat de verschillende door verzoeker in het hoofdgeding aangeboden diensten, bijvoorbeeld Facebook en Instagram, worden gekoppeld, en dat dit in sommige gevallen zelfs door hem gewenst kan zijn. Ik betwijfel echter of de verwerking van persoonsgegevens die afkomstig zijn van andere diensten van het concern (met name van Instagram) noodzakelijk is voor het verrichten van de Facebookdiensten.(82)

58. Ten tweede is de verwerking van persoonsgegevens, volgens artikel 6, lid 1, onder f), AVG, rechtmatig voor zover zij noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

59. Volgens de rechtspraak van het Hof zijn in deze bepaling drie cumulatieve voorwaarden gesteld waaraan moet zijn voldaan wil een verwerking van persoonsgegevens rechtmatig zijn, namelijk, in de eerste plaats de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, in de tweede plaats de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang, en in de derde plaats de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren.(83)

60. Wat om te beginnen de behartiging van een gerechtvaardigd belang betreft, herinner ik eraan dat de AVG en de rechtspraak een breed scala aan belangen als gerechtvaardigd erkennen(84), met dien verstande dat het krachtens artikel 13, lid 1, onder d), AVG aan de verwerkingsverantwoordelijke staat om aan te geven welke gerechtvaardigde belangen worden behartigd in de zin van artikel 6, lid 1, onder f), AVG.(85)

61. Wat betreft de voorwaarde inzake de noodzakelijkheid van de verwerking van persoonsgegevens voor de verwezenlijking van het nagestreefde gerechtvaardigde belang, moeten volgens de rechtspraak van het Hof afwijkingen en beperkingen van het beginsel van de bescherming van persoonsgegevens beperkt blijven tot hetgeen strikt noodzakelijk is.(86) Derhalve moet er een nauw verband bestaan tussen de verwerking en het nagestreefde belang, bij gebreke van alternatieven die de bescherming van persoonsgegevens beter in acht nemen, aangezien het niet volstaat dat de verwerking louter nuttig is voor de verwerkingsverantwoordelijke.

62. Wat ten slotte de afweging betreft van de belangen van de verwerkingsverantwoordelijke enerzijds tegen de belangen of de grondrechten en fundamentele vrijheden van de betrokkene anderzijds, is het volgens de rechtspraak van het Hof de taak van de verwijzende rechter om de in het geding zijnde belangen te wegen.(87) Voorts moet, zoals in overweging 47 van de AVG is gesteld, in het kader van deze afweging rekening worden gehouden met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding tot de verwerkingsverantwoordelijke, en moet worden bepaald of de betrokkene, op het tijdstip en in het kader van de verzameling van de persoonsgegevens, redelijkerwijs kan verwachten dat deze gegevens voor een bepaald doel zullen worden verwerkt.

63. In het kader van deze rechtvaardiging vermeldt de verwijzende rechter de personalisatie van advertenties, de netwerkveiligheid en de verbetering van het product.

64. Wat om te beginnen de personalisatie van advertenties betreft, blijkt uit overweging 47 van de AVG dat de verwerking van persoonsgegevens voor direct marketing kan worden geacht te zijn verricht om tegemoet te komen aan een gerechtvaardigd belang van de verwerkingsverantwoordelijke. Wat de noodzakelijkheid van de verwerking betreft, moet evenwel worden opgemerkt dat de gegevens in kwestie afkomstig zijn van bronnen buiten Facebook, zodat de vraag rijst welke „mate van personalisatie” van advertenties in dit opzicht objectief gezien noodzakelijk is. Bij de afweging van de in het geding zijnde belangen moet naar mijn mening rekening worden gehouden met de aard van het gerechtvaardigde belang in kwestie (in casu een zuiver economisch belang) en met de invloed van de verwerking op de gebruiker, met inbegrip van zijn redelijke verwachtingen, en met de eventueel door de verwerkingsverantwoordelijke getroffen beschermingsmaatregelen.(88)

65. Vervolgens kunnen soortgelijke overwegingen naar voren worden gebracht met betrekking tot de veiligheid van het netwerk. Hoewel een dergelijke rechtvaardiging een gerechtvaardigd belang van de verwerkingsverantwoordelijke kan vormen(89), ligt het namelijk minder voor de hand om te concluderen dat de verwerking in het onderhavige geval noodzakelijk is, mede gelet op het feit dat de betrokken gegevens afkomstig zijn uit bronnen buiten Facebook.(90) Hoe dan ook staat het aan de verwerkingsverantwoordelijke om aan te geven op welke veiligheidsdoeleinden iedere verwerking eventueel berust.

66. Wat ten slotte de verbetering van het product betreft, komt het mij voor dat, ook al zijn – onder de hierboven besproken specifieke rechtvaardiging vallende –veiligheidsgerelateerde verbeteringen uitgesloten, een dergelijke rechtvaardiging eerder het belang van de gebruiker dan dat van de verwerkingsverantwoordelijke betreft. Vanuit dit oogpunt valt moeilijk in te zien in hoeverre zij een gerechtvaardigd belang van de verantwoordelijke zou kunnen vormen, waarvoor geen toestemming van de gebruiker is vereist. Wat de noodzakelijkheidsvoorwaarde en de afweging van de in het geding zijnde rechten en belangen betreft, verwijs ik naar de bovenstaande overwegingen.

Vierde en vijfde prejudiciële vraag

67. De vierde prejudiciële vraag, die in wezen een uitbreiding vormt van het tweede deel van de derde prejudiciële vraag, heeft tot doel te vernemen of het zich herhalen van bepaalde, opgesomde situaties inhoudt dat er sprake is van een gerechtvaardigd belang in de zin van artikel 6, lid 1, onder f), AVG, terwijl de verwijzende rechter met zijn vijfde prejudiciële vraag wenst te vernemen of de noodzaak om te voldoen aan een rechtsgeldig verzoek om bepaalde gegevens, de noodzaak om schadelijk gedrag te bestrijden en de veiligheid te bevorderen of in het belang van onderzoek ten behoeve van het maatschappelijk welzijn, en de noodzaak om de bescherming, integriteit en veiligheid te bevorderen, rechtvaardigingsgronden vormen die op de litigieuze praktijk van toepassing zijn.(91)

68. Ongeacht de ontvankelijkheid van deze vragen(92) ben ik, algemeen bezien, van mening dat niet kan worden uitgesloten dat, wat de vierde prejudiciële vraag betreft, bepaalde bedingen die de litigieuze praktijk kenmerken, in de door de verwijzende rechter genoemde omstandigheden gerechtvaardigd kunnen zijn door legitieme belangen(93), en dat, wat de vijfde prejudiciële vraag betreft, de litigieuze praktijk in bepaalde situaties gerechtvaardigd kan zijn op grond van de genoemde bepalingen.

69. Uit de verwijzingsbeslissing blijkt echter niet of en in hoeverre Meta Platforms Ireland voor ieder verwerkingsdoeleinde en voor iedere soort verwerkte gegevens heeft aangegeven welke gerechtvaardigde belangen concreet worden nagestreefd of welke andere rechtvaardigingsgronden in het onderhavige geval eventueel relevant zijn.(94) Derhalve staat het aan de verwijzende rechter om in het licht van het voorgaande te onderzoeken in hoeverre de litigieuze praktijk, in de door hem genoemde omstandigheden, wordt gerechtvaardigd door het bestaan van gerechtvaardigde belangen van Meta Platforms Ireland bij de verwerking van gegevens in de zin van artikel 6, lid 1, onder f), AVG of door de vervulling van een van de andere voorwaarden van artikel 6, lid 1, onder c), d) en e) van deze verordening.

Beantwoording van de derde tot en met de vijfde prejudiciële vraag

70. Concluderend geef ik in overweging voor om op de derde tot en met de vijfde prejudiciële vraag te antwoorden dat artikel 6, lid 1, onder b), c), d), e) en f), AVG aldus moet worden uitgelegd dat de litigieuze praktijk of bepaalde activiteiten waaruit deze praktijk bestaat onder de in deze bepalingen vastgestelde uitzonderingen kunnen vallen, mits iedere onderzochte wijze van gegevensverwerking voldoet aan de voorwaarden die zijn vastgesteld voor de rechtvaardigingsgrond die concreet door de verwerkingsverantwoordelijke wordt aangevoerd, en dat bijgevolg:

– de verwerking objectief noodzakelijk is voor het verrichten van diensten in verband met het Facebookaccount;

– de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang dat is aangevoerd door de verwerkingsverantwoordelijke of door de derde(n) aan wie de gegevens worden doorgegeven, en de verwerking de grondrechten en fundamentele vrijheden van de betrokkene niet op onevenredige wijze aantast;

– de verwerking noodzakelijk is om te voldoen aan een rechtsgeldig verzoek om bepaalde gegevens, om schadelijk gedrag te bestrijden en de veiligheid te bevorderen, of voor doeleinden van onderzoek ten behoeve van het maatschappelijk welzijn en om de bescherming, integriteit en veiligheid te bevorderen.

Zesde prejudiciële vraag

71. Met zijn zesde prejudiciële vraag wenst de verwijzende rechter in wezen te vernemen of artikel 6, lid 1, onder a), en artikel 9, lid 2, onder a), AVG aldus moeten worden uitgelegd dat een geldige en vrije toestemming in de zin van artikel 4, punt 11, van deze verordening kan worden verleend aan een onderneming met een machtspositie op de nationale markt van online sociale netwerken voor particuliere gebruikers.

72. Vooraf breng ik in herinnering dat artikel 6, lid 1, onder a), en artikel 9, lid 2, onder a), AVG toestemming van de betrokkene verplicht stellen met betrekking tot respectievelijk de verwerking van persoonsgegevens in het algemeen en de verwerking van gevoelige persoonsgegevens. Bovendien definieert artikel 4, punt 11, AVG, voor de toepassing van deze verordening, het begrip „toestemming” van de betrokkene als elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee deze persoon door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt.(95)

73. Wat met name de voorwaarde van de „vrijelijk” verleende toestemming betreft, die de enige voorwaarde is die in de onderhavige zaak aan de orde wordt gesteld, merk ik op dat, overeenkomstig overweging 42 AVG, toestemming niet mag worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft(96) of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.(97) Zoals is bepaald in artikel 7, lid 1, AVG (en in herinnering wordt gebracht in overweging 42 van deze verordening), moet de verwerkingsverantwoordelijke, wanneer de verwerking berust op toestemming van de betrokkene, bovendien kunnen aantonen dat deze persoon toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.

74. In de onderhavige zaak is het om te beginnen relevant dat, zoals in overweging 43, eerste volzin, AVG wordt benadrukt, toestemming geen geldige rechtsgrond is voor de verwerking van persoonsgegevens wanneer er sprake is van een „duidelijke wanverhouding” tussen de betrokkene en de verwerkingsverantwoordelijke(98), vervolgens dat, in de bewoordingen van artikel 7, lid 4, AVG, bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven onder meer ten sterkste rekening wordt gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst(99), en ten slotte dat, overeenkomstig overweging 43, tweede volzin, AVG, de toestemming eveneens wordt geacht niet vrijelijk te zijn verleend indien er geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is.(100)

75. In casu ben ik van mening dat het feit dat de verantwoordelijke voor de verwerking van persoonsgegevens als exploitant van een sociaal netwerk mogelijkerwijs over een machtspositie op de markt beschikt, een rol speelt bij de beoordeling of de gebruiker van dit netwerk daadwerkelijk vrijelijk toestemming heeft verleend. Een situatie waarin de verantwoordelijke voor de verwerking van persoonsgegevens over een machtspositie op de markt beschikt, kan immers leiden tot een duidelijke wanverhouding in de machtsverhoudingen in de zin van punt 74 van deze conclusie.(101) Niettemin moet worden opgemerkt dat een dergelijke situatie van marktmacht, om relevant te zijn in het kader van de toepassing van de AVG, niet noodzakelijkerwijs moet worden getoetst aan de drempel voor het bestaan van een machtspositie in de zin van artikel 102 VWEU(102), en dat deze enkele omstandigheid een toestemming in beginsel niet elke geldigheid kan ontnemen.(103)

76. Bijgevolg moet de geldigheid van toestemming per geval worden onderzocht in het licht van de andere in de punten 73 en 74 van deze conclusie genoemde factoren en rekening houdend met alle omstandigheden van het geval, alsook met het feit dat het aan de verwerkingsverantwoordelijke is om aan te tonen dat de betrokkene toestemming heeft gegeven voor de verwerking van hem betreffende persoonsgegevens.

77. Concluderend geef ik in overweging om op de zesde prejudiciële vraag te antwoorden dat artikel 6, lid 1, onder a), en artikel 9, lid 2, onder a), AVG aldus moeten worden uitgelegd dat de enkele omstandigheid dat de onderneming die een sociaal netwerk exploiteert een machtspositie heeft op de nationale markt voor online sociale netwerken voor particuliere gebruikers, de toestemming van de gebruiker van dit netwerk voor de verwerking van zijn persoonsgegevens in de zin van artikel 4, punt 11, AVG niet van haar geldigheid kan beroven. Een dergelijke omstandigheid speelt niettemin een rol bij de beoordeling van de vrijheid waarmee de toestemming in de zin van deze bepaling is verleend, die de verwerkingsverantwoordelijke moet aantonen, in voorkomend geval rekening houdend met het bestaan van een duidelijke wanverhouding in de machtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, de eventuele verplichting om toestemming te verlenen voor de verwerking van andere persoonsgegevens dan die welke strikt noodzakelijk zijn voor de verrichting van de betrokken diensten, de noodzaak dat de toestemming specifiek voor ieder verwerkingsdoeleinde wordt verleend en de noodzaak te voorkomen dat de betrokken gebruiker de toestemming niet zonder nadelige gevolgen kan intrekken.

Conclusie

78. Gelet op het voorgaande geef ik het Hof in overweging de prejudiciële vragen van het Oberlandesgericht Düsseldorf als volgt te beantwoorden:

„1) De artikelen 51 tot en met 66 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moeten aldus worden uitgelegd dat

een mededingingsautoriteit in het kader van haar bevoegdheden in de zin van de mededingingsregels incidenteel kan onderzoeken of de onderzochte praktijken verenigbaar zijn met de regels van deze verordening, waarbij zij rekening dient te houden met alle besluiten of onderzoeken van de krachtens deze verordening bevoegde toezichthoudende autoriteit, en de nationale toezichthoudende autoriteit dient te informeren en in voorkomend geval dient te raadplegen.

2) Artikel 9, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat

het verbod op de verwerking van gevoelige persoonsgegevens zich kan uitstrekken tot de verwerking van gegevens door een exploitant van een online sociaal netwerk bestaande in het verzamelen van gegevens van een gebruiker wanneer hij andere websites of apps raadpleegt of daar gegevens invoert, het koppelen van deze gegevens aan het gebruikersaccount van het sociale netwerk en het gebruik van deze gegevens, mits de verwerkte gegevens, individueel beschouwd of gegroepeerd, het mogelijk maken de gebruiker te profileren volgens de in deze bepaling opgesomde categorieën van gevoelige persoonsgegevens.

Artikel 9, lid 2, onder e), van deze verordening

moet aldus worden uitgelegd dat

een gebruiker gegevens niet kennelijk openbaar maakt door het feit dat van deze gegevens is gebleken door het raadplegen van webpagina’s of apps, dan wel deze gegevens daar zijn ingevoerd of gegenereerd door het aanklikken van in deze webpagina’s of apps geïntegreerde selectieknoppen.

3) Artikel 6, lid 1, onder b), c), d), e) en f), van verordening 2016/679

moet aldus worden uitgelegd dat

de praktijk die bestaat in, ten eerste, het verzamelen van gegevens uit andere diensten van het concern en uit websites en apps van derden, via daarin geïntegreerde interfaces of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies, ten tweede, de verbinding van deze gegevens met het Facebook-account van de betrokken gebruiker en, ten derde, het gebruik van deze gegevens of bepaalde activiteiten waaruit deze praktijk bestaat, onder de in deze bepalingen vastgestelde uitzonderingen kunnen vallen, mits iedere onderzochte wijze van gegevensverwerking voldoet aan de voorwaarden die zijn vastgesteld voor de rechtvaardigingsgrond die concreet door de verwerkingsverantwoordelijke wordt aangevoerd, en dat bijgevolg:

– de verwerking objectief gezien noodzakelijk is voor het verrichten van diensten in verband met het Facebookaccount;

4) Artikel 6, lid 1, onder a), en artikel 9, lid 2, onder a), van verordening 2016/679

moeten aldus worden uitgelegd dat

de enkele omstandigheid dat de onderneming die een sociaal netwerk exploiteert een machtspositie heeft op de nationale markt voor online sociale netwerken voor particuliere gebruikers, de toestemming van de gebruiker van dit netwerk voor de verwerking van zijn persoonsgegevens in de zin van artikel 4, punt 11, van deze verordening niet van haar geldigheid kan beroven. Een dergelijke omstandigheid speelt niettemin een rol bij de beoordeling van de vrijheid waarmee de toestemming in de zin van deze bepaling is verleend, die de verwerkingsverantwoordelijke moet aantonen, in voorkomend geval rekening houdend met het bestaan van een duidelijke wanverhouding in de machtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, de eventuele verplichting om toestemming te verlenen voor de verwerking van andere persoonsgegevens dan die welke strikt noodzakelijk zijn voor de verrichting van de betrokken diensten, de noodzaak dat de toestemming specifiek voor ieder verwerkingsdoeleinde wordt verleend en de noodzaak te voorkomen dat de betrokken gebruiker de toestemming niet zonder nadelige gevolgen kan intrekken.”

1 Oorspronkelijke taal: Frans.

2 Namelijk Meta Platforms Inc., voorheen Facebook Inc., Meta Platforms Ireland Limited, voorheen Facebook Ireland Ltd., en Facebook Deutschland GmbH (hierna: „Meta Platforms” of „verzoekster in het hoofdgeding”).

3 Besluit B6‑22/16 van 6 februari 2019 (hierna: „litigieus besluit”).

4 Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”).

5 In de tot en met 18 januari 2021 toepasselijke versie.

6 Daartoe verzamelt Meta Platforms, naast de gegevens die gebruikers rechtstreeks bij hun registratie voor de betrokken onlinediensten verstrekken, andere gebruikers- en apparaatgegevens binnen en buiten het sociale netwerk en de door het concern verstrekte onlinediensten, en koppelt zij deze gegevens aan de verschillende accounts van de betrokken gebruikers. Uit deze gegevens, in hun geheel beschouwd, kunnen gedetailleerde conclusies worden getrokken over de voorkeuren en de interesses van de gebruikers.

7 Wat meer bepaald de verwerking van persoonsgegevens betreft, verwijzen de servicevoorwaarden naar het door Meta Platforms vastgestelde gegevens- en cookiebeleid. Krachtens dit beleid verzamelt Meta Platforms gebruikers- en apparaatgegevens over de gebruikersactiviteiten binnen en buiten het online sociale netwerk en linkt zij deze gegevens aan de Facebookaccounts van de betrokken gebruikers. De activiteiten die buiten het online sociale netwerk plaatsvinden bestaan in het raadplegen van webpagina’s en applicaties van derden, die met Facebook zijn verbonden via een programmeerinterface (namelijk de „Facebook Business Tools”), en in het gebruik van andere onlinediensten die tot het Meta Platforms-concern behoren, waaronder Instagram en WhatsApp.

8 Volgens het Bundeskartellamt heeft deze gegevensverwerking, als uitvloeisel van marktmacht, inbreuk gemaakt op de AVG en was zij niet gerechtvaardigd gelet op artikel 6, lid 1, en artikel 9, lid 2, van deze verordening.

9 Bovendien heeft Meta Platforms op 31 juli 2019, op initiatief van de Europese Commissie en de nationale consumentenorganisaties in de lidstaten, nieuwe servicevoorwaarden ingevoerd waarin uitdrukkelijk is vermeld dat de gebruiker, omdat hij niet hoeft te betalen voor het gebruik van de Facebookproducten, akkoord gaat met het tonen van advertenties. Voorts biedt Meta Platforms sinds 28 januari 2020 wereldwijd de zogenoemde „Activiteit buiten Facebook”-tool (Off-Facebook activity) aan, waarmee Facebookgebruikers een samenvatting kunnen opvragen van de hen betreffende informatie die Facebook over hun activiteiten op andere webpagina’s en apps heeft verkregen en desgewenst deze gegevens – zowel retroactief als proactief – van hun Facebookaccount kunnen loskoppelen.

10 Het komt mij voor dat de woorden „vaststelt dat […] inbreuk [wordt gemaakt] op de AVG, en de beëindiging van die inbreuk beveelt” in de eerste prejudiciële vraag in die zin moeten worden uitgelegd.

11 Aangezien de AVG het recht op gegevensbescherming volledig harmoniseert, en het centrale element daarbij bestaat in een geharmoniseerde uitvoeringsregeling op basis van het in de artikelen 51 tot en met 67 van deze verordening neergelegde „één-loketbeginsel”, lijkt het mij hoe dan ook duidelijk dat een andere autoriteit dan de toezichthoudende autoriteiten in de zin van deze verordening (zoals een mededingingsautoriteit) niet bevoegd is om primair een inbreuk op deze verordening vast te stellen noch om de vastgestelde sancties toe te passen.

12 Aangezien een mededingingsautoriteit niet bevoegd is om, primair, een inbreuk op deze verordening vast te stellen of om de vastgestelde sancties toe te passen, ben ik hoe dan ook van mening dat een eventueel besluit in die zin van een mededingingsautoriteit de bevoegdheid van de toezichthoudende autoriteiten in de zin van de AVG niet kan aantasten.

13 Volgens mij moeten de woorden „[kan zij] in het kader van bijvoorbeeld de belangenafweging vaststellingen doen ten aanzien van de vraag of de voorwaarden inzake gegevensverwerking van deze onderneming en de uitvoering daarvan voldoen aan de AVG” in de zevende prejudiciële vraag volgens mij in die zin worden uitgelegd.

14 Zie voetnoot 11 van deze conclusie.

15 Verordening van de Raad van 16 december 2002 betreffende de uitvoering van de mededingingsregels van de artikelen [101 en 102 VWEU] (PB 2003, L 1, blz. 1).

16 Zoals § 19 GWB, waarop het litigieuze besluit is gebaseerd.

17 Zie bijvoorbeeld arrest van 6 september 2017, Intel/Commissie (C‑413/14 P, EU:C:2017:632, punt 136 en aldaar aangehaalde rechtspraak). Voorts heeft het Hof verduidelijkt dat artikel 102 VWEU een algemene draagwijdte heeft en geenszins kan worden beperkt tot gevallen waarin de wetgever van de Unie een regelgevingskader – in casu het regelgevingskader voor elektronische communicatie – heeft vastgesteld (zie in die zin arrest van 10 juli 2014, Telefónica en Telefónica de España/Commissie, C‑295/12 P, EU:C:2014:2062, punt 128).

18 In het licht van de verschillende doelstellingen van de twee categorieën normen is het namelijk duidelijk dat gedrag met betrekking tot de verwerking van gegevens, zelfs wanneer het in overeenstemming is met de AVG, een inbreuk op de mededingingsregels kan vormen, en, omgekeerd, dat onrechtmatig gedrag in de zin van de AVG niet noodzakelijkerwijs leidt tot de conclusie dat dit gedrag de mededingingsregels schendt. In dit verband heeft het Hof verduidelijkt dat de conformiteit van bepaald gedrag met een specifieke wettelijke regeling niet uitsluit dat op dit gedrag de artikelen 101 en 102 VWEU van toepassing zijn [zie met name arrest van 6 december 2012, AstraZeneca/Commissie (C‑457/10 P, EU:C:2012:770, punt 132), waarin het Hof er tevens op heeft gewezen dat misbruik van machtspositie in de meeste gevallen bestaat uit gedrag dat voor het overige – ten aanzien van andere rechtstakken dan het mededingingsrecht – rechtmatig is]. Indien alleen praktijken die zowel objectief mededingingsbeperkend als juridisch onrechtmatig zijn, als misbruik in de zin van artikel 102 VWEU werden aangemerkt, dan zou dit immers betekenen dat bepaald gedrag, ook al is het mogelijk schadelijk voor de mededinging, enkel vanwege de rechtmatigheid ervan niet kan worden bestraft op grond van artikel 102 VWEU, hetgeen afbreuk zou doen aan het doel van deze bepaling om een regeling vast te stellen die ervoor zorgt dat de mededinging op de interne markt niet wordt vervalst [zie in die zin mijn conclusie in de zaak Servizio Elettrico Nazionale e.a. (C‑377/20, EU:C:2021:998, punt 37)]. Volgens de rechtspraak van het Hof zijn de artikelen 101 en 102 VWEU immers enkel niet van toepassing indien een mededingingsverstorende gedraging bij een nationale wettelijke regeling aan de ondernemingen wordt voorgeschreven, of indien deze wettelijke regeling een rechtskader creëert dat zelf iedere mogelijkheid van concurrentieel gedrag voor deze ondernemingen uitsluit, maar kunnen deze artikelen wel van toepassing zijn indien blijkt dat de nationale wettelijke regeling ruimte laat voor mededinging die door autonome gedragingen van de ondernemingen kan worden verhinderd, beperkt of vervalst [zie in die zin arrest van 14 oktober 2010, Deutsche Telekom/Commissie (C‑280/08 P, EU:C:2010:603, punt 80 en aldaar aangehaalde rechtspraak)].

19 Een uitlegging volgens welke het de mededingingsautoriteiten verboden zou zijn om bij de uitoefening van hun bevoegdheden de bepalingen van de AVG uit te leggen zou immers afbreuk doen aan de doeltreffende toepassing van het mededingingsrecht van de Unie.

20 Voorts staat de incidentele aard van de uitlegging van de AVG door de mededingingsautoriteit er niet aan in de weg dat deze uitlegging wordt getoetst door de op mededingingsgebied bevoegde nationale rechterlijke instanties, die bij uitleggingsmoeilijkheden het Hof een prejudiciële vraag kunnen stellen, zoals in casu is gebeurd wat de tweede tot en met de zesde prejudiciële vraag betreft.

21 De uitlegging van de AVG door de mededingingsautoriteit met het enkele doel de regels toe te passen (en eventueel de sancties op te leggen) waarin het mededingingsrecht voorziet, kan de bevoegdheden uit hoofde van deze verordening immers niet aan de toezichthoudende autoriteiten ontnemen. Voorts levert de mogelijkheid van een incidentele uitlegging van deze verordening door de mededingingsautoriteit evenmin problemen op met betrekking tot de toepassing ervan, die aan de toezichthoudende autoriteiten is voorbehouden, noch met betrekking tot het opleggen van corrigerende maatregelen of sancties, daar de eventueel door een mededingingsautoriteit opgelegde maatregelen of sancties zijn gebaseerd op andere regels, doelstellingen en rechtmatige belangen dan die welke door deze verordening worden beschermd [om die reden vallen in een dergelijke situatie het opleggen van sancties door de mededingingsautoriteit en het opleggen van sancties door de toezichthoudende autoriteit in de zin van de AVG volgens mij niet onder het beginsel „ne bis in idem” (zie naar analogie arrest van 22 maart 2022, bpost, C‑117/20, EU:C:2022:202, punten 42‑50)].

22 Bovendien is het risico op verschillende uitleggingen inherent aan elk gebied dat wordt beheerst door een regeling waarmee de mededingingsautoriteit rekening moet of kan houden bij het toetsen van de rechtmatigheid van een bepaalde gedraging aan het mededingingsrecht.

23 De hoofdstukken VI en VII van de AVG voorzien met name in „één-loket”-regelingen voor de uitwisseling van informatie en voor wederzijdse bijstand tussen de toezichthoudende autoriteiten.

24 Zie verordening nr. 1/2003 en richtlijn (EU) 2019/1 van het Europees Parlement en de Raad van 11 december 2018 tot toekenning van bevoegdheden aan de mededingingsautoriteiten van de lidstaten voor een doeltreffendere handhaving en ter waarborging van de goede werking van de interne markt (PB 2019, L 11, blz. 3).

25 Zie in die zin met name arresten van 14 november 1989, Italië/Commissie (14/88, EU:C:1989:421, punt 20), en 11 juni 1991, Athanasopoulos e.a. (C‑251/89, EU:C:1991:242, punt 57).

26 Voorts kan het bij de AVG ingestelde mechanisme voor samenwerking tussen de toezichthoudende autoriteiten zelf worden aangemerkt als een lex specialis die het in artikel 4, lid 3, VEU neergelegde algemene beginsel van loyale samenwerking aanvult en specificeert (zie met name, in de rechtsleer, Hijmans, H., „Article 51 Supervisory authority”, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, Oxford, 2020, blz. 869). Hetzelfde geldt voor de andere samenwerkingsinstrumenten die vóór het instrument van de AVG bestonden, zoals het systeem van samenwerking tussen de mededingingsautoriteiten (zie met name hoofdstuk IV van verordening nr. 1/2003).

27 Zie in die zin de conclusie van advocaat-generaal Trstenjak in de zaak Gorostiaga Atxalandabaso/Parlement (C‑308/07 P, EU:C:2008:498, punt 89).

28 Zie met name arrest van 2 juni 2022, Skeyes (C‑353/20, EU:C:2022:423, punt 52 en aldaar aangehaalde rechtspraak). Naar mijn mening kunnen aanwijzingen over de te ondernemen stappen in voorkomend geval worden ontleend aan het bij de AVG ingevoerde samenwerkingssysteem en aan het op mededingingsgebied ingevoerde systeem, met dien verstande dat, bij gebreke van ad-hocbepalingen, de op de mededingingsautoriteit rustende zorgvuldigheidsplicht niet zo ver gaat deze autoriteit is onderworpen aan gedetailleerde verplichtingen zoals met name die welke zijn voorzien in de in hoofdstuk VII van de AVG neergelegde procedure voor samenwerking en toezicht op de coherentie (zo kan van de mededingingsautoriteit bijvoorbeeld niet worden verwacht dat zij een ontwerpbesluit aan de bevoegde toezichthoudende autoriteit in de zin van deze verordening toezendt om het advies van deze laatste in te winnen).

29 Zie naar analogie, met betrekking tot een gebied dat onder de regelgeving van de Unie inzake geneesmiddelen valt, met name arrest van 23 januari 2018, F. Hoffmann-La Roche e.a. (C‑179/16, EU:C:2018:25, punten 58‑64).

30 Met andere woorden, dit besluit maakt zelf deel uit van het juridische en feitelijke kader dat de mededingingsautoriteit moet onderzoeken, waarbij het haar vrij staat om aan dit besluit consequenties te verbinden in het licht van de toepassing van het mededingingsrecht (zie voetnoot 18 van deze conclusie).

31 Gelet op de rol en de taken van de nationale toezichthoudende autoriteiten in het bij de AVG ingevoerde samenwerkingssysteem, ben ik van mening dat een interactie met de nationale toezichthoudende autoriteit op zich volstaat om ervan uit te gaan dat de mededingingsautoriteit haar verplichtingen inzake zorgvuldigheid en loyale samenwerking is nagekomen, met name wanneer deze autoriteit niet de mogelijkheid heeft (rekening houdend met de toepasselijke procedures van nationaal recht) of de middelen (in het bijzonder de taalkundige middelen) om op bevredigende wijze met de leidende toezichthoudende autoriteit van een andere lidstaat te interageren.

32 Of, wanneer deze autoriteit in een andere lidstaat is gevestigd, de nationale toezichthoudende autoriteit (zie voetnoot 31 van deze conclusie).

33 Ik herinner er evenwel aan dat de uitlegging die door een mededingingsautoriteit bij de uitoefening van haar bevoegdheden aan sommige bepalingen van de AVG wordt gegeven, niet vooruitloopt op de uitlegging en de toepassing van deze bepalingen door de bevoegde toezichthoudende autoriteiten in de zin van deze verordening (zie voetnoot 21 van deze conclusie).

34 Het Bundeskartellamt voert in dit verband aan dat het zich heeft gebaseerd op het Duitse mededingingsrecht, op grond waarvan deze autoriteit kan communiceren met de nationale toezichthoudende autoriteiten in de zin van de AVG.

35 Dit geldt des te meer in het geval dat, zoals het Bundeskartellamt stelt, de Duitse federale toezichthoudende autoriteit en de Ierse leidende toezichthoudende autoriteit het Bundeskartellamt hebben bevestigd dat deze Ierse autoriteit geen procedure heeft ingeleid met betrekking tot de door het Bundeskartellamt onderzochte praktijken.

36 De verwijzende rechter refereert met name aan de omstandigheid dat een gebruiker webpagina’s of apps (zoals flirtingapps, datingapps voor homoseksuelen, websites van politieke partijen of gezondheidswebsites) raadpleegt en daar informatie invoert, waardoor door de betrokken bepaling beschermde gegevens worden gegenereerd.

37 Terloops wijs ik erop dat het Bundeskartellamt twijfelt aan de relevantie van deze vraag voor de beslechting van het geding, aangezien het in zijn besluit rekening heeft gehouden met toestemming in de zin van artikel 6, lid 1, onder a), AVG, en niet met toestemming in de zin van artikel 9, lid 2, onder a), van deze verordening.

38 Hierna: „gevoelige persoonsgegevens”. Het betreft de verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, alsmede de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gezondheidsgerelateerde gegevens of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

39 De verwijzende rechter refereert in dit verband aan sociale plug-ins zoals de knoppen „Vind ik leuk” en „Delen”, aan „Facebook Login” (te weten de mogelijkheid om zich te identificeren via de inloggegevens van het Facebookaccount) en aan „Account Kit” (te weten de mogelijkheid om zich op een app of een website – die niet noodzakelijkerwijs aan Facebook is gekoppeld – te identificeren met een telefoonnummer of een e-mailadres, zonder dat daarvoor een wachtwoord nodig is).

40 Ik stel ook een belangrijk verschil vast tussen de Franse taalversie van de AVG, die in het begin van deze bepaling verwijst naar „[un] traitement des données à caractère personnel qui révèle [certaines situations sensibles]” (een verwerking van persoonsgegevens waaruit bepaalde gevoelige situaties blijken; cursivering van mij), en de Duitse taalversie, alsook met name de Griekse en de Italiaanse taalversie, die verwijzen naar een verwerking van persoonsgegevens waaruit deze situaties blijken. Indien ik mij niet vergis, is de Franse taalversie van deze bepaling in tegenspraak met de meeste andere taalversies. In de context van deze bepaling lijkt het mij overigens logischer om de uitdrukking „blijken uit” aan de gegevens te koppelen, aangezien in het vervolg van deze bepaling de gegevens, en niet de verwerking, het voorwerp zijn van de analyse. Dit kan eveneens worden opgemaakt uit de Franse tekst van overweging 51 AVG, waarin wordt gepreciseerd dat gevoelige persoonsgegevens „ook persoonsgegevens [dienen] te omvatten waaruit ras of etnische afkomst blijkt” (cursivering van mij).

41 Naar mijn mening zou het niet stroken met de geest van artikel 9, lid 1, AVG (en de geest van deze verordening), volgens welke bepaalde gevoelige persoonsgegevens moeten worden beschermd, dat bijvoorbeeld een onderscheid wordt gemaakt tussen enerzijds ras of etnische afkomst, waarbij het verwerkingsverbod niet alleen voor gegevens die deze situatie rechtstreeks aangeven, maar ook voor gegevens waaruit deze situatie blijkt, zou gelden, en anderzijds genetische gegevens, waarbij het verwerkingsverbod zich niet zou uitstrekken tot gegevens waaruit deze situatie blijkt. Verder wijs ik erop dat het niet altijd gemakkelijk zou zijn om een onderscheid te maken tussen gegevens waaruit een bepaalde situatie (bijvoorbeeld ras of etnische afkomst) blijkt en gegevens over of met betrekking tot andere situaties (bijvoorbeeld de gezondheid). In dit verband merk ik op dat artikel 9, lid 1, AVG weliswaar onder meer verwijst naar „gegevens over gezondheid”, maar dat artikel 4, punt 15 van deze verordening „gegevens over gezondheid” definieert als „persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven” (cursivering van mij). Zoals de Duitse regering suggereert, is het mogelijk dat deze inconsequentie in de bewoordingen van de betrokken bepaling niet meer is dan een weinig succesvolle poging om een onderscheid te maken tussen zuivere gegevens met een directe informatieve inhoud en „metagegevens”, waarvoor slechts in een concrete context, nadat een toetsing is verricht of een verband is gelegd, een overeenkomstige informatieve inhoud verschijnt.

42 Zoals verzoekster in het hoofdgeding aanvoert, gaat het hier in beginsel om twee verschillende aspecten. Uit het enkele feit dat een gebruiker een website heeft bezocht of ermee heeft geïnterageerd, blijkt op zich immers niet noodzakelijkerwijs informatie over zijn geloofsovertuigingen, zijn gezondheid, zijn politieke opvattingen enzovoort, aangezien uit het feit dat iemand interesse toont voor een website niet automatisch blijkt dat hij het eens is met de op die site gepropageerde ideeën of dat hij deel uitmaakt van de door die site vertegenwoordigde groepen. Dit is met name het geval wanneer iemand een website van een politieke partij of een website die een bepaalde politieke ideologie uitdraagt, raadpleegt, waarbij deze raadpleging niet noodzakelijkerwijs inhoudt dat deze persoon deze ideologie deelt, maar mogelijk is verricht uit nieuwsgierigheid of zelfs vanuit een kritische houding tegenover deze ideologie.

43 Volgens Meta Platforms blijkt uit het feit dat een gebruiker een website heeft bezocht of ermee heeft geïnterageerd op zich geen gevoelige informatie, want zelfs indien er belangstelling voor een website werd vastgesteld of van deze informatie gebruik werd gemaakt, zou dit nog geen verwerking van gevoelige persoonsgegevens inhouden. Daarvan zou slechts sprake zijn indien de gebruikers via deze gegevens werden ingedeeld. Bijgevolg vallen de gegevens die het voorwerp van de litigieuze praktijk zijn, slechts onder de bescherming van artikel 9, lid 1, AVG, indien zij betrekking hebben op een van de daarin bedoelde categorieën en subjectief, welbewust en met de bedoeling om er deze categorieën van informatie uit af te leiden, worden verwerkt. Volgens de naar mijn mening te rigide uitlegging van het Bundeskartellamt daarentegen activeert het enkele feit dat de betrokkene een bepaalde webpagina raadpleegt of een bepaalde app gebruikt, waarvan het belangrijkste oogmerk onder de in artikel 9, lid 1, AVG opgesomde gebieden valt, reeds de bescherming van deze bepaling. De bescherming van gevoelige persoonsgegevens zou niet afhangen van het voornemen van de verwerkingsverantwoordelijke om dergelijke gegevens te gebruiken, aangezien de rechten van de betrokkene reeds zouden zijn aangetast doordat deze gegevens aan zijn invloedssfeer worden onttrokken.

44 Zoals het Europees Comité voor gegevensbescherming (EDPB) heeft erkend, betekent het enkele feit dat een aanbieder van sociale media grote hoeveelheden gegevens verwerkt die mogelijk kunnen worden gebruikt om er bijzondere categorieën van gegevens uit af te leiden, immers niet automatisch dat de verwerking onder artikel 9 AVG valt (zie EDPB-richtsnoeren 8/2020 van 13 april 2021 betreffende de targeting van gebruikers van sociale media (hierna: „EDPB-richtsnoeren 8/2020”), punt 124).

45 Door een dergelijke uitlegging kan volgens mij de door verzoekster in het hoofdgeding betreurde situatie worden vermeden, waarin de verwerkingsverantwoordelijke in wezen automatisch de AVG zou schenden omdat hij niet kan verhinderen dat mogelijk informatie wordt verkregen (met name via geautomatiseerde middelen) die indirect verband houdt met de categorieën van gevoelige gegevens, onverminderd de op de verwerkingsverantwoordelijke rustende verplichting om passende technische en organisatorische maatregelen ten uitvoer te leggen teneinde, overeenkomstig artikel 32 AVG, een op het risico afgestemd beveiligingsniveau te waarborgen.

46 Zie in die zin EDPB-richtsnoeren 8/2020, punt 125.

47 De verwijzende rechter vermeldt in dit verband de personalisatie van het online sociale netwerk en van advertenties, de veiligheid van het netwerk, de verbetering van diensten, het aanbieden van meet- en analysediensten voor adverteerders, het onderzoek in het maatschappelijk belang, het antwoorden op wettelijke verzoeken, de naleving van wettelijke verplichtingen, de bescherming van vitale belangen van gebruikers en van derden en de uitvoering van taken in het algemeen belang.

48 Zie naar analogie arrest van 21 december 2016, Tele2 Sverige en Watson e.a. (C‑203/15 en C‑698/15, EU:C:2016:970, punt 89 en aldaar aangehaalde rechtspraak), betreffende de uitlegging van artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), zoals gewijzigd door richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11).

49 Zie ook advies 6/2014, blz. 10 en 11, van de werkgroep „Artikel 29”, een onafhankelijk adviesorgaan dat is opgericht bij artikel 29 van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31), en sinds de vaststelling van de AVG is vervangen door het EDPB.

50 Deze voorwaarde komt volgens mij zeer dicht in de buurt van die van toestemming van de betrokkene.

51 Ik herinner eraan dat, krachtens artikel 5, lid 2, AVG, de bewijslast inzake de naleving van de AVG-regels bij de verwerking van persoonsgegevens, bij de verwerkingsverantwoordelijke ligt.

52 Voorts is het volgens mij niet zo vanzelfsprekend dat, hoewel een oplettende gebruiker zich er waarschijnlijk van bewust is dat zijn verbindingsgegevens toegankelijk zijn voor de beheerder van de betrokken website of app, hij eveneens beseft dat deze gegevens ook voor de beheerder van zijn Facebookaccount toegankelijk zijn.

53 De gebruiker is zich hooguit bewust van zijn „relatie” met de beheerder van de site of app en met de derden aan wie deze beheerder deze informatie doorgeeft, maar het is evengoed mogelijk dat hij zich van deze relatie niet eens bewust is omdat hij, naargelang de omstandigheden, de indruk kan hebben dat hij informatie – die eventueel wordt geanonimiseerd – maar aan een apparaat prijsgeeft.

54 Het betreft knoppen zoals „Vind ik leuk”, „Delen” enz. (zie voetnoot 39 van deze conclusie).

55 Zo biedt Facebook de gebruiker, via zijn voorkeuren, verschillende opties om de in zijn Facebookaccount beschikbare informatie te delen.

56 Weliswaar kan niet worden uitgesloten dat de gebruiker met deze handelingen in bepaalde gevallen daadwerkelijk informatie over zichzelf wil doorgeven aan een onbepaald aantal personen. De gebruiker kan bijvoorbeeld de opties voor delen op zijn Facebookaccount bewust zo hebben ingesteld dat inhoud op zijn profiel toegankelijk is voor alle gebruikers van dit sociale netwerk. Zelfs in dergelijke omstandigheden spreekt het echter niet voor zich dat de gebruiker door dit gedrag zonder enige twijfel blijk heeft willen geven van de bedoeling om de betrokken persoonsgegevens kennelijk openbaar te maken, gelet op het strikte karakter van de betrokken uitzondering (zie punt 42 van deze conclusie).

57 Zie in die zin arrest van 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, punten 87‑89).

58 Met name cookies (zie overweging 25 van richtlijn 2002/58).

59 Deze toestemming kan evenmin worden gelijkgesteld met een uitdrukkelijke toestemming voor de verwerking van deze gegevens in de zin van artikel 9, lid 2, onder a), AVG. Een toestemming voor profilering in de zin van artikel 22, lid 1, onder c), AVG, die zich uiteraard slechts tot verwerking met het oog op profilering uitstrekt, is evenmin relevant.

60 Wat de vijfde prejudiciële vraag betreft, heeft de verwijzende rechter in de litigieuze praktijk, naast het verzamelen van gegevens uit andere diensten van het concern en uit websites en apps van derden, het koppelen van deze gegevens aan het Facebookaccount van de gebruiker en het gebruik van deze gegevens (zie punt 10 van deze conclusie), ook „het gebruik van reeds op andere wijze rechtmatig verzamelde en [met het Facebookaccount van de gebruiker] verbonden gegevens” opgenomen.

61 Artikel 6, lid 1, onder b), AVG.

62 Artikel 6, lid 1, onder f), AVG.

63 Artikel 6, lid 1, onder f), AVG.

64 Namelijk de minderjarigheid van de gebruiker, het aanbieden van diensten inzake meting en analyse en andere commerciële diensten, het verstrekken van marketingcommunicatie aan de gebruiker, onderzoek en innovatie in het maatschappelijk belang, het delen van informatie met wethandhavingsinstanties en het antwoorden op gerechtelijke verzoeken.

65 Artikel 6, lid 1, onder c), AVG.

66 Artikel 6, lid 1, onder d), AVG.

67 Artikel 6, lid 1, onder e), AVG.

68 De vierde prejudiciële vraag lijkt het Hof namelijk uit te nodigen om zich uit te spreken over de toepassing – veeleer dan over de uitlegging – van artikel 6, lid 1, onder f), AVG, en de vijfde prejudiciële vraag specificeert niet om welke reden de verwijzende rechter twijfels heeft omtrent de uitlegging van artikel 6, lid 1, onder c), d) en e), van deze verordening.

69 Zie EDPB-richtsnoeren 2/2019 van 8 oktober 2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen (hierna: „EDPB-richtsnoeren 2/2019”), punt 1.

70 In dit verband zijn partijen in het hoofdgeding het weliswaar in wezen eens over de premisse dat voor de toepassing van de betrokken rechtvaardigingsgronden een analyse per geval vereist is, maar verschillen zij van mening over de praktische gevolgen van deze premisse. Het Bundeskartellamt benadrukt dat het aan de verwerkingsverantwoordelijke staat om in detail vast te stellen welke gegevens concreet in welk gebruiksscenario zullen worden verwerkt, en voert met name aan dat verzoekster in het hoofdgeding slechts heeft verklaard dat de volledige verwerking van de uit bronnen buiten Facebook afkomstige gegevens noodzakelijk is voor elk van de doeleinden inzake gegevensverwerking die in de servicevoorwaarden worden genoemd. Meta Platforms Ireland is daarentegen van mening dat het Bundeskartellamt, zonder de bijzonderheden van elke verwerking te onderzoeken, niet kon uitsluiten dat de litigieuze praktijk op de betrokken rechtvaardigingsgronden kon worden gebaseerd en dus niet kon concluderen dat deze praktijk onverenigbaar was met de AVG.

71 De toestemming van de gebruiker is geregeld in artikel 6, lid 1, onder a), AVG.

72 In dit verband preciseren de EDPB-richtsnoeren 2/2019 in punt 16 met name dat de beginselen op het gebied van doelbinding (artikel 5, lid 1, onder b), AVG) en minimale gegevensverwerking (artikel 5, lid 1, onder c), RGPD) bijzonder relevant zijn in overeenkomsten voor onlinediensten – waarover in het algemeen niet afzonderlijk wordt onderhandeld – vanwege het acuut risico dat verwerkingsverantwoordelijken proberen bedingen op te nemen die ertoe strekken de mogelijke verzameling en het mogelijke gebruik van gegevens te maximaliseren, zonder dat deze doeleinden in voldoende mate worden gespecificeerd of rekening wordt gehouden met de verplichtingen op het gebied van minimale gegevensverwerking.

73 Volgens de EDPB-richtsnoeren 2/2019, punt 2, versterkt deze bepaling de vrijheid van ondernemerschap, die wordt gegarandeerd in artikel 16 van het Handvest, en is zij een afspiegeling van het feit dat contractuele verplichtingen jegens een betrokkene soms niet kunnen worden uitgevoerd zonder dat deze betrokkene bepaalde persoonsgegevens verstrekt. Ik wijs erop dat het tweede geval dat in deze bepaling is genoemd, betreffende de noodzakelijkheid van de verwerking om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen, in casu niet relevant is. Hetzelfde geldt voor de vraag of er sprake is van een geldige overeenkomst volgens het toepasselijke verbintenissenrecht en andere wettelijke voorschriften, waaronder die inzake consumentenovereenkomsten [zie met name richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB 1993, L 95, blz. 29)], waarop de prejudiciële verwijzing geen betrekking heeft.

74 Zie met betrekking tot de regel van artikel 6, lid 1, onder b), AVG, die is vastgesteld in artikel 7, onder e), van richtlijn 95/46, arrest van 16 december 2008, Huber (C‑524/06, EU:C:2008:724, punt 52).

75 Bovendien kan – hoewel het enkele feit dat in een overeenkomst de verwerking van persoonsgegevens wordt vermeld of ernaar wordt verwezen, niet volstaat om de betrokken verwerking binnen de werkingssfeer van artikel 6, lid 1, onder b), AVG te doen vallen – de verwerking objectief gezien noodzakelijk zijn, ook als zij niet uitdrukkelijk in de overeenkomst is vermeld, onverminderd de transparantieverplichtingen van de verwerkingsverantwoordelijke (zie EDPB-richtsnoeren 2/2019, punt 27).

76 Zie EDPB-richtsnoeren 2/2019, punt 25.

77 Zie in die zin arrest van 9 november 2010, Volker und Markus Schecke en Eifert (C‑92/09 en C‑93/09, EU:C:2010:662, punt 86), en EDPB-richtsnoeren 2/2019, punt 25. In dit verband wordt er in de punten 27 tot en met 32 van deze richtsnoeren met name op gewezen dat de verwerking objectief gezien noodzakelijk moet zijn voor een doeleinde dat integrerend deel uitmaakt van de verrichting van die contractuele dienst ten behoeve van de betrokkene, waarbij de verwerkingsverantwoordelijke moet kunnen aantonen in welk opzicht het hoofddoel van de specifieke, met de betrokkene gesloten overeenkomst, bij gebreke van de specifieke verwerking van de betrokken persoonsgegevens, niet doeltreffend kan worden gerealiseerd. In punt 33 van deze richtsnoeren zijn dienaangaande richtinggevende vragen opgenomen.

78 Zie EDPB-richtsnoeren 2/2019, punt 32.

79 Zie EDPB-richtsnoeren 2/2019, punt 37.

80 In dit verband merkt de Oostenrijkse regering terecht op dat verzoekster in het hoofdgeding Facebookgebruikers voordien de mogelijkheid bood om te kiezen tussen een chronologische en een gepersonaliseerde weergave van de inhoud van het nieuwsoverzicht, hetgeen aantoont dat een alternatieve werkwijze mogelijk is.

81 Ik denk, onder voorbehoud van de beoordeling door de verwijzende rechter, niet dat het verzamelen en gebruiken van persoonsgegevens buiten Facebook noodzakelijk is voor het verrichten van de in het kader van het Facebookprofiel aangeboden diensten en dat de aanvankelijk gegeven toestemming voor toegang tot het sociale netwerk (namelijk het openen van een Facebookprofiel) tevens zou gelden voor de verwerking van persoonsgegevens van de gebruiker buiten Facebook. In een dergelijke situatie is het gebruik van de betrokken diensten immers afhankelijk van toestemming die niet noodzakelijk is voor de uitvoering van de overeenkomst, en zal de verwijzende rechter overeenkomstig artikel 7, lid 4, AVG, ten sterkste met deze omstandigheid rekening moeten houden (die volgens overweging 43 AVG een vermoeden van ongeldigheid van de toestemming vormt, dat de verwerkingsverantwoordelijke moet weerleggen in de zin van artikel 7, lid 1, AVG). Bovendien zou een dergelijke toestemming volgens mij ook niet in overeenstemming zijn met de regel dat voor verschillende persoonsgegevensverwerkingen afzonderlijk toestemming moet worden verleend (zie het derde deel van punt 74 van deze conclusie), aangezien niets de toestemming die de gebruiker initieel heeft verleend voor de opening van het Facebookaccount koppelt aan zijn eventuele toestemming voor de verwerking van persoonsgegevens buiten Facebook. Bovendien is het, zelfs in het geval dat later specifiek toestemming wordt verleend voor het gebruik van gegevens buiten Facebook, belangrijk om te onderzoeken of de verwerkingsverantwoordelijke de keuze biedt voor een gelijkwaardige dienst waarbij geen toestemming hoeft te worden verleend voor de verwerking van persoonsgegevens voor aanvullende doeleinden [zie EDPB-richtsnoeren 05/2020 van 4 mei 2020 inzake toestemming overeenkomstig verordening (EU) 2016/679 (hierna: „EDPB-richtsnoeren 05/2020”), punt 37, alsook punt 38 van deze richtsnoeren, waarin tevens wordt gepreciseerd dat de verwerkingsverantwoordelijke niet mag verwijzen naar een gelijkwaardige dienst die door een andere exploitant wordt verstrekt].

82 Zoals de Oostenrijkse regering opmerkt, lijkt het mij in dit verband beslissend te constateren dat de verschillende producten van het concern onafhankelijk van elkaar kunnen worden gebruikt en dat het gebruik van elke dienst op een afzonderlijke gebruiksovereenkomst is gebaseerd. Bovendien moet, zoals het Bundeskartellamt opmerkt, het consistente en probleemloze gebruik van de diensten van het concern niet zozeer als noodzakelijk voor de werking van deze diensten worden beschouwd, maar wel als een belang van de gebruiker, zodat het in beginsel passender lijkt om de gebruiker te laten kiezen.

83 Zie naar analogie arrest van 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 28), betreffende de regel die overeenkomt met artikel 6, lid 1, onder f), AVG, en is genoemd in artikel 7, onder f), van richtlijn 95/46.

84 Zoals advocaat-generaal Bobek in zijn conclusie in de zaak Fashion ID (C‑40/17, EU:C:2018:1039, punt 122) heeft opgemerkt, blijkt het begrip „gerechtvaardigd belang” in het kader van richtlijn 95/46 tamelijk flexibel en open van aard. Zoals verzoekster in het hoofdgeding heeft aangevoerd, heeft het Hof verschillende belangen als gerechtvaardigd erkend [zie met name arresten van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punt 81); 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779, punt 55); 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 29); 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens) (C‑136/17, EU:C:2019:773, punt 53); 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, punt 59), en 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punten 108 en 109)]. Dezelfde conclusie moet volgens mij worden getrokken uit de AVG, waarvan overweging 47 onder meer, bij wijze van voorbeeld, de situatie vermeldt waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke, alsmede de verwerking van persoonsgegevens ter voorkoming van fraude of ten behoeve van direct marketing, en voor welke verwerking overweging 49 verwijst naar de netwerk- en informatiebeveiliging, de informatie en de aangeboden diensten.

85 Wat naar mijn mening inhoudt dat moet worden gepreciseerd welke verwerking op welk gerechtvaardigd belang is gebaseerd.

86 Zie arresten van 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 30), en 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punt 110).

87 Zie in die zin arresten van 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 31), en 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punt 111). Het Hof heeft er in dit verband aan herinnerd dat artikel 7, onder f), van richtlijn 95/46 [dat overeenkomt met artikel 6, lid 1, onder f), AVG] zich ertegen verzette dat een lidstaat voor bepaalde categorieën persoonsgegevens categorisch en generiek de mogelijkheid van verwerking uitsluit, zonder ruimte te bieden voor een afweging van de betrokken tegengestelde rechten en belangen in een concreet geval, en heeft gepreciseerd dat een lidstaat voor deze categorieën de uitkomst van de afweging van de tegengestelde rechten en belangen dan ook niet definitief mag vaststellen zonder ruimte te bieden voor een afwijkende uitkomst wegens de bijzondere omstandigheden van een concreet geval (arrest van 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punt 62 en aldaar aangehaalde rechtspraak).

88 Advies 6/2014 van de werkgroep „Artikel 29”, punt III.3.4, bevat dienaangaande interessante overwegingen.

89 Volgens overweging 49 AVG vormt de verwerking van persoonsgegevens, voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging, immers een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. Het kan bijvoorbeeld gaan om het verhinderen van ongeoorloofde toegang tot elektronischecommunicatienetwerken en de verspreiding van kwaadaardige codes. Ik merk tevens op dat, overeenkomstig artikel 32 AVG, onder anderen de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om een op het risico afgestemd beveiligingsniveau te waarborgen, en dat overeenkomstig artikel 5, lid 1, onder f), van deze richtlijn persoonsgegevens op een dusdanige manier moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is.

90 Derhalve moet worden nagegaan in hoeverre de verwerking van persoonsgegevens die afkomstig zijn van buiten de Facebookwebsite of -app, noodzakelijk is voor de veiligheid van deze website of app. Hoewel de verwijzende rechter in dit verband refereert aan de mogelijkheid om WhatsApp-gegevens te gebruiken om spam tegen te gaan (waarbij informatie uit WhatsApp-accounts die spam verzenden, wordt gebruikt om op te treden tegen de overeenkomstige Facebookaccounts) en Instagramgegevens om dubieus of onrechtmatig gedrag vast te stellen, betwijfel ik of verzoekster in het hoofdgeding zich het recht kan toe-eigenen om persoonsgegevens te verwerken voor „politiedoeleinden” in ruime zin, aangezien, volgens de rechtspraak van het Hof, op het (andere maar verwante) gebied van elektronische-communicatiegegevens, zelfs wetgevingsmaatregelen die preventief voorzien in de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens niet verenigbaar zijn met richtlijn 2002/58 [(zie arrest van 6 oktober 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 168)]. Bovendien kan de verwerkingsverantwoordelijke, indien de noodzaak om de netwerkveiligheid te waarborgen onder een wettelijke verplichting valt, zich beroepen op de specifieke rechtvaardiging van artikel 6, lid 1, onder c), AVG.

91 Overeenkomstig artikel 6, lid 1, onder c), d) en e), AVG.

92 Zie punt 48 van deze conclusie.

93 Gelet op het brede scala aan legitieme belangen die in de rechtspraak worden erkend (zie punt 60 van deze conclusie). Het lijkt mij bijvoorbeeld in beginsel duidelijk dat de bescherming van minderjarigen de vaststelling van passende beschermingsmaatregelen kan rechtvaardigen, teneinde hun de toegang tot ongeschikte of gevaarlijke inhoud te ontzeggen.

94 Krachtens artikel 13, lid 1, onder c) en d), AVG staat het immers met name aan de verwerkingsverantwoordelijke om voor ieder verwerkingsdoeleinde op te geven welke gerechtvaardigde belangen door hemzelf of door derden worden nagestreefd.

95 In het arrest van 11 november 2020, Orange Romania (C‑61/19, EU:C:2020:901, punten 35 en 36 en aldaar aangehaalde rechtspraak), heeft het Hof verduidelijkt dat de bewoordingen van artikel 4, punt 11, AVG, waarin een definitie wordt gegeven van de „toestemming van de betrokkene”, strikter lijken dan die van artikel 2, onder h), van richtlijn 95/46, aangezien volgens eerstgenoemde bewoordingen voor die toestemming een „vrije, specifieke, geïnformeerde en ondubbelzinnige” wilsuiting van de betrokkene is vereist, in de vorm van een verklaring of „een ondubbelzinnige actieve handeling” die erop duidt dat hij de verwerking van hem betreffende persoonsgegevens aanvaardt.

96 Zoals het EDPB benadrukt, impliceert het adjectief „vrij” dat de betrokkenen over werkelijke keuze en controle beschikken (zie EDPB-richtsnoeren 05/2020, punt 13). In hetzelfde punt wordt onder meer nader aangegeven dat de toestemming niet vrijelijk is verleend indien de betrokkene zich gedwongen voelt om toestemming te geven, daar het voor hem aanzienlijke negatieve gevolgen zal hebben als hij niet toestemt, of indien de toestemming wordt voorgesteld als een niet-onderhandelbaar onderdeel van de algemene voorwaarden. Derhalve zal de toestemming niet worden geacht vrijelijk te zijn verleend indien de betrokkene zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen te ondervinden. In dat geval moet de betrokkene, zoals verzoeksters in het hoofdgeding stellen, als enige nadeel aanvaarden dat de dienst mogelijkerwijs niet dezelfde functionaliteit of kwaliteit heeft, voor zover de gegevensverwerking waarvoor geen toestemming is verleend daarvoor technisch noodzakelijk was.

97 In dit verband vermelden de EDPB-richtsnoeren 05/2020 bedrog, intimidatie, dwang of aanzienlijke negatieve gevolgen indien de betrokkene weigert toestemming te verlenen, en wijzen zij erop dat het aan de verwerkingsverantwoordelijke staat om aan te tonen dat deze persoon over echte keuzevrijheid beschikt met betrekking tot het toekennen of intrekken van zijn toestemming (punt 47).

98 Naast de in overweging 43 AVG genoemde situaties inzake betrekkingen met overheidsinstanties en arbeidsverhoudingen, die in het onderhavige geval niet relevant zijn, vermeldt punt 24 van de EDPB-richtsnoeren 05/2020 met name situaties waarin de betrokkene geen werkelijke keuze heeft of waarin er sprake is van bedrog, intimidatie of dwang of de betrokkene aanzienlijke negatieve gevolgen (zoals aanzienlijke extra kosten) riskeert wanneer hij niet toestemt.

99 Deze vraag stemt gedeeltelijk overeen met die welke aan de orde is in het eerste deel van de derde prejudiciële vraag (zie de punten 53‑57 van deze conclusie). In overweging 43, tweede volzin, AVG wordt gepreciseerd dat in een dergelijke situatie de toestemming wordt geacht niet vrijelijk te zijn verleend (volgens punt 26 van de EDPB-richtsnoeren 05/2020 verzekert de AVG zo dat de verwerking van persoonsgegevens waarvoor toestemming wordt gevraagd, niet direct of indirect de tegenprestatie voor een overeenkomst kan zijn), waarbij uit het gebruik van de term „geacht” duidelijk blijkt dat de toestemming slechts zeer uitzonderlijk geldig zal zijn (zie punt 35 van deze richtsnoeren). Voorts is artikel 7, lid 4, AVG, door het gebruik van de term „onder meer”, niet-uitputtend geformuleerd, hetgeen betekent dat deze bepaling van toepassing kan zijn op een aantal andere situaties, waarin bijvoorbeeld sprake is van ongepaste druk of invloed op de betrokkene, waardoor hij zijn vrije wil niet kan uitoefenen (EDPB-richtsnoeren 05/2020, punt 14).

100 In overweging 32 AVG wordt met name verduidelijkt dat de verleende toestemming moet gelden voor alle verwerkingsactiviteiten met dezelfde doeleinden, en dat, wanneer de verwerking verschillende doeleinden heeft, toestemming moet worden gegeven voor al deze doeleinden. In dit verband verwijzen de EDPB-richtsnoeren 05/2020 naar de „granulariteit” van de toestemming als belemmering voor de vrijheid inzake het verlenen ervan (punt 44).

101 Een dergelijke situatie werkt onder meer in de hand dat voorwaarden worden opgelegd die niet noodzakelijk zijn voor de uitvoering van de overeenkomst (zie de punten 53‑57 van deze conclusie).

102 Met andere woorden, zoals de Commissie opmerkt, kan het relatieve niveau van marktmacht van de betrokken onderneming dat beslissend is voor de geldigheid van de toestemming krachtens de AVG, niet noodzakelijkerwijs worden gelijkgesteld met de drempel voor een machtspositie op de markt in de zin van artikel 102 VWEU.

103 Weliswaar staat het bestaan van een machtspositie uiteraard op zich niet eraan in de weg dat vrije toestemming kan worden gegeven voor de verwerking van persoonsgegevens, maar het ontbreken van een dergelijke positie volstaat op zich niet om in alle omstandigheden te waarborgen dat een dergelijke toestemming rechtsgeldig wordt gegeven.