CONCLUSIE VAN ADVOCAAT-GENERAAL

M. BOBEK

van 19 december 2018 (1)

Zaak C‑40/17

Fashion ID GmbH & Co. KG

tegen

Verbraucherzentrale NRW e.V.,

in tegenwoordigheid van:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

[verzoek van het Oberlandesgericht Düsseldorf (hoogste rechterlijke instantie van de deelstaat Noordrijn-Westfalen, Düsseldorf, Duitsland) om een prejudiciële beslissing]

„Verzoek om een prejudiciële beslissing – Richtlijn 95/46/EG – Bescherming van persoonsgegevens van gebruikers van websites – Procesbevoegdheid van een vereniging voor de bescherming van consumentenbelangen – Aansprakelijkheid van een websitebeheerder – Doorzending van persoonsgegevens aan een derde partij – Op een website opgenomen plug-in – ‚Vind ik leuk’-knop van Facebook – Gerechtvaardigde belang – Toestemming van de betrokkene – Verplichting tot informatieverstrekking”

I.      Inleiding

1.        Fashion ID GmbH & Co. KG is een online handelaar in modeartikelen. Zij heeft de ,,Vind ik leuk”-knop van Facebook als plug-in op haar website opgenomen. Dit heeft tot gevolg dat wanneer een gebruiker op de website van Fashion ID belandt, informatie over het IP-adres en de browserstring van die gebruiker naar Facebook wordt doorgezonden. Die doorzending gebeurt automatisch wanneer de website van Fashion ID is geladen, ongeacht of de gebruiker op de ,,Vind ik leuk”-knop heeft geklikt en of hij al dan niet een Facebookaccount heeft.

2.        Verbraucherzentrale NRW e.V., een Duitse vereniging die consumentenbelangen behartigt, heeft een verbodsactie ingesteld tegen Fashion ID, op grond dat het gebruik van die plug‑in een schending van de wetgeving inzake gegevensbescherming inhoudt.

3.        Het Oberlandesgericht Düsseldorf (hoogste rechterlijke instantie van de deelstaat Noordrijn-Westfalen, Düsseldorf, Duitsland), waarbij de zaak aanhangig is, verzoekt om de uitlegging van verschillende bepalingen van richtlijn 95/46/EG (hierna: „richtlijn 95/46”)(2). Vooraf wenst de verwijzende rechter te vernemen of die richtlijn de nationale wetgever de mogelijkheid biedt om procesbevoegdheid toe te kennen aan een consumentenorganisatie om een vordering als die in het onderhavige geval in te stellen. Wat de zaak ten gronde betreft, is de belangrijkste vraag of Fashion ID moet worden aangemerkt als een „voor de verwerking verantwoordelijke” in verband met de verwerking van gegevens, en zo ja, hoe in dat geval precies moet worden voldaan aan de afzonderlijke verplichtingen die door richtlijn 95/46 worden opgelegd. Van wie moet het gerechtvaardigde belang in aanmerking worden genomen bij de volgens artikel 7, onder f), van richtlijn 95/46 te verrichten belangenafweging? Heeft Fashion ID de plicht om de betrokkenen te informeren over de verwerking van persoonsgegevens? En is het tevens Fashion ID die de geïnformeerde toestemming van de betrokkenen in dit verband moet verkrijgen?

II.    Toepasselijke bepalingen

A.      Unierecht

Richtlijn 95/46

4.        Het doel van richtlijn 95/46 wordt omschreven in artikel 1 ervan. Lid 1 van dat artikel luidt: „De lidstaten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.” Ingevolge lid 2 van dat artikel „[mogen] [d]e lidstaten [...] het vrije verkeer van persoonsgegevens tussen lidstaten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden”.

5.        Artikel 2 bevat de volgende definities:

„a)       ,persoonsgegevens’, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ,betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;

b)       ,verwerking van persoonsgegevens’, hierna ,verwerking’ te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

[...]

d)       ,voor de verwerking verantwoordelijke’, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij nationale of communautaire wettelijke of bestuursrechtelijke bepalingen, kan in het nationale of communautaire recht worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

[...]

h)       ,toestemming van de betrokkene’, elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.”

6.        Artikel 7 voorziet in de criteria waaraan moet zijn voldaan voor de toelaatbaarheid van de gegevensverwerking en luidt:

„De lidstaten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:

a)       de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of

[...]

f)       de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren.”

7.        Artikel 10 bepaalt welke informatie minimaal aan de betrokkene moet worden verstrekt en luidt als volgt:

„De lidstaten bepalen dat de voor de verwerking verantwoordelijke of diens vertegenwoordiger aan de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden verkregen, ten minste de hiernavolgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is:

a)       de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger,

b)       de doeleinden van de verwerking waarvoor de gegevens zijn bestemd,

c)       verdere informatie zoals

–        de ontvangers of de categorieën ontvangers van de gegevens;

–        antwoord op de vraag of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van niet-beantwoording,

–        het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,

voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verkregen wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.”

8.        Hoofdstuk III van richtlijn 95/46 betreft het beroep op de rechter, aansprakelijkheid en sancties. De hierin opgenomen artikelen 22 tot en met 24 bepalen het volgende:

„Artikel 22

Beroep

Onverminderd de administratieve voorziening die met name bij de in artikel 28 bedoelde toezichthoudende autoriteit kan worden getroffen voordat de zaak aanhangig wordt gemaakt voor de rechter, bepalen de lidstaten dat een ieder zich tot de rechter kan wenden wanneer de rechten die hem worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht geschonden worden.

Artikel 23

Aansprakelijkheid

1. De lidstaten bepalen dat een ieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen.

2. De voor de verwerking verantwoordelijke kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Artikel 24

Sancties

De lidstaten nemen passende maatregelen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen en stellen met name de sancties vast die gelden bij inbreuk op de ter uitvoering van deze richtlijn vastgestelde bepalingen.”

B.      Duits recht

Gesetz gegen den unlauteren Wettbewerb

9.        § 3, lid 1, van het Gesetz gegen den unlauteren Wettbewerb (wet inzake oneerlijke mededing; hierna: „UWG”) bepaalt dat oneerlijke handelspraktijken ongeoorloofd zijn.

10.      § 8, lid 1 en lid 3, punt 3, UWG bepaalt dat een ontoelaatbare handelspraktijk aanleiding kan zijn tot een vordering tot beëindiging of een verbodsvordering, welke vorderingen kunnen worden ingesteld door „bevoegde instanties”, zoals vermeld in de lijst van het Unterlassungsklagengesetz (wet inzake de stakingsvordering) of in de lijst van de Europese Commissie bedoeld in artikel 4, lid 3, van richtlijn 2009/22/EG betreffende het doen staken van inbreuken in het raam van de bescherming van de consumentenbelangen.(3)

Unterlassungsklagengesetz

11.      § 2, lid 1 en lid 2, punt 11, van het Unterlassungsklagengesetz (wet inzake de stakingsvordering) luidt als volgt:

„(1)      Tegen eenieder die op andere wijze dan door toepassing of aanbeveling van algemene verkoopsvoorwaarden inbreuk maakt op bepalingen ter bescherming van de consument (wetten betreffende de bescherming van de consument), kan in het belang van de bescherming van de consument een vordering tot beëindiging en een verbodsvordering worden ingesteld.

(2)      In de zin van deze bepaling wordt in het bijzonder onder ‚wetten betreffende de bescherming van de consument’ verstaan:

[...]

11.      de voorschriften die regelen onder welke voorwaarden een ondernemer:

a)      persoonsgegevens betreffende een consument mag verzamelen of

b)      de persoonsgegevens die betreffende een consument werden verzameld, mag verwerken en gebruiken,

wanneer de gegevens worden verzameld, verwerkt of gebruikt om reclame te maken, marktonderzoek en onderzoek van de publieke opinie te verrichten, een kredietbeoordelingsbureau te exploiteren, persoonlijkheids- en gebruikersprofielen op te stellen, adressen te verkopen, andere gegevens te verhandelen, of voor soortgelijke commerciële doeleinden.”

Telemediengesetz

12.      § 2, lid 1, punt 1, van het Telemediengesetz (wet inzake telemedia; hierna: „TMG”) bepaalt het volgende:

„Voor de toepassing van deze wet is:

1.      aanbieder van diensten elke natuurlijke of rechtspersoon die eigen of aan derde toebehorende telemedia aanbiedt voor gebruik of die de toegang daartoe aanbiedt om deze te gebruiken;

[...]”

13.      § 12, lid 1, TMG luidt:

„De aanbieder van diensten mag persoonsgegevens in verband met de terbeschikkingstelling van telemedia slechts verzamelen en benutten, voor zover deze wet of een ander wettelijk voorschrift dat expliciet op telemedia betrekking heeft, dit toestaat of de gebruiker zijn toestemming heeft gegeven.”

14.      § 13, lid 1, TMG bepaalt het volgende:

„De aanbieder van diensten moet – voor zover dit nog niet zou zijn gebeurd – de gebruiker bij het begin van het gebruik op een gemakkelijk te begrijpen wijze informeren over de aard, de omvang en het doel van de verzameling en het gebruik van persoonsgegevens en over de verwerking van zijn gegevens in staten buiten het toepassingsgebied van [richtlijn 95/46]. Bij een geautomatiseerde procedure, die later de identificatie van de gebruiker mogelijk maakt en waarmee het verzamelen of gebruik van persoonsgegevens wordt voorbereid, dient de gebruiker bij het begin van deze procedure te worden geïnformeerd. De gebruiker moet de inhoud van deze informatie te allen tijde kunnen consulteren.”

15.      § 15, lid 1, TMG luidt:

„De aanbieder van diensten mag persoonsgegevens van een gebruiker slechts verzamelen en benutten, voor zover dit nodig is om het gebruik van telemedia mogelijk te maken en te factureren (gebruiksgegevens). Gebruiksgegevens zijn met name

1.      gegevens die de identificatie van de gebruiker mogelijk maken,

2.      gegevens over begin en einde van het betrokken gebruik, alsook over de omvang ervan, en

3.      gegevens over de telemedia waarvan de gebruiker heeft gebruikgemaakt.”

III. Feiten, procedure en prejudiciële vragen

16.      Fashion ID (hierna: „verweerster”) is een online handelaar die op haar website modeartikelen verkoopt. Verweerster heeft een door Facebook Ireland Limited (hierna: „Facebook Ireland”)(4) ter beschikking gestelde plug‑in, de ,,Vind ik leuk”-knop, op haar website opgenomen. Hierdoor verschijnt de zogenoemde Facebook-,,Vind ik leuk”-knop op de website van verweerster.

17.      In de verwijzingsbeslissing wordt verder uit de doeken gedaan hoe het (niet-zichtbare) deel van de plug-in werkt: komt een bezoeker terecht op de website van verweerster waarop de ,,Vind ik leuk”-knop is opgenomen, dan zendt zijn browser automatisch informatie door met betrekking tot zijn IP-adres en browserstring naar Facebook Ireland. Deze doorzending vindt plaats ongeacht of de bezoeker van de website de knop aanklikt of niet. Ook blijkt uit de verwijzingsbeslissing dat Facebook Ireland verschillende soorten cookies (session, datr- en fr-cookies) op de apparaten van de gebruiker plaatst.

18.      Verbraucherzentrale NRW (hierna: „verzoekster”), een vereniging die consumentenbelangen behartigt, heeft bij een Landgericht (rechter in eerste aanleg) in Duitsland een vordering ingesteld die ertoe strekt verweerster te gelasten de inlassing van de social plug-in „Vind ik leuk” van Facebook op haar website te beëindigen

„–      zonder de gebruikers van de website vóór het tijdstip waarop de aanbieder van de plug-in zich toegang verschaft tot het IP-adres en de browserstring van de gebruiker, uitdrukkelijk en duidelijk in te lichten over het doel van het verzamelen en het gebruik van de aldus meegedeelde gegevens en/of

–      zonder van de gebruikers van de website de toestemming te verkrijgen voor de toegang tot het IP-adres en de browserstring door de plug-in-aanbieder en voor het gebruik van gegevens, en zulks in beide gevallen vóór de toegang tot de gegevens, en/of

–      zonder de gebruikers die toestemming in de zin van punt 2 van de vordering hebben gegeven, te informeren over de mogelijkheid om die toestemming te allen tijde met werking voor de toekomst te herroepen, en/of

–      zonder het volgende te stellen: ‚Wanneer u gebruiker van een sociaal netwerk bent en niet wenst dat het sociale netwerk via onze website gegevens over u verzamelt en koppelt aan de bij dit netwerk opgeslagen gebruikersgegevens, dient u zich vóór het bezoek aan onze website uit te loggen van het sociale netwerk.’”

19.      Verzoekster stelde dat Facebook Inc. of Facebook Ireland het IP‑adres en de browserstring opslaat en koppelt aan een bepaalde gebruiker (met of zonder Facebookaccount). Verweerster brengt hier tegen in daarvan geenszins op de hoogte te zijn. Facebook Ireland betoogt dat het IP‑adres wordt omgezet in een generisch IP‑adres en slechts als zodanig wordt opgeslagen. Het IP‑adres en de browserstring zouden niet worden gekoppeld aan een user account.

20.      Het Landgericht heeft verweerster veroordeeld conform de punten 1 tot en met 3 van de vordering. Verweerster heeft hiertegen hoger beroep ingesteld. Verzoekster heeft incidenteel hoger beroep ingesteld, waarmee zij vordert dat ook punt 4 van de vordering wordt toegewezen.

21.      In deze feitelijke en juridische context heeft het Oberlandesgericht Düsseldorf besloten om het Hof de volgende vragen voor te leggen:

„1)      Staat de regeling van de artikelen 22, 23 en 24 van richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31) in de weg aan een nationale regeling die, naast de bevoegdheden tot optreden van de gegevensbeschermingsautoriteiten en de beroepsmogelijkheden van de betrokkenen, ook voorziet in de bevoegdheid voor verenigingen van algemeen nut die consumentenbelangen behartigen om in geval van inbreuken op te treden tegen de inbreukmaker?

Indien de eerste vraag ontkennend wordt beantwoord:

2)      Is in een geval als het onderhavige, waarin iemand in zijn website een programmeercode integreert die de browser van de gebruiker content van een derde doet opvragen en daartoe persoonsgegevens aan de derde doet toekomen, de persoon die deze code integreert de ‚voor de verwerking verantwoordelijke’ in de zin van artikel 2, onder d), van [richtlijn 95/46], wanneer hij zelf geen invloed kan uitoefenen op deze gegevensverwerkingshandeling?

3)      Indien de tweede vraag ontkennend moet worden beantwoord: moet artikel 2, onder d), van [richtlijn 95/46] aldus worden uitgelegd, dat het de aansprakelijkheid en verantwoordelijkheid in die zin uitputtend regelt dat het in de weg staat aan een civielrechtelijke vordering tegen een derde die weliswaar niet de ‚voor de verwerking verantwoordelijke’ is, maar ten grondslag ligt aan de verwerkingshandeling, zonder daarop invloed uit te oefenen?

4)      Welk ‚gerechtvaardigd belang’ moet in een geval als het onderhavige in aanmerking worden genomen bij de ingevolge artikel 7, onder f), van [richtlijn 95/46] te maken afweging? Het belang bij het opnemen van content van derden of het belang van de derde?

5)      Tegenover wie moet in een geval als het onderhavige de ingevolge artikel 7, onder a), en artikel 2, onder h), van [richtlijn 95/46] te geven toestemming worden verleend?

6)      Geldt in een situatie als de onderhavige de verplichting tot informatieverstrekking van artikel 10 van [richtlijn 95/46] ook voor de beheerder van een website die de content van een derde heeft opgenomen en zo ten grondslag ligt aan de verwerking van persoonsgegevens door de derde?”

22.      Schriftelijke opmerkingen zijn ingediend door verzoekster, verweerster, Facebook Ireland, de Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (gevolmachtigde van de deelstaat voor gegevensbescherming en informatievrijheid Noordrijn‑Westfalen; hierna: „LDI NW”), de Belgische, de Duitse, de Italiaanse, de Oostenrijkse en de Poolse regering alsook door de Commissie. Ter terechtzitting van 6 september 2018 zijn mondelinge opmerkingen gemaakt door verzoekster, verweerster, Facebook Ireland, de LDI NW, België, Duitsland, Oostenrijk en de Commissie.

IV.    Beoordeling

23.      In deze conclusie zal ik in overweging geven dat richtlijn 95/46 zich niet verzet tegen een nationale regeling die een vereniging voor consumentenbescherming (zoals verzoekster) de bevoegdheid verleent om een beroep in rechte in te stellen tegen iemand die beweerdelijk inbreuk maakt op voorschriften inzake gegevensbescherming (A). Voorts is mijns inziens verweerster, samen met Facebook Ireland, de voor de verwerking verantwoordelijke, zij het dat haar aansprakelijkheid beperkt is tot een specifieke fase van de gegevensverwerking (B). In de derde plaats ben ik van mening dat bij de afweging van artikel 7, onder f), van richtlijn 95/46 het gerechtvaardigde belang van niet alleen verweerster maar ook van Facebook Ireland in aanmerking moet worden genomen (evenals, uiteraard, de rechten van de betrokkenen) (C). In de vierde plaats moet de geïnformeerde toestemming van de betrokkene voor een bepaalde fase van de gegevensverwerking kenbaar worden gemaakt aan verweerster. Verweerster heeft ook de verplichting om de betrokkene te informeren (D).

A.      Nationale wetgeving die verenigingen voor consumentenbescherming procesbevoegdheid verleent

24.      Met de eerste vraag wenst de verwijzende rechter in wezen te vernemen of richtlijn 95/46 zich verzet tegen een nationale bepaling op grond waarvan verenigingen voor de bescherming van de belangen van de consument in rechte kunnen optreden tegen een vermeende inbreukmaker op gegevensbeschermingsvoorschriften. In dit verband verwijst de verwijzende rechter in het bijzonder naar de artikelen 22 tot en met 24 van richtlijn 95/46. Hij merkt op dat de betrokken nationale regeling als een „passende maatregel” in de zin van artikel 24 kan worden beschouwd. Bovendien benadrukt deze rechter dat verordening (EU) 2016/679 (algemene verordening gegevensbescherming; hierna: „AVG”)(5), die in de plaats is gekomen van richtlijn 95/46, thans in artikel 80, lid 2, ervan een dergelijk recht uitdrukkelijk toekent aan verenigingen.(6)

25.      Verweerster en Facebook Ireland betogen dat richtlijn 95/46 geen procesbevoegdheid voor dergelijke verenigingen toelaat, omdat in een dergelijke bevoegdheid niet uitdrukkelijk is voorzien en deze richtlijn volgens hen volledige harmonisatie beoogt. Volgens verweerster bedreigt het op deze wijze verlenen van procesbevoegdheid de onafhankelijkheid van de toezichthoudende autoriteiten, omdat zij aan publieke druk zouden worden blootgesteld.

26.      Verzoekster, de LDI NW, en alle regeringen die in de onderhavige zaak een standpunt hebben ingenomen, zijn van mening dat richtlijn 95/46 niet in de weg staat aan de litigieuze regeling.

27.      Ik deel dit laatste standpunt.(7)

28.      Het lijkt mij nuttig om vooraf te herinneren aan de grondwettelijke (standaard)bepaling die is verankerd in artikel 288, derde alinea, VWEU, volgens welke „ [e]en richtlijn [...] verbindend [is] ten aanzien van het te bereiken resultaat voor elke lidstaat waarvoor zij bestemd is, doch aan de nationale instanties wordt de bevoegdheid gelaten vorm en middelen te kiezen” die het met de richtlijn te verwezenlijken resultaat het best verzekeren.(8)

29.      Hieruit volgt dat ter uitvoering van de uit een richtlijn voortvloeiende verplichtingen, het de lidstaten vrijstaat om alle maatregelen vast te stellen die zij geschikt achten, mits die maatregelen niet uitdrukkelijk worden uitgesloten door de richtlijn zelf of niet in strijd met de doelstellingen van die richtlijn zijn.

30.      De bewoordingen van richtlijn 95/46 verzetten zich niet uitdrukkelijk tegen de mogelijkheid om in het nationale recht procesbevoegdheid toe te kennen aan verenigingen die belast zijn met de bescherming van de rechten van de consument.

31.      De doelstellingen van richtlijn 95/46 zijn erop gericht „om in verband met de verwerking van persoonsgegevens een adequate en volledige bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer, te waarborgen”.(9) Bovendien valt in overweging 10 van richtlijn 95/46 te lezen dat „de onderlinge aanpassing van [de nationale wetgevingen] niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen”.(10)

32.      Uit de verwijzingsbeslissing valt op te maken dat Duitsland verenigingen, zoals verzoekster er een is, de bevoegdheid heeft verleend om in rechte op te komen tegen wat deze verenigingen beschouwen als een ontoelaatbare handelspraktijk, dan wel een praktijk die een inbreuk vormt op de wetgeving op het gebied van de consumentenbescherming, met inbegrip van – wat laatstgenoemd gebied betreft – de wetgeving inzake gegevensbescherming.

33.      Ik zie in die context niet in hoe de verlening van een dergelijke bevoegdheid op welke wijze dan ook haaks zou staan op de doelstellingen van richtlijn 95/46 of een verzwakking zou vormen van de inspanningen om deze doelstellingen te verwezenlijken. De verlening van procesbevoegdheid aan dit type vereniging lijkt deze verwezenlijking van de doelstellingen en de omzetting van de richtlijn eerder te bevorderen aangezien de rechten van de betrokkenen daardoor worden versterkt via groepsacties.(11)

34.      Ik ben van mening dat het de lidstaten dus niet verboden is om te voorzien in een regeling voor de procesbevoegdheid van verenigingen, zoals die welke verzoekster in staat stelt om een vordering in te stellen als die in het hoofdgeding, wanneer de lidstaten dit wensen.

35.      Gelet op dit antwoord lijkt mij de discussie die zich in de loop van deze procedure heeft ontsponnen, waarbij de nadruk is komen te liggen op de vraag of de betrokken nationale regeling specifiek onder artikel 24 van richtlijn 95/46 zou moeten vallen als een soort „passende maatregel”, dan wel of zij onder artikel 22 kan vallen, enigszins een dwaalspoor. Indien de lidstaten geacht worden een richtlijn om te zetten met gebruikmaking van alle middelen die zij hiervoor geschikt vinden, en die bijzondere omzetting niet wordt uitgesloten door de tekst, dan wel het doel en de strekking van de richtlijn, is het specifieke artikel van de richtlijn waaronder een bepaalde nationale maatregel kan worden gerangschikt van ondergeschikt belang.(12) Niettemin – en voor wat het waard is – kunnen „passende maatregelen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen” uit hoofde van artikel 24 van richtlijn 95/46 zeer wel aldus worden begrepen dat zij mede nationale bepalingen als die in de onderhavige zaak omvatten.

36.      Ik denk niet dat aan deze algemene slotsom in enigerlei wijze wordt afgedaan door de navolgende overwegingen die in de loop van deze procedure de revue zijn gepasseerd.

37.      In de eerste plaats is het juist dat richtlijn 95/46 niet voorkomt op de lijst in bijlage I bij richtlijn 2009/22. Deze richtlijn bevat regels betreffende procedures die kunnen worden ingesteld door zogenoemde „bevoegde instanties” ter versterking van de bescherming van de collectieve belangen van consumenten.(13) De lijst in bijlage I bevat verschillende richtlijnen en richtlijn 95/46 maakt daarvan geen deel uit.

38.      Niettemin, en zoals de Duitse regering betoogt, kan de lijst in bijlage I bij richtlijn 2009/22 niet in die zin als uitputtend worden beschouwd dat zij in de weg staat aan een nationale regeling die voorziet in procedures met betrekking tot de naleving van de voorschriften die zijn vervat in andere richtlijnen dan die vermeld in bijlage I bij richtlijn 2009/22. Het zou a fortiori verbazing wekken wanneer een dergelijke enuntiatieve lijst in een handeling van afgeleid recht eensklaps aldus zou worden uitgelegd dat hiermee de lidstaten hun in het Verdrag opgenomen keuzevrijheid bij de omzetting van een richtlijn kwijt zijn.

39.      In de tweede plaats ga ik in op het argument van verweerster en Facebook Ireland met betrekking tot de volledige harmonisatie door richtlijn 95/46 die, volgens hen, elke hierin niet uitdrukkelijk voorziene actie uitsluit.

40.      Het is juist dat het Hof herhaaldelijk heeft verklaard dat de uit richtlijn 95/46 voortvloeiende harmonisatie zich niet tot een minimumharmonisatie beperkt maar „in beginsel tot een volledige harmonisatie”(14) dient te leiden. Tegelijkertijd heeft het Hof geoordeeld dat deze richtlijn „de lidstaten op bepaalde gebieden [...] een manoeuvreerruimte toe[kent]”, mits wordt voldaan aan richtlijn 95/46.(15)

41.      Zoals ik op een andere plek in overweging heb gegeven(16), kan de vraag of sprake is van een „volledige harmonisatie” op Unierechtelijk niveau (in de zin van voorrang van wetgeving die elk wetgevend optreden door de lidstaten uitsluit) niet in haar algemeenheid worden beantwoord met betrekking tot een volledig rechtsgebied of een aspect van een richtlijn. Bij een dergelijke toetsing moet veeleer worden gekeken naar elk specifiek voorschrift (een bepaalde regel of een specifiek aspect) van de betrokken richtlijn.

42.      De specifieke „procedurele” bepalingen van richtlijn 95/46 die in casu aan de orde zijn, te weten de artikelen 22 tot en met 24, zijn in zeer algemene bewoordingen gesteld.(17) Rekening houdend met de mate van algemeenheid en de abstractie van deze bepalingen zou het nogal vreemd zijn te betogen dat deze bepalingen het effect sorteren van wetgeving met voorrang die alle maatregelen uitsluit die de lidstaten mogelijkerwijs kunnen vaststellen maar die niet uitdrukkelijk worden vermeld in die artikelen.(18)

43.      In de derde plaats voert verweerster voorts een argument aan dat betrekking heeft op de bedreiging voor de onafhankelijkheid van de toezichthoudende autoriteiten.(19) Dit houdt, kort gezegd, in dat wanneer aan verenigingen voor consumentenbelangen procesbevoegdheid wordt verleend, deze verenigingen tegelijk met en/of in plaats van de toezichthoudende autoriteit procedures zullen instellen die leiden tot publieke druk en vooringenomenheid van de toezichthoudende autoriteit en uiteindelijk in strijd zijn met het vereiste van volledige onafhankelijkheid van de toezichthoudende autoriteiten als omschreven in artikel 28, lid 1, van de richtlijn.

44.      Dit argument snijdt geen hout. Gesteld al dat een dergelijke toezichthoudende autoriteit echt onafhankelijk is(20), vermag ik, met de Duitse regering, niet in te zien hoe een actie als die in casu de onafhankelijkheid van een dergelijke autoriteit in gevaar kan brengen. Een vereniging kan niet in die zin het recht handhaven dat zij haar visie bindend maakt voor de toezichthoudende autoriteiten. Dat is de uitsluitende bevoegdheid van de rechter. Een vereniging voor consumentenbelangen kan enkel, net als eenieder, een procedure instellen. Bijgevolg is het argument dat in feite erop neerkomt dat elke (particuliere) actie die wordt ingesteld door een individu of een vereniging voor consumentenbelangen de lichamen die belast zijn met de (openbare) handhaving onder druk zet en derhalve niet kan worden toegestaan naast het stelsel van publieke handhaving, zo vergezocht dat het weinig zin heeft om dit argument verder uit te diepen.(21)

45.      In de vierde en laatste plaats ga ik in op het argument dat artikel 80, lid 2, AVG aldus moet worden opgevat dat het de vorige situatie wijzigt (en terugdraait) door iets toe te staan (procesbevoegdheid van verenigingen) dat eerder niet was toegestaan.

46.      Dit argument is niet overtuigend.

47.      Het is belangrijk om eraan te herinneren dat met de AVG ter vervanging van richtlijn 95/46 de aard van het rechtsinstrument dat de voorschriften bevat, is gewijzigd van die van een richtlijn in een verordening. Deze wijziging houdt ook in dat in tegenstelling tot een richtlijn, die de lidstaten de vrije keuze laat bij de omzetting van de inhoud van dat wetgevingsinstrument, nationale regels ter uitvoering van een verordening in principe alleen kunnen worden vastgesteld wanneer zij uitdrukkelijk zijn toegestaan.

48.      Zo bezien plaats ik vraagtekens bij het argument dat de uitdrukkelijke bepaling inzake de procesbevoegdheid van verenigingen die thans in de AVG is opgenomen, betekent dat deze bevoegdheid onder richtlijn 95/46 was uitgesloten. Zo er een argument aan deze tegenoverstelling kan worden ontleend(22), zou dat veeleer het tegendeel inhouden: indien richtlijn 95/46 niet in de weg stond aan voorschriften die een dergelijke rechtsbevoegdheid toestaan (op grond van de argumenten die ik hierboven heb aangevoerd), zou de wijziging van de rechtsvorm van een richtlijn in een verordening het rechtvaardigen om een dergelijke bepaling op te nemen, teneinde duidelijk te maken dat een dergelijke mogelijkheid inderdaad gehandhaafd wordt.

49.      In het licht van het bovenstaande is mijn eerste voorlopige conclusie derhalve dat richtlijn 95/46 zich niet verzet tegen een nationale wettelijke regeling die aan verenigingen van algemeen nut de bevoegdheid verleent om ter bescherming van de belangen van de consument in rechte op te komen tegen de vermeende inbreukmaker op wetgeving inzake gegevensbescherming.

B.      Is Fashion ID een voor de verwerking verantwoordelijke?

50.      Met zijn tweede vraag wenst de verwijzende rechter te vernemen of verweerster, omdat zij een plug-in in haar website heeft geïntegreerd die de browser van de gebruiker content van een derde doet opvragen en persoonsgegevens aan die derde doorzendt, moet worden beschouwd als een „voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46, ook al kan zij zelf geen invloed uitoefenen op deze gegevensverwerkingshandeling.

51.      Wat betreft het gebrek aan de mogelijkheid om invloed uit te oefenen op de gegevensverwerking, waaraan de verwijzende rechter in zijn vraag refereert, kom ik tot de slotsom dat dit in de context van de onderhavige zaak geen betrekking heeft op het veroorzaken van het proces van de doorzending van die gegevens (en feitelijk heeft verweerster wel degelijk invloed gehad omdat zij de betrokken plug‑in op haar website heeft opgenomen). Het lijkt veeleer betrekking te hebben op de eventuele latere verwerking van de gegevens door Facebook Ireland.

52.      Zoals de verwijzende rechter opmerkt, heeft het antwoord op zijn tweede vraag gevolgen die veel verder reiken dan de onderhavige zaak en het door Facebook Ireland beheerde sociale netwerk. Een aantal websites heeft content van derden van verschillende aard geïntegreerd. Zou een persoon als verweerster moeten worden aangemerkt als „voor de verwerking verantwoordelijke” die de (mede)verantwoordelijkheid draagt voor elke (verdere) verwerking die met betrekking tot de verzamelde gegevens plaatsvindt omdat die websitebeheerder content van derden heeft geïntegreerd die de doorzending van dergelijke gegevens mogelijk maakt, dan zou een dergelijke zienswijze inderdaad een grote impact hebben op de wijze waarop content van derden wordt behandeld.

53.      In de structuur van de onderhavige zaak is de tweede vraag ook de wezenlijke vraag die de kern van de problematiek raakt: wie is verantwoordelijk voor wat precies in geval van geïntegreerde content van derden op een website? De (on)nauwkeurigheid waarmee deze vraag wordt beantwoord, zal dan ook gevolgen sorteren voor de antwoorden op de navolgende vragen over het gerechtvaardigde belang, de toestemming en de informatieplicht.

54.      In dit deel van mijn conclusie zal ik, om te beginnen, een aantal inleidende opmerkingen maken over het voor de onderhavige zaak relevante begrip persoonsgegevens (1). Vervolgens zal ik recente rechtspraak van het Hof de revue laten passeren en in overweging geven hoe de tweede vraag kan worden beantwoord, indien de eerdere beslissingen van het Hof zonder meer worden overgenomen (2). Daarna zal ik uiteenzetten waarom wellicht meer vragen moeten worden gesteld en, in de context van de onderhavige zaak, de analyse enigszins moet worden verfijnd (3). Tot slot zal ik, wat de toepassing van de definitie van het begrip (gezamenlijke) verantwoordelijkheid betreft, het belang benadrukken van de eenheid van „doel en middel” waarvan sprake behoort te zijn tussen de (gezamenlijk) voor de verwerking verantwoordelijken met betrekking tot de respectieve fase van de betrokken verwerking van persoonsgegevens (gegevensverwerking) (4).

1.      Persoonsgegevens in de onderhavige zaak

55.      Er zij aan herinnerd dat het begrip „persoonsgegevens” in artikel 2, onder a), van richtlijn 95/46 wordt gedefinieerd als „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ,betrokkene’ te noemen”. Overweging 26 van die richtlijn licht dienaangaande toe dat „om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren”.

56.      Het Hof heeft reeds verduidelijkt dat IP-adressen onder bepaalde omstandigheden persoonsgegevens kunnen vormen.(23) Het Hof heeft verder verklaard dat het voor de vraag of er een „als identificeerbaar [te beschouwen] persoon” is in de zin van artikel 2, onder a), van richtlijn 95/46 „niet nodig is dat dit gegeven het op zichzelf mogelijk maakt de betrokken persoon te identificeren” en dat dus extra informatie nodig kan zijn. Ook heeft het Hof verklaard dat „niet vereist is dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust”, voor zover de mogelijkheid om de respectieve data te combineren „een middel vormt waarvan mag worden aangenomen dat het redelijkerwijs kan worden ingezet om de betrokken persoon te identificeren”.(24)

57.      De verwijzende rechter gaat niet in op de vraag of het IP‑adres, op zichzelf of in combinatie met de browserstring die eveneens wordt doorgezonden, moet worden aangemerkt als persoonsgegevens in de zin van die criteria. Facebook Ireland lijkt deze kwalificatie te betwisten.(25)

58.      Het is duidelijk dat een dergelijke beoordeling aan de nationale rechter staat. Aangaande in het algemeen eventuele plug-ins die kunnen worden geïntegreerd of andere content van een derde partij, is het om informatie als persoonlijk aan te merken noodzakelijk dat de betrokkene met de gegevens kan worden geïdentificeerd (direct of indirect). Ten behoeve van de onderhavige zaak ga ik ervan uit dat, zoals uit de vragen van de verwijzende rechter lijkt te volgen, het IP-adres en de browserstring in de omstandigheden van het hoofdgeding inderdaad persoonsgegevens vormen en voldoen aan de criteria van artikel 2, onder a), van richtlijn 95/46, zoals die door het Hof zijn verduidelijkt.

2.      Wirtschaftsakademie Schleswig‑Holstein locuta, causa finita?

59.      Wat het antwoord op de tweede vraag betreft, betogen verweerster en Facebook Ireland dat verweerster niet kan worden beschouwd als een voor de verwerking verantwoordelijke omdat zij geen invloed heeft op de persoonsgegevens die zullen worden verwerkt. Bijgevolg zou alleen Facebook Ireland als zodanig kunnen worden aangemerkt. Subsidiair betoogt Facebook Ireland dat verweerster samen met haar optreedt, als mede voor de verwerking verantwoordelijke, waarbij de verantwoordelijkheid van een persoon als verweerster evenwel beperkt is tot haar feitelijk gebied van invloed.

60.      Verzoekster, de LDI NW, en alle regeringen die opmerkingen hebben ingediend in de onderhavige zaak, alsmede de Commissie delen in wezen het standpunt dat het begrip „voor de verwerking verantwoordelijke” een ruime betekenis heeft en mede verweerster omvat. De opvattingen die zij in die schriftelijke opmerkingen hebben geuit over de precieze reikwijdte van de verantwoordelijkheid van verweerster verschillen evenwel aanzienlijk. De verschillen hebben betrekking op de vraag of verweerster en Facebook Ireland al dan niet samen verantwoordelijk moeten worden gehouden, of die gezamenlijke verantwoordelijkheid al dan niet moet worden beperkt tot de fase van de verwerking van persoonsgegevens waarbij verweerster feitelijk is betrokken, en of in deze context een onderscheid moet worden gemaakt tussen de bezoekers van de website van verweerster die een Facebookaccount hebben en de bezoekers die een dergelijk account niet hebben.

61.      Om te beginnen is het duidelijk dat ingevolge artikel 2, onder d), van richtlijn 95/46 onder het begrip „voor de verwerking verantwoordelijke” een persoon valt die „alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.(26) Het begrip „voor de verwerking verantwoordelijke” kan dus verwijzen naar verschillende actoren die deelnemen aan de verwerking van persoonsgegevens(27) en moet ruim worden opgevat.(28)

62.      De kwestie van de medeverantwoordelijkheid is recentelijk behandeld door het Hof in zijn arrest Wirtschaftsakademie Schleswig‑Holstein.(29) Met betrekking tot de rol van de beheerder van een fanpagina op Facebook kwam het Hof tot de slotsom dat deze beheerder moest worden aangemerkt als gezamenlijk met Facebook Ireland verantwoordelijke in de zin van artikel 2, onder d), van richtlijn 95/46. De reden hiervoor was dat de beheerder gezamenlijk met Facebook Ireland deelnam aan de vaststelling van het doel van en de middelen voor de verwerking van de persoonsgegevens van de bezoekers van de fanpagina.(30)

63.      Meer in het bijzonder heeft het Hof verklaard dat door het aanmaken van de betrokken fanpagina de beheerder Facebook Ireland de „mogelijkheid biedt cookies te plaatsen op de computer of op ieder ander apparaat van degene die de fanpagina heeft bezocht” en dus persoonsgegevens te verwerken.(31) Het Hof heeft geoordeeld dat „de beheerder van een fanpagina op Facebook bij het aanmaken van een dergelijke pagina instellingen moet vastleggen naargelang van met name zijn doelpubliek en van doelstellingen voor het beheer of de promotie van zijn activiteiten, hetgeen van invloed is op de verwerking van persoonsgegevens met het oog op het opstellen van statistieken op basis van bezoeken aan de fanpagina”.(32) De betrokken verwerking stelde Facebook Ireland in staat „het advertentiesysteem dat zij via haar netwerk verspreidt te verbeteren” en verschafte de beheerder de middelen om, via anonieme statistieken, de promotie voor zijn activiteit beter te beheren.(33)

64.      Het Hof is tot de slotsom gekomen dat de betrokken beheerder door „het vastleggen van instellingen” deelnam aan de vaststelling van het doel van en de middelen voor de verwerking van de persoonsgegevens van de bezoekers van zijn fanpagina. Bijgevolg moest deze beheerder worden aangemerkt als verantwoordelijke, gezamenlijk met Facebook Ireland (met een verantwoordelijkheid die „nog groter” was met betrekking tot de gegevens van personen die geen Facebookgebruiker van Facebook Ireland zijn).(34)

65.      In het arrest Jehovan todistajat heeft het Hof een andere belangrijke precisering met betrekking tot het begrip „gezamenlijk voor de verwerking verantwoordelijk” benadrukt: de omstandigheid dat meerdere deelnemers verantwoordelijk zijn voor eenzelfde verwerking vooronderstelt niet dat ieder van hen toegang heeft tot (al) de betrokken persoonsgegevens. Bijgevolg kon een geloofsgemeenschap worden beschouwd als verantwoordelijke voor de verwerking van de persoonsgegevens, zonder dat daartoe nodig was dat die gemeenschap toegang had tot de verzamelde gegevens in kwestie. In die zaak waren het de individuele leden van Jehova’s getuigen die in het fysieke bezit waren van de persoonsgegevens. Het was voldoende dat het verkondigingswerk in het kader waarvan de gegevens werden verzameld klaarblijkelijk werd georganiseerd, gecoördineerd en aangemoedigd door die gemeenschap.(35)

66.      Bekeken op een hoger niveau van abstractie en enkel het begrip van de gezamenlijke verantwoordelijkheid in aanmerking nemend, heb ik de neiging ermee in te stemmen dat in het licht van deze recente rechterlijke uitspraken, de slotsom moet luiden dat verweerster als voor de verwerking verantwoordelijke optreedt en gezamenlijk met Facebook Ireland verantwoordelijk is voor de verwerking van gegevens.(36)

67.       In de eerste plaats heeft verweerster door het gebruik van de betrokken plug‑in Facebook Ireland in staat gesteld om de persoonsgegevens van de gebruikers van haar website te verkrijgen.

68.      In de tweede plaats is het juist dat, in tegenstelling tot de beheerder in het arrest Wirtschaftsakademie Schleswig‑Holstein, verweerster geen instellingen lijkt vast te leggen wat betreft informatie over de gebruikers van haar website die aan haar in geanonimiseerde of in een andere vorm zou worden teruggegeven. Het gezochte „voordeel” lijkt te bestaan in de gratis reclame voor haar producten waarvan sprake zou zijn wanneer de gebruiker van haar website besluit om op de ,,Vind ik leuk”-knop te klikken om, via zijn eigen Facebookpagina, haar gedachten te delen over, laten we zeggen, een zwarte cocktailjurk. Bijgevolg, en onder voorbehoud van verificatie van de feiten door de verwijzende rechter, stelt het gebruik van de plug-in verweerster in staat reclame voor haar producten te optimaliseren door ze zichtbaar te maken op Facebook.

69.      Anders gezegd zou, bezien in een ander licht, van verweerster kunnen worden gezegd dat zij de instellingen van de verzamelde gegevens (mede) bepaalt door het enkele feit van de opneming van de litigieuze plug‑in op haar website. Het is de plug-in zelf die voorziet in instellingen voor de te verzamelen persoonsgegevens. Door vrijwillig dit instrument in haar website te integreren heeft verweerster dus die instellingen vastgelegd met betrekking tot de bezoekers van haar website.

70.      In de derde plaats en hoe dan ook kan, in het licht van het arrest Jehovan todistajat, een gezamenlijk voor de verwerking verantwoordelijke nog steeds als zodanig worden aangemerkt zelfs zonder toegang tot welke „vruchten van gezamenlijke arbeid” dan ook. Het feit dat verweerster geen toegang heeft tot de aan Facebook doorgegeven gegevens of kennelijk geen toegesneden of geaggregeerde statistieken ontvangt als tegenprestatie lijkt niet doorslaggevend.

3.      De problemen: wie is dan niet medeverantwoordelijk?

71.      Wordt doeltreffende bescherming versterkt als iedereen verantwoordelijk wordt voor de verzekering ervan?

72.      Dat is in een notendop het onderliggende morele en praktische dilemma waarvan deze zaak blijk geeft en dat juridisch wordt verwoord in de reikwijdte van de definitie van het begrip (gezamenlijk) voor de verwerking verantwoordelijke. In de begrijpelijke wens te zorgen voor een doeltreffende bescherming van persoonsgegevens, heeft het Hof, verzocht om een definitie van het begrip (gezamenlijk) voor de verwerking verantwoordelijke, in zijn recente rechtspraak een zeer ruime benadering gevolgd. Tot dusver heeft het Hof echter nog niet te maken gehad met de praktische gevolgen van een dergelijke ruime begripsopvatting waar het gaat om de volgende stappen, namelijk: wat zijn de precieze taken en specifieke verantwoordelijkheden van de partijen die als medeverantwoordelijk voor de verwerking worden aangemerkt? Aangezien de onderhavige zaak nu juist die gelegenheid biedt, zou ik in overweging willen geven hiervan gebruik te maken om het begrip (gezamenlijk) voor de verwerking verantwoordelijke de benodigde preciezere omschrijving te geven.

a)      Verplichting en verantwoordelijkheid

73.      Wanneer met een kritische blik wordt gekeken naar het criterium dat moet worden toegepast om te bepalen of sprake is van een „gezamenlijk voor de verwerking verantwoordelijke”, dan lijkt het erop dat na de arresten Wirtschaftsakademie Schleswig‑Holstein en Jehovan todistajat het doorslaggevende criterium is dat de betrokken persoon de „mogelijkheid heeft geboden” dat persoonsgegevens kunnen worden verzameld en doorgezonden, eventueel in combinatie met enige inbreng die een gezamenlijk voor de verwerking verantwoordelijke heeft wat betreft de instellingen (of wanneer op zijn minst sprake is van stilzwijgende goedkeuring daarvan).(37) Is dat inderdaad het geval dan is het – in weerwil van een duidelijk voornemen in die zin in het arrest Wirtschaftsakademie Schleswig‑Holstein om dit uit te sluiten(38) – moeilijk in te zien hoe de normale gebruikers van een onlinetoepassing, zijnde een sociaal netwerk of een ander samenwerkingsplatform maar ook andere programma’s(39), niet ook gezamenlijk voor de verwerking verantwoordelijken worden. Normaal gesproken zal een gebruiker bij het aanmaken van zijn account de beheerder op de hoogte brengen van de instellingen voor de inrichting van zijn account en welke informatie hij wil ontvangen, waarover en van wie. Ook zal hij zijn vrienden, collega’s en anderen uitnodigen om, via de onlinetoepassing, informatie te delen in de vorm van (vaak gevoelige) persoonsgegevens, waarmee hij dus niet alleen gegevens over deze personen verstrekt maar deze personen tevens uitnodigt om zelf bij te dragen. Op deze wijze draagt hij dus duidelijk bij aan de verkrijging en verwerking van persoonsgegevens van die personen.

74.      Hoe zit het voorts met de andere partijen in een „keten van persoonsgegevens”? Als het bieden van de mogelijkheid van gegevensverwerking, bijgevolg feitelijk het bijdragen aan die verwerking in welke fase dan ook, het enige relevante criterium voor de gezamenlijke verantwoordelijkheid voor de verwerking zou zijn, zou dan, als uiterste consequentie, niet ook de aanbieder van internetdiensten, die de gegevensverwerking mogelijk maakt omdat hij toegang tot het internet verschaft, of zelfs de elektriciteitsleverancier, worden aangemerkt als medeverantwoordelijken die mogelijk hoofdelijk aansprakelijk zijn voor de verwerking van persoonsgegevens?

75.      Het intuïtieve antwoord hierop luidt uiteraard „nee”. Het probleem is dat de afbakening van de verantwoordelijkheid tot dusver niet volgt uit de ruime definitie van een voor de verwerking verantwoordelijke. Het gevaar van deze te ruime definitie is dat hierdoor een aantal personen medeverantwoordelijk is voor de verwerking van persoonsgegevens.

76.      In tegenstelling tot de hierboven besproken gevallen beperken de vragen van de verwijzende rechter in de onderhavige zaak zich echter niet tot de definitie van het begrip „voor de verwerking verantwoordelijke”. Met deze vragen worden punten aangesneden en uitgediept die verband houden met het probleem op wie nu echt de verplichtingen uit hoofde van richtlijn 95/46 rusten. Deze punten zelf demonstreren de moeilijkheden die gepaard gaan met een al te ruime definitie van het begrip „voor de verwerking verantwoordelijke”, met name in combinatie met het ontbreken van een nauwkeurige regeling van wat precies de specifieke taken en verantwoordelijkheden van de voor de verwerking verantwoordelijken op grond van richtlijn 95/46 inhouden. Dit blijkt zeer duidelijk uit de opmerkingen van de deelnemers aan de procedure in antwoord op de vijfde en zesde vraag, die betrekking hebben op de precieze verdeling van de verantwoordelijkheden uit hoofde van de richtlijn.

77.      De vijfde vraag snijdt in wezen de kwestie aan wie de toestemming van de betrokkene voor wat zou moeten verkrijgen. De ter beantwoording van deze vraag in overweging gegeven antwoorden lopen aanzienlijk uiteen.

78.      Verzoekster en de LDI NW zijn van mening dat de verplichting om de toestemming van de betrokkene te verkrijgen rust op verweerster die heeft besloten de litigieuze plug‑in te integreren. Volgens verzoekster is dat des te belangrijker voor gebruikers zonder Facebookaccount, die de algemene voorwaarden van Facebook niet hebben aanvaard. Verweerster is van mening dat de toestemming moet worden gegeven aan de derde partij die voor de opgenomen content heeft gezorgd, te weten Facebook Ireland. Volgens Facebook Ireland vereist de toestemming geen bepaalde geadresseerde, aangezien richtlijn 95/46 enkel zou bepalen dat deze toestemming vrij, specifiek en op informatie berustend moet zijn.

79.      Oostenrijk, Duitsland en Polen betogen dat de toestemming dient te worden verleend vóór de verwerking van de gegevens en dat zij, volgens Oostenrijk, betrekking moet hebben op zowel het verzamelen als het eventueel doorzenden van gegevens. Polen benadrukt dat de toestemming moet worden gegeven aan verweerster. Duitsland is van mening dat zij moet worden gegeven aan verweerster of aan de derde partij die zorgt voor de opgenomen content (Facebook Ireland), omdat beide medeverantwoordelijk zijn voor de verwerking. Verweerster hoeft slechts toestemming te verkrijgen voor de doorzending van de gegevens aan de derde omdat zij voor alle overige verwerking en gebruikmaking van de verzamelde gegevens niet langer handelt als voor de verwerking verantwoordelijke. Dat sluit echter niet de mogelijkheid uit voor de beheerder van de website om toestemming te verkrijgen inzake de verwerking door de derde partij, die kan worden beheerst door een overeenkomst tussen beiden. Italië is van mening dat de toestemming moet worden verleend aan allen die deelnemen aan de verwerking van de persoonsgegevens, namelijk verweerster en Facebook Ireland. België en de Commissie benadrukken dat richtlijn 95/46 niet bepaalt aan wie de toestemming moet worden gegeven.

80.      Evenzo uiteenlopend zijn de inzake de zesde vraag van de verwijzende rechter ingenomen standpunten aangaande de kwestie op wie en met betrekking tot wat de door artikel 10 van richtlijn 95/46 voorgeschreven verplichting tot informatieverstrekking nu precies rust.

81.      Volgens verzoekster is de beheerder van de website verplicht om de nodige informatie aan de betrokkene te verstrekken. Verweerster betoogt het tegenovergestelde en benadrukt dat het aan Facebook Ireland staat om informatie te verstrekken, aangezien verweerster niet over nauwkeurige kennis beschikt. Facebook Ireland benadrukt eveneens dat zij verplicht is tot informatieverstrekking, aangezien die verplichting enkel is gericht tot de voor de verwerking verantwoordelijke (of de vertegenwoordiger ervan). Zij merkt op dat het antwoord op de zesde vraag nauw samenhangt met de vraag of de websitebeheerder al dan niet een voor de verwerking verantwoordelijke is. Uit artikel 10 blijkt dat het niet juist is om de websitebeheerder aan te merken als een voor de verwerking verantwoordelijke omdat deze niet in staat is om die informatie te verstrekken. LDI NW is van mening dat de informatie moet worden verstrekt door de websitebeheerder, maar erkent dat het moeilijk is te bepalen welke informatie moet worden gegeven, aangezien verweerster geen invloed heeft op de verwerking van gegevens door Facebook Ireland. De verwevenheid van de doelstellingen van de gegevensverwerking doet vermoeden dat de websitebeheerder medeverantwoordelijk zou moeten zijn voor de door hem mogelijk gemaakte verwerking.

82.      België, Italië en Polen betogen dat de informatieplicht ook geldt voor een websitebeheerder als die in de onderhavige zaak, aangezien deze een voor de verwerking verantwoordelijke is. België voegt daaraan toe dat de websitebeheerder ook een verplichting kan hebben om na te gaan welk doel de verdere verwerking van de gegevens dient en passende maatregelen te nemen om de bescherming van natuurlijke personen te waarborgen. De Duitse regering is van mening dat de informatieverplichting geldt voor de beheerder van de website voor zover deze verantwoordelijk is voor de verwerking, met name de doorzending van gegevens aan de externe leverancier van de opgenomen content, maar niet voor alle navolgende stappen in de gegevensverwerking die onder de verantwoordelijkheid van die externe leverancier vallen. In de opvatting van Oostenrijk en de Commissie is zowel de websitebeheerder als de externe leverancier onderworpen aan de door krachtens artikel 10 van richtlijn 95/46 voorgeschreven verplichting om informatie te verstrekken.

83.      Afgezien van de problematiek die aan de orde wordt gesteld door de vijfde en de zesde vraag, dient wellicht ook gewezen op het feit dat soortgelijke begripsproblemen zich eveneens kunnen voordoen wanneer het gaat om andere verplichtingen uit hoofde van richtlijn 95/46, zoals het recht van toegang dat in artikel 12 ervan is vastgelegd. Het is juist dat het Hof in het arrest Wirtschaftsakademie Schleswig‑Holstein heeft verklaard dat „richtlijn 95/46 niet [vereist] dat, wanneer meerdere ondernemers gezamenlijk voor dezelfde verwerking verantwoordelijk zijn, elk van hen toegang heeft tot de betrokken persoonsgegevens”.(40) Een voor de verwerking verantwoordelijke die zelf geen toegang heeft tot gegevens ten aanzien waarvan hij niettemin wordt aangemerkt als een (gezamenlijk) voor de verwerking verantwoordelijke, kan evenwel, logischerwijs, geen enkele betrokkene die toegang verschaffen (laat staan andere vormen van verwerking, zoals rectificatie en uitwissing, uitvoeren).

84.      Aldus wordt in deze fase door de upstream bestaande begripsmatige onduidelijkheid (wie is de voor de verwerking verantwoordelijke en met betrekking tot wat), die in een aantal gevallen ook downstream zal leiden tot onduidelijkheid (wie is verplicht tot wat), de grens overschreden naar een bereik waar het voor de eventueel voor de verwerking medeverantwoordelijke feitelijk onmogelijk is om te voldoen aan de vigerende wetgeving.

85.      Natuurlijk zou kunnen worden geopperd dat voor de exacte toewijzing van de verantwoordelijkheid aan de (in aanleg veeleer talrijke) gezamenlijk voor de verwerking verantwoordelijken overeenkomsten moeten worden gesloten. Die zouden niet alleen zorgen voor de toewijzing van de verantwoordelijkheid, maar ook de partij aanwijzen die geacht wordt te voldoen aan elk van de verplichtingen waarin de richtlijn voorziet, inclusief die welke fysiek slechts door één enkele partij kunnen worden nagekomen.

86.      Ik vind een dergelijke benadering erg problematisch. In de eerste plaats is zij volstrekt onrealistisch, gelet op het dichte net van formele standaardcontracten die moeten worden ondertekend door allerlei partijen, waaronder zeer waarschijnlijk een aantal gewone gebruikers.(41) In de tweede plaats zou hiermee de toepassing van vigerende wetgeving, en de toewijzing van verantwoordelijkheid waarin zij voorziet, afhankelijk worden gesteld van particuliere overeenkomsten, waartoe derde partijen die hun rechten willen doen gelden wellicht geen toegang hebben.

87.      In de derde plaats, en wellicht gedeeltelijk vooruitlopend op de bespreking van sommige van deze vraagstukken, lijkt de AVG in artikel 26 ervan een nieuw stelsel van gezamenlijke verantwoordelijkheid in het leven te roepen. Het is zeker juist dat de AVG ratione temporis niet van toepassing was op de in dit onderdeel, of in de onderhavige zaak, aan de orde gestelde zaken. Behoudens een specifieke of systematische afwijking in de nieuwe wetgeving met betrekking tot de relevante definities, wat niet het geval lijkt te zijn, aangezien artikel 4 van de AVG onverminderd grotendeels dezelfde kernbegrippen als artikel 2 van richtlijn 95/46 (onder toevoeging van een aantal nieuwe) hanteert, zou het evenwel nogal verrassend zijn wanneer de uitlegging van dergelijke belangrijke begrippen, waaronder de begrippen „verwerkingsverantwoordelijke”, „verwerking” of „persoonsgegevens”, aanzienlijk gaat afwijken (zonder een zeer goede reden) van de bestaande rechtspraak.

88.      Zou dat inderdaad het geval zijn, dan zou de regeling waarbij door artikel 26, lid 3, van de AVG een stelsel van gezamenlijke aansprakelijkheid van medeverantwoordelijken voor de verwerking in het leven lijkt te zijn geroepen, nogal wat kopzorgen kunnen gaan opleveren. Van de ene kant maakt artikel 26, lid 1, van de AVG het namelijk mogelijk dat gezamenlijke verwerkingsverantwoordelijken „hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen [...] vast[stellen]”. Van de andere kant bepaalt artikel 26, lid 3, van de AVG evenwel ondubbelzinnig dat „de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke [kan] uitoefenen”, ongeacht welke regeling dan ook. Bijgevolg kan elk van de gezamenlijk voor de verwerking verantwoordelijken aansprakelijk worden gehouden voor de betrokken gegevensverwerking.

b)      Het grotere geheel

89.      Lange tijd geleden (de liefhebbers van een bepaalde sciencefictionfilms‑franchise zouden hieraan wellicht willen toevoegen „in een universum, heel ver weg”) was het hip om actief te zijn op een sociaal netwerk. Langzamerhand werd het hip om niet actief te zijn op een sociaal netwerk. Tegenwoordig lijkt het alsof hiermee een misdrijf wordt gepleegd (en waarvoor nieuwe vormen van indirecte aansprakelijkheid moeten worden ingevoerd).

90.      Het valt niet te loochenen dat juridische besluitvorming zich in een veranderende maatschappelijke context voltrekt. Zij moet uiteraard reageren op die context, zonder evenwel erdoor te worden beheerst. Een sociaal netwerk is, net als alle andere applicaties of programma’s, een instrument dat, zoals een mes of een auto, op een aantal manieren kan worden gebruikt. Het staat ook buiten kijf dat wanneer een sociaal netwerk voor de verkeerde doeleinden wordt gebruikt, dat gebruik moet worden vervolgd. Maar het is wellicht niet de beste idee om iedereen die ooit een mes heeft gebruikt te bestraffen. Heeft een mes schade veroorzaakt, dan richt zich normaalgesproken de vervolging tegen degene(n) die het mes heeft respectievelijk hebben gehanteerd.

91.      Bijgevolg zou sprake moeten zijn van – zij het dan niet altijd een één‑op‑één‑verband – een op zijn minst redelijke mate van correlatie tussen bevoegdheid, controle en verantwoordelijkheid. Moderne wetgeving omvat vanzelfsprekend ook verschillende vormen van risicoaansprakelijkheid, waarvan enkel sprake zal zijn wanneer bepaalde gevolgen intreden. Maar hierbij gaat het veeleer om gerechtvaardigde uitzonderingen. Wordt iemand die geen invloed op de gevolgen heeft gehad, zonder enige met redenen omklede verklaring, aansprakelijk gesteld, dan wordt de toewijzing in de regel als onredelijk of niet billijk beschouwd.(42)

92.      Bovendien zal, bij de beantwoording van de door mij aan het begin van dit deel van deze conclusie gestelde vraag (punt 71), een sceptisch persoon uit de meer oostelijke regionen van de Europese Unie gezien zijn ervaringen in het verleden in overweging geven dat de doeltreffendheid van de bescherming van iets doorgaans drastisch afneemt als iedereen hiervoor verantwoordelijk wordt gemaakt. Als iedereen verantwoordelijk is, is feitelijk niemand verantwoordelijk. Of beter gezegd: de partij die aansprakelijk had moeten worden gehouden voor een bepaalde gang van zaken, dat wil zeggen de partij die de reële controle heeft gehad, zal zich waarschijnlijk verschuilen achter al die anderen die in naam „medeverantwoordelijk” zijn, waarmee een doeltreffende bescherming waarschijnlijk aanzienlijk verwatert.

93.      Ten slotte mag goede wetgeving, dan wel de uitlegging ervan, niet leiden tot een uitkomst, waarin de daarin vervatte verplichtingen door haar adressaten niet daadwerkelijk kunnen worden nagekomen. Voor zover mag worden aangenomen dat een degelijke definitie van (gezamenlijke) verantwoordelijkheid niet mag ontaarden in een juridisch geruggensteund bevel aan alle betrokken partijen om offline te gaan en af te zien van het gebruik van sociale netwerken, plug‑ins en eventuele andere content van een derde partij, moet bij de definitie van de verplichtingen en verantwoordelijkheden met beide benen op de grond worden gebleven en weer ruimte worden geboden voor kennis en echte onderhandelingsmogelijkheden, alsmede het vermogen om invloed uit te oefenen op de toegerekende activiteiten.(43)

4.      Terug naar de legislatieve basis: eenheid van doel en middelen met betrekking tot een bepaalde verwerkingshandeling

94.      Hoewel het Hof in zijn arrest Wirtschaftsakademie Schleswig‑Holstein een nogal solide benadering van de definitie van gezamenlijke verantwoordelijkheid heeft gevolgd, heeft het zijdelings ook de noodzaak van een beperking van de aansprakelijkheid van een (gezamenlijk) voor de verwerking verantwoordelijke aangesneden. Meer specifiek heeft het Hof verklaard dat „het bestaan van een gezamenlijke verantwoordelijkheid zich niet noodzakelijkerwijs uit in een gelijkwaardige verantwoordelijkheid van de verschillende ondernemers die betrokken zijn bij de verwerking van persoonsgegevens. Deze ondernemers kunnen juist in verschillende stadia en in verschillende maten bij deze verwerking betrokken zijn, zodat het niveau van verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval”.(44)

95.      In het arrest Wirtschaftsakademie Schleswig‑Holstein bestond geen noodzaak om op deze kwestie in te gaan, maar wel in de onderhavige zaak, waarin de verwijzende rechter het Hof verzoekt om na te gaan welke eventuele verplichtingen op verweerster uit hoofde van haar status van voor de verwerking verantwoordelijke rusten.

96.      Gelet op het onlangs door artikel 26 van de AVG in het leven geroepen stelsel van gezamenlijke aansprakelijkheid zou het lastig kunnen zijn om zich voor te stellen hoe medeverantwoordelijkheid, wat betreft dezelfde uitkomst in termen van (on)wettige behandeling van persoonsgegevens, niet-gelijke verantwoordelijkheid zou kunnen impliceren, en zulks met name met het oog op artikel 26, lid 3, van de AVG dat in de richting van gezamenlijke (en hoofdelijke) aansprakelijkheid lijkt te gaan.(45)

97.      Naar mijn mening is evenwel de tweede verklaring van het Hof van cruciaal belang, namelijk dat „ondernemers [...] juist in verschillende stadia en in verschillende maten bij deze verwerking betrokken [kunnen] zijn”. Een dergelijke benadering vindt steun in de definities die zijn opgenomen in richtlijn 95/46, in het bijzonder wat betreft de definitie van (i) het begrip „verwerking” in artikel 2, onder b), en (ii) het begrip „voor de verwerking verantwoordelijke” in artikel 2, onder d).

98.      In de eerste plaats wordt onder „verwerking van persoonsgegevens” verstaan „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.

99.      Het begrip „verwerking” mag dan, net als het begrip „voor de verwerking verantwoordelijke”, nogal ruim zijn(46), het legt de nadruk duidelijk op en richt zich tot een fase in de verwerking: het verwijst naar een bewerking of een geheel van bewerkingen met een opsomming van voorbeelden van wat een dergelijke afzonderlijke bewerking zou kunnen inhouden. Het zou dan voor de hand liggen dat de vraag wie voor de verwerking verantwoordelijk is veeleer moet worden beoordeeld aan de hand van de betrokken verwerking en niet met betrekking tot een onbepaald geheel van van alles en nog wat dat als verwerking wordt aangeduid.(47)

100. In de tweede plaats bevat richtlijn 95/46 geen specifieke definitie van medeverantwoordelijkheid. Het ligt evenwel voor de hand dat dit begrip voortborduurt op het begrip „voor de verwerking verantwoordelijke” in artikel 2, onder d), van die richtlijn: van de situatie van medeverantwoordelijkheid is sprake wanneer twee of meer personen samen het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen.(48) Met andere woorden: twee of meer personen kunnen als gezamenlijk voor de verwerking verantwoordelijken worden aangemerkt, indien tussen hen sprake is van overeenstemming van het doel en de middelen van de verwerking van persoonsgegevens.

101. Mijns inziens moet de combinatie van deze twee definities bepalend zijn voor de verplichtingen en de mogelijke aansprakelijkheid van de gezamenlijk voor de verwerking verantwoordelijken. Een (gezamenlijk) voor de verwerking verantwoordelijke kan worden aangesproken op die bewerking of dat geheel van bewerkingen, waarvoor hij het doel en de middelen deelt of mede bepaalt, voor zover het de desbetreffende bewerking betreft. Die persoon kan daarentegen niet aansprakelijk worden gesteld voor eerdere of latere fasen van de gehele verwerkingsketen, ten aanzien waarvan hij niet het doel of de middelen van die verwerkingsfase kon bepalen.

102. In de onderhavige zaak komt de relevante fase (bewerkingen) van de verwerking overeen met het verzamelen en het doorzenden van persoonsgegevens via de Facebook-,,Vind ik leuk”-knop.

103. Waar het, in de eerste plaats, om de middelen van deze verwerking van persoonsgegevens gaat, lijkt het vast te staan, zoals in overweging is gegeven door verzoekster, LDI NW en de Duitse regering, dat verweerster beslist over het gebruik van de litigieuze plug‑in die dient als instrument voor het verzamelen en doorzenden van de persoonsgegevens. Het verzamelen en doorzenden wordt in gang gezet zodra de website van verweerster wordt bezocht. De plug-in is door Facebook Ireland aan verweerster verstrekt. Bijgevolg lijkt het erop dat zowel Facebook Ireland als verweerster de verwerkingsfase van het verzamelen en doorzenden van gegevens vrijwillig mogelijk heeft gemaakt. Het staat uiteraard aan de nationale rechter om dienaangaande de feiten vast te stellen.

104. Wat, in de tweede plaats, het doel van de gegevensverwerking betreft, vermeldt de verwijzingsbeslissing niet waarom verweerster heeft besloten de Facebook-,,Vind ik leuk”-knop in haar website te integreren. Onder voorbehoud van verificatie door de verwijzende rechter, lijkt dit besluit evenwel te zijn ingegeven door de wens om de zichtbaarheid van verweersters producten via het sociale netwerk te verhogen. Tegelijkertijd lijken de naar Facebook Ireland doorgezonden gegevens te worden gebruikt voor de eigen commerciële doeleinden van laatstgenoemde.

105. Ook al mag dan het specifieke commerciële gebruik van de gegevens niet hetzelfde zijn, zowel verweerster als Facebook Ireland lijkt in het algemeen commerciële doeleinden na te streven die elkaar onderling lijken aan te vullen. Al is er dan geen sprake van een identiek doel, er bestaat zodoende wel een eenheid van doel, te weten een commercieel en een reclamedoel.

106. Uitgaande van de feiten in de onderhavige zaak blijken verweerster en Facebook Ireland dus mee te beslissen over de middelen en doelen van de gegevensverwerking in de fase van het verzamelen en het doorzenden van de betrokken persoonsgegevens. In zoverre handelt verweerster als een voor de verwerking verantwoordelijke en is zij, eveneens in zoverre, in dat opzicht samen met Facebook Ireland medeaansprakelijk.

107. Tegelijkertijd ben ik van mening dat de aansprakelijkheid van verweerster moet worden beperkt tot de fase van de gegevensverwerking waarin zij betrokken is en zich niet kan uitstrekken tot enige andere eventueel opvolgende fase van gegevensverwerking, wanneer een dergelijke verwerking buiten haar controle en tevens haar medeweten blijkt te hebben plaatsgevonden.

108. In het licht van het bovenstaande is mijn tweede voorlopige conclusie dus dat een persoon, als verweerster, die een plug-in van een derde partij in zijn website heeft geïntegreerd die het verzamelen en het doorzenden van persoonsgegevens van de gebruiker in gang zet (waarbij die derde partij de plug-in heeft verstrekt), dient te worden beschouwd als een voor de verwerking verantwoordelijke in de zin van artikel 2, onder d), van richtlijn 95/46. Deze (mede)aansprakelijkheid van de voor de verwerking verantwoordelijke is evenwel beperkt tot die bewerkingen ten aanzien waarvan hij het doel of de middelen van de verwerking van persoonsgegevens mede kon bepalen.

109. Hieraan zij toegevoegd dat die voorlopige conclusie ook een antwoord vormt op de derde vraag die is overgelegd. Met die vraag wenst de verwijzende rechter in wezen te vernemen of richtlijn 95/46 in de weg staat aan de toepassing van de nationaalrechtelijke figuur van Störer (iemand die bewust aan een inbreuk bijdraagt) op verweerster, wanneer komt vast te staan dat verweerster niet kan worden beschouwd als de voor de verwerking verantwoordelijke. Volgens de verwijzingsbeslissing vereist de figuur van Störer van de persoon die niet zelf een recht schendt, maar het risico van schending door derden heeft gecreëerd of verhoogd, te doen wat mogelijk en redelijk is om de schending van een recht te voorkomen. Voor het geval dat verweerster niet als een voor de verwerking verantwoordelijke kan worden beschouwd, geeft de verwijzende rechter in overweging dat voldaan is aan de voorwaarden voor de toepassing van de figuur van Störer, aangezien verweerster door de plaatsing van de,,Vind ik leuk”-knop op zijn minst het risico heeft gecreëerd dat Facebook een inbreuk pleegt.

110. Gelet op het antwoord op de tweede vraag van de verwijzende rechter, hoeft de derde vraag niet te worden beantwoord. Zodra vaststaat dat een bepaalde persoon moet worden aangemerkt als een voor de verwerking verantwoordelijke binnen de werkingssfeer van richtlijn 95/46, moeten zijn verplichtingen worden beoordeeld in het licht van de door deze richtlijn omschreven verplichtingen. De tegenovergestelde slotsom zou leiden tot een telkens andere aansprakelijkheid van de voor de verwerking verantwoordelijken voor een bepaalde inbreuk in de verschillende lidstaten. In die zin en met het oog op de definitie van een voor de verwerking verantwoordelijke bewerkstelligt richtlijn 95/46 wel degelijk volledige harmonisatie met betrekking tot de adressaten van de omschreven verplichtingen.(49)

C.      Gerechtvaardigd belang dat in aanmerking moet worden genomen bij artikel 7, onder f), van richtlijn 95/46

111. De vierde vraag in de onderhavige zaak heeft betrekking op de rechtmatigheid van de verwerking van persoonsgegevens zonder toestemming van de betrokkene in de zin van artikel 7, onder a), van richtlijn 95/46.

112. Wat dit aangaat, vermeldt de verwijzende rechter artikel 7, onder f), van richtlijn 95/46, volgens hetwelk verwerking van persoonsgegevens mag geschieden, indien „de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming [...] niet prevaleren”. Meer in het bijzonder wenst de verwijzende rechter te vernemen wiens gerechtvaardigd belang in aanmerking moet worden genomen in de context van de onderhavige zaak: dat van verweerster die de content van de derde partij heeft opgenomen of dat van die derde partij (te weten Facebook Ireland).(50)

113. Vooraf zij erop gewezen dat de Commissie van mening is dat de vierde vraag niet ter zake doet, aangezien de gebruiker volgens de wetgeving ter omzetting van richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie („e‑privacyrichtlijn”)(51) in casu hoe dan ook zijn toestemming moet hebben gegeven.

114. Ik ben het met de Commissie eens dat de e‑privacyrichtlijn (die ingevolge artikel 1, lid 2, ervan een specificatie van en een aanvulling op richtlijn 95/46 vormt)(52) van toepassing lijkt op de onderhavige situatie, voor zover sprake is van het plaatsen van cookies op de apparaten van de gebruiker.(53) Bovendien wordt in artikel 2, onder f), en overweging 17 van de e‑privacyrichtlijn het begrip „toestemming” gedefinieerd aan de hand van een verwijzing naar dit begrip in richtlijn 95/46.

115. Of in de zaak in het hoofdgeding sprake is geweest van de plaatsing van cookies was het onderwerp van een uitvoerige gedachtewisseling ter terechtzitting. Het staat aan de nationale rechter om wat dit betreft de feiten boven water te krijgen. Zoals in de verwijzingsbeslissing is aangegeven, is de verwijzende rechter echter hoe dan ook van mening dat de doorgezonden data persoonsgegevens zijn.(54) Het vraagstuk van de cookies lijkt dus niet te zorgen voor het antwoord op alle problemen die in de onderhavige zaak klaarblijkelijk zijn gerezen met betrekking tot de gegevensverwerking.(55)

116. Ik ben daarom van mening dat de vierde vraag nadere beschouwing verdient.

117. Verzoekster voert aan dat het bij het in aanmerking te nemen gerechtvaardigde belang om dat van verweerster gaat. Zij voegt hieraan toe dat noch verweerster, noch Facebook Ireland een rechtmatig belang kan aanvoeren in de onderhavige zaak.

118. Verweerster en Facebook Ireland betogen, kort gezegd, dat het gerechtvaardigde belang van degene die de content van de derde partij opneemt alsmede dat van de derde partij in aanmerking moet worden genomen, waarbij rekening moet worden gehouden met de belangen van de bezoekers van de website van wie de grondrechten in het geding kunnen zijn.

119. LDI NW, Polen, Duitsland en Italië zijn van oordeel dat het gerechtvaardigde belang van zowel verweerster als Facebook Ireland in aanmerking moet worden genomen, aangezien beide de betrokken verwerking mogelijk hebben gemaakt. Oostenrijk neemt een vergelijkbaar standpunt in. Onder verwijzing naar het arrest van het Hof in de zaak Google Spain, benadrukt België evenzo dat het gerechtvaardigde belang van de voor de verwerking verantwoordelijke en dat van de derde partijen aan wie de betrokken persoonsgegevens zijn doorgezonden, in aanmerking moet worden genomen.

120. Er zij vooraf aan herinnerd dat elke verwerking van persoonsgegevens in beginsel moet voldoen aan onder andere een van de in artikel 7 van richtlijn 95/46 vermelde beginselen betreffende de toelaatbaarheid van gegevensverwerking.(56)

121. Wat in het bijzonder artikel 7, onder f), van richtlijn 95/46 betreft, heeft het Hof eraan herinnerd dat hierin „drie cumulatieve voorwaarden [zijn] gesteld waaraan moet zijn voldaan opdat een verwerking van persoonsgegevens rechtmatig is, te weten, in de eerste plaats, de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, in de tweede plaats, de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang, en, in de derde plaats, de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren”.(57)

122. Richtlijn 95/46 bevat wat het begrip „gerechtvaardigd belang” betreft geen definitie of opsomming. Dit begrip is tamelijk flexibel en open van aard.(58) Mits op zichzelf wettig, bestaat er geen type van belang dat per se uitgesloten is. Zoals in essentie ter terechtzitting is besproken en hierboven is uiteengezet(59), blijkt het in de onderhavige zaak te gaan om het verzamelen en het doorzenden van persoonsgegevens om zo goed mogelijk reclame te kunnen maken, ook al zijn de precieze uiteindelijke commerciële doelen van zowel verweerster als Facebook Ireland wellicht niet exact dezelfde.

123. Met deze overwegingen in het achterhoofd deel ik de opvatting dat marketing of reclame, als zodanig, een dergelijk gerechtvaardigd belang kunnen vormen.(60) Meer dan dat valt er in de context van de onderhavige zaak nauwelijks te zeggen, aangezien er, afgezien van die algemene verklaringen, geen specifieke informatie voorhanden is over het precieze gebruik van de doorgezonden en verkregen gegevens.

124. Dat gezegd zijnde, gaat de verwijzende rechter niet in op de vraag hoe de specifieke gerechtvaardigde belangen die in het hoofdgeding zijn aangevoerd moeten worden beoordeeld, noch verzoekt hij om richtsnoeren hiervoor. Met zijn vierde vraag wenst de verwijzende rechter enkel te vernemen wiens gerechtvaardigd belang in aanmerking moet worden genomen bij de ingevolge artikel 7, onder f), van richtlijn 95/46 te maken afweging.

125. In het licht van mijn antwoord op de tweede vraag hierboven ben ik van mening dat het gerechtvaardigde belang van zowel verweerster als Facebook Ireland in aanmerking moet worden genomen, aangezien beide optreden als gezamenlijk voor de verwerking verantwoordelijken wat hun respectieve verwerking van persoonsgegevens betreft.

126. Aangezien hun status van gezamenlijk voor de verwerking verantwoordelijken impliceert dat zij met de verwerking van persoonsgegevens ook dezelfde doelen hebben, moet voor beide het bestaan van een gerechtvaardigd belang worden aangetoond, althans op het algemene niveau zoals hierboven is uiteengezet. Dit belang moet vervolgens worden afgewogen tegen de rechten van de betrokkenen zoals bepaald in het laatste onderdeel van artikel 7, onder f), van richtlijn 95/46(61), waarbij deze afweging „in beginsel af[hangt] van de bijzondere omstandigheden van een concreet geval”.(62) Ik herinner eraan dat de gegevensverwerking in dergelijke omstandigheden ook de toets van de voorwaarde van noodzakelijkheid moet doorstaan.(63)

127. In het licht van het bovenstaande is mijn derde voorlopige conclusie dat voor de beoordeling van de mogelijkheid om persoonsgegevens te verwerken onder de voorwaarden van artikel 7, onder f), van richtlijn 95/46, het gerechtvaardigde belang van de twee gezamenlijk voor de verwerking verantwoordelijken waar het in casu om gaat in aanmerking moet worden genomen en worden afgewogen tegen de rechten van de betrokkenen.

D.      Verweersters verplichtingen wat betreft de toestemming van en informatie aan de betrokkene

128. Met zijn vijfde vraag wenst de verwijzende rechter te vernemen aan wie de toestemming, als bedoeld in artikel 7, onder a), en artikel 2, onder h), van richtlijn 95/46, in de omstandigheden van het onderhavige geval moet worden verleend.

129. Met zijn zesde vraag wenst de verwijzende rechter te vernemen of de verplichting tot informatieverstrekking van artikel 10 van de richtlijn 95/46 in een situatie zoals die in het hoofdgeding van toepassing is op de beheerder van een website (zoals verweerster) die de content van een derde partij heeft geïntegreerd en derhalve de verwerking van persoonsgegevens door die derde partij teweegbrengt.

130. Zoals we hierboven hebben gezien(64), zijn er tal van antwoorden op deze vragen in overweging gegeven. Is evenwel eenmaal de precieze aard van de in de tweede vraag bedoelde verplichting – zowel met betrekking tot de drager van de verplichting (wie) als de aard van de verplichting (voor wat) – vastgesteld, en is die kwestie voor wat betreft de latere bewerkingsfasen daarmee opgehelderd, dan tekenen zich de contouren van de antwoorden op de vijfde en zesde vraag scherper af.

131. In de eerste plaats ben ik van mening dat zowel de toestemming als de informatie betrekking moet hebben op alle aspecten van de gegevensverwerking(en), waarvoor de gezamenlijk voor de verwerking verantwoordelijken hoofdelijk aansprakelijk zijn, te weten het verzamelen en het doorzenden. Omgekeerd strekken die toestemmings- en informatieverplichtingen zich niet uit tot de volgende fasen van de gegevensverwerking waarbij verweerster niet betrokken is en waarvoor zij logischerwijze noch de middelen, noch de doelen kan bepalen.

132. In de tweede plaats zou men, in dergelijke omstandigheden, in overweging kunnen geven dat de toestemming aan ieder van de voor de verwerking verantwoordelijken zou moeten worden verleend. Gezien de bijzondere situatie waarvan in casu sprake is, moet die toestemming evenwel aan verweerster worden verleend, aangezien bij het bezoeken van haar website de verwerking daadwerkelijk in gang wordt gezet. Het zou uiteraard niet in overeenstemming zijn met de doelmatige en tijdige bescherming van de rechten van betrokkenen, wanneer de toestemming enkel hoeft te worden verleend aan de gezamenlijk voor de verwerking verantwoordelijke die (eventueel) later betrokken is, wanneer het verzamelen en het doorzenden reeds hebben plaatsgevonden.

133. Een soortgelijk antwoord moet worden gegeven met betrekking tot de informatieverplichting die verweerster krachtens artikel 10 van richtlijn 95/46 heeft. Deze bepaling bevat een opsomming van de informatie die de voor de verwerking verantwoordelijke (of zijn vertegenwoordiger) ten minste aan de betrokkene moet verstrekken. Deze opsomming omvat de volgende elementen: de identiteit van de voor de verwerking verantwoordelijke (of van diens vertegenwoordiger), de doeleinden van de verwerking waarvoor de gegevens zijn bestemd en verdere informatie „voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verkregen wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen”. Artikel 10 bevat voorbeelden van dergelijke aanvullende informatie, waaronder, als mogelijk van belang zijnde voor de onderhavige zaak, informatie over de ontvanger van de gegevens of over het bestaan van een recht op toegang en op rectificatie van de gegevens over de betrokkene.

134. Gelet op deze opsomming lijkt verweerster duidelijk in staat te zijn informatie te verstrekken over de identiteit van de gezamenlijk voor de verwerking verantwoordelijken, over het doel van de respectieve fase van de verwerking [de bewerking(en) waarvoor zij medeverantwoordelijk is]; en ook over het feit dat deze gegevens worden doorgezonden.

135. Wat daarentegen het recht op toegang en het recht van rectificatie betreft, heb ik begrepen dat verweerster zelf niet beschikt over een dergelijke toegang tot de gegevens die worden doorgezonden naar Facebook Ireland, aangezien zij op geen enkele wijze betrokken is bij de opslag van gegevens. Bijgevolg zou bijvoorbeeld in overweging kunnen worden gegeven dat deze aangelegenheid het voorwerp moet vormen van een overeenkomst met Facebook Ireland.

136. Afgezien van de hierboven uiteengezette argumenten(65), beogen dergelijke voorstellen evenwel opnieuw een uitbreiding van de verplichtingen en de aansprakelijkheid van een medeverantwoordelijke respectievelijk medeverantwoordelijken tot bewerkingen waarvoor zij niet verantwoordelijk zijn. Wanneer medeverantwoordelijkheid neerkomt op verantwoordelijkheid voor die bewerking(en) waarvoor eenheid van doel en middelen tussen de voor de verwerking verantwoordelijken bestaat, dan moeten logischerwijze de andere uit de richtlijn voortvloeiende verplichtingen, zoals toestemming, informatie, toegang of rectificatie overeenstemmen met de draagwijdte van die initiële verplichting.(66)

137. De Commissie heeft ter terechtzitting ook opgemerkt dat de bezoekers die een Facebookaccount hebben wellicht eerder hebben ingestemd met een dergelijke doorzending. Dat zou kunnen leiden tot een gedifferentieerde aansprakelijkheid van verweerster, waarbij de Commissie kennelijk in overweging geeft verweersters verplichting om informatie te verstrekken en toestemming te verkrijgen enkel te laten gelden voor gebruikers zonder Facebookaccount die op de website van verweerster terechtkomen.

138. Ik ben het daarmee niet eens. Ik heb moeite met de gedachte dat, in de omstandigheden van de onderhavige zaak, gebruikers met een Facebookaccount met een verschillende (minder beschermende) behandeling zouden worden geconfronteerd omdat zij reeds hun toestemming zouden hebben verleend voor (elke en welke) verwerking (dan ook) van hun persoonsgegevens door Facebook. Een dergelijk argument impliceert namelijk dat iemand met het openen van een Facebookaccount vooraf instemt met elke gegevensverwerking met betrekking tot alle onlineactiviteiten van dergelijke Facebookgebruikers door een derde partij die op welke manier dan ook in verbinding staat met Facebook. Dit geldt zelfs in een situatie waarin geen sprake is van een zichtbaar teken van verwerking van die gegevens (zoals het geval lijkt te zijn wanneer iemand alleen al de website van verweerster bezoekt). Met andere woorden, zou het voorstel van de Commissie worden overgenomen, dan zou dat uiteindelijk betekenen dat met het openen van een Facebookaccount een gebruiker jegens Facebook in feite afziet van elke bescherming van persoonsgegevens online.

139. Ik ben dus van oordeel dat de aansprakelijkheid en de daaruit voortvloeiende toestemming- en informatieverplichtingen van verweerster dezelfde moeten zijn ten aanzien van de betrokkenen, ongeacht of zij al dan niet een Facebookaccount hebben.

140. Voorts is het ook duidelijk dat de toestemming en de informatie moeten worden gegeven vóórdat de gegevens worden verzameld en doorgezonden.(67)

141. In het licht van het bovenstaande luidt mijn laatste voorlopige conclusie in antwoord op de vijfde en zesde vraag dan ook dat, in een situatie als die in de onderhavige zaak, de in artikel 7, onder a), van richtlijn 95/46 bedoelde toestemming van de betrokkene moet worden gegeven aan een websitebeheerder zoals verweerster, die de content van een derde partij heeft geïntegreerd. Artikel 10 van richtlijn 95/46 moet aldus worden uitgelegd dat de hierdoor voorgeschreven informatieplicht ook van toepassing is op die websitebeheerder. De toestemming van de betrokkene op grond van artikel 7, onder a), van richtlijn 95/46 moet worden verleend en de informatie in de zin van artikel 10 van dezelfde richtlijn moet worden verstrekt vóórdat de gegevens worden verzameld en doorgezonden. De omvang van deze verplichtingen dient evenwel overeen te stemmen met de medeverantwoordelijkheid van de beheerder voor het verzamelen en het doorzenden van de persoonsgegevens.

V.      Conclusie

142. In het licht van het bovenstaande geef ik het Hof in overweging de vragen van het Oberlandesgericht Düsseldorf te beantwoorden als volgt:

„Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, verzet zich niet tegen een nationale wettelijke regeling die aan verenigingen van algemeen nut de bevoegdheid verleent om ter bescherming van de belangen van de consument in rechte op te komen tegen de vermeende inbreukmaker op de wetgeving inzake gegevensbescherming.

Een persoon die een plug-in van een derde partij in zijn website heeft geïntegreerd die het verzamelen en het doorzenden van persoonsgegevens van de gebruiker in gang zet (waarbij die derde partij de plug-in heeft verstrekt), dient te worden beschouwd als een voor de verwerking verantwoordelijke in de zin van artikel 2, onder d), van richtlijn 95/46. Deze (mede)aansprakelijkheid van de voor de verwerking verantwoordelijke is evenwel beperkt tot bewerkingen ten aanzien waarvan hij het doel of de middelen mede kon bepalen.

Voor de beoordeling van de mogelijkheid om persoonsgegevens te verwerken onder de voorwaarden van artikel 7, onder f), van richtlijn 95/46 moet het gerechtvaardigde belang van de twee gezamenlijk voor de verwerking verantwoordelijken waar het in casu om gaat, in aanmerking worden genomen en worden afgewogen tegen de rechten van de betrokkenen.

De in artikel 7, onder a), van richtlijn 95/46 bedoelde toestemming van de betrokkene moet worden gegeven aan een websitebeheerder die de content van een derde partij heeft opgenomen. Artikel 10 van richtlijn 95/46 moet aldus worden uitgelegd dat de hierdoor voorgeschreven informatieplicht ook van toepassing is op die websitebeheerder. De toestemming van de betrokkene op grond van artikel 7, onder a), van richtlijn 95/46 moet worden verleend en de informatie in de zin van artikel 10 van dezelfde richtlijn moet worden verstrekt vóórdat de gegevens worden verzameld en doorgezonden. De omvang van deze verplichtingen dient evenwel overeen te stemmen met de medeverantwoordelijkheid van de beheerder voor het verzamelen en doorzenden van de persoonsgegevens.”

1      Oorspronkelijke taal: Engels.

2      Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

3      Richtlijn van het Europees Parlement en de Raad van 23 april 2009 (PB 2009, L 110, blz. 30).

4      Ik wijs erop dat in de verwijzingsbeslissing wordt vermeld dat de plug-in beschikbaar werd gesteld aan verweerster door Facebook Ireland of door de in de Verenigde Staten van Amerika gevestigde moederonderneming van deze laatste. Het lijkt er echter op dat Facebook Ireland zowel voor de verwijzende rechter als, bijgevolg, ook voor het Hof een mogelijke aansprakelijkheid krachtens richtlijn 95/46 in het kader van de onderhavige procedure aanvaardt. Ik zie dan ook geen reden om in te gaan op de mogelijke toepasselijkheid van de richtlijn 95/46 ten aanzien van de moedermaatschappij van Facebook Ireland.

5      Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1).

6      „De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het/zij van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.”

7      Omwille van de volledigheid zij hieraan toegevoegd dat, hoewel het arrest van 28 juli 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), betrekking had op een vraag aangaande de uitlegging van richtlijn 95/46 die was gerezen in een nationale procedure, ingesteld door een vereniging, het Hof niet is ingegaan op de kwestie van de procesbevoegdheid van de vereniging in die zaak, simpelweg omdat die specifieke vraag niet was gesteld.

8      Zoals bevestigd in bijvoorbeeld arresten van 23 mei 1985, Commissie/Duitsland (C‑29/84, EU:C:1985:229, punt 22); 14 februari 2012, Flachglas Torgau (C‑204/09, EU:C:2012:71, punt 60), en 19 april 2018, CMR (C‑645/16, EU:C:2018:262, punt 19).

9      Arrest van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punt 53).

10      Zie ook arrest van 16 december 2008, Huber (C‑524/06, EU:C:2008:724, punt 50).

11      Een mechanisme dus waarbij, anders dan in het arrest van 25 januari 2018, Schrems (C‑498/16, EU:C:2018:37), de te doen gelden rechten niet aan een bepaalde persoon hoeven te worden overgedragen en dat klaarblijkelijk een duidelijke rechtsgrondslag in het nationale recht heeft voor naar het lijkt een type vertegenwoordiging van de collectieve belangen van consumenten.

12      Of, anders gezegd: de lidstaten moeten ook, in het bijzonder waar het gaat om de institutionele structuur of procedures, een aantal andere zaken regelen die eveneens niet uitdrukkelijk zijn opgenomen in een richtlijn (zoals, in termen van juridische handhaving van een recht, niet alleen de kwestie van de procesbevoegdheid, maar bijvoorbeeld ook de termijnen voor het instellen van een vordering; de eventuele gerechtskosten; de bevoegdheid van de gerechten, enz.). Kan dus ook worden betoogd dat, aangezien noch artikel 22, noch artikel 24 van richtlijn 95/46 een van deze onderwerpen vermeldt, de lidstaat dit niet in zijn nationale recht mag regelen?

13      Zoals gedefinieerd in artikel 3 van richtlijn 2009/22.

14      Zie bijvoorbeeld arresten van 6 november 2003, Lindqvist (C‑101/01, EU:C:2003:596, punt 96); 16 december 2008, Huber (C‑524/06, EU:C:2008:724, punt 51); 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 en C‑469/10, EU:C:2011:777, punt 29), en 7 november 2013, IPI (C‑473/12, EU:C:2013:715, punt 31).

15      Arrest van 6 november 2003, Lindqvist (C‑101/01, EU:C:2003:596, punt 97).

16      Zie mijn conclusie in de zaak Dzivev (C‑310/16, EU:C:2018:623, punten 72 en 74).

17      Weergegeven in punt 8 hierboven.

18      Zie opnieuw de hierboven gegeven voorbeelden, voetnoot 12.

19      Welke ingevolge artikel 28 van richtlijn 95/46 verantwoordelijk zijn voor het toezicht op de toepassing van de bepalingen die zijn vastgesteld op grond van die richtlijn.

20      Zie, met betrekking tot de standaard die uit hoofde van artikel 28, lid 1, van richtlijn 95/46 vereist is, arresten van 9 maart 2010, Commissie/Duitsland (C‑518/07, EU:C:2010:125, punten 18‑30), en 16 oktober 2012, Commissie/Oostenrijk (C‑614/10, EU:C:2012:631, punten 41‑66).

21      Zou dan, naar analogie met een ander rechtsgebied, ook bijvoorbeeld particuliere handhaving van het mededingingsrecht een bedreiging vormen voor de onafhankelijkheid van (nationale) mededingingsautoriteiten? Zie arresten van 20 september 2001, Courage en Crehan (C‑453/99, EU:C:2001:465, punten 26, 27 en 29), en 13 juli 2006, Manfredi e.a. (C‑295/04–C‑298/04, EU:C:2006:461, punten 59‑60). Zie ook overweging 5 van richtlijn 2014/104/EU van het Europees Parlement en de Raad van 26 november 2014 betreffende bepaalde regels voor schadevorderingen volgens nationaal recht wegens inbreuken op de bepalingen van het mededingingsrecht van de lidstaten en van de Europese Unie (PB 2014, L 349, blz. 1).

22      In het algemeen (los van de specifieke kwestie van de gewijzigde wettelijke vorm) kan men zich afvragen: wat betekent het feit dat de wetgever iets heeft ingevoegd in latere wetgeving dat niet aanwezig was in eerdere versies van die wetgeving voor de uitlegging van deze laatste? Het is goed mogelijk dat dat beginsel „inherent aanwezig” was in de vorige versie en in de latere versie is verduidelijkt. Maar het kan ook betekenen dat juist omdat die bepaling niet eerder aanwezig was, de nieuwe bepaling een wijziging is. In het licht van het veelvuldige en twijfelachtige gebruik (of misbruik) van het argument „het is er altijd geweest en nu is het enkel uitdrukkelijk”, wat feitelijk neerkomt op de uitbreiding van de toepassing van de nieuwe regel tot vóór haar temporele werkingssfeer, moeten dergelijke argumenten, als ze al aangevoerd worden, met de nodige voorzichtigheid worden gebruikt.

23      Zie met betrekking tot de kwestie van dynamische IP‑adressen arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779, punten 33 e.v.). Zie ook arrest van 24 november 2011, Scarlet Extended (C‑70/10, EU:C:2011:771, punt 51).

24      Arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779, punten 41‑45).

25      Punt 19 hierboven.

26      Cursivering van mij.

27      Arresten van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punt 29), en 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punt 65).

28      Zie arresten van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punt 34), en 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punt 66).

29      Arrest van 5 juni 2018 (C‑210/16, EU:C:2018:388).

30      Arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punt 39).

31      Arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punt 35).

32      Arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punt 36).

33      Arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punten 34 en 38).

34      Arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punt 41).

35      Arrest van 10 juli 2018 (C‑25/17, EU:C:2018:551, punten 68‑72).

36      Zoals in overweging is gegeven door advocaat-generaal Bot in zijn conclusie in de zaak Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, punten 66‑72).

37      Een klaarblijkelijke analogie met de consumentenbescherming in die zin dat, wat de onderhandelingen betreft, de „niet-professionele” partij werkelijk iets moet hebben in te brengen bij de bespreking van de voorwaarden, lijkt in deze context niet te kunnen worden toegepast. Het is daarom nog maar de vraag in welke mate de beheerder van een fanpagina feitelijk instellingen kan vastleggen (en in hoeverre sprake is van alleen maar mechanisch klikken en kiezen tussen vaststaande opties, zoals bij elke andere „consument”).

38      Arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punt 35).

39      Met de soms uitdrukkelijk, soms wellicht minder uitdrukkelijk verleende toestemming van de gebruiker verstuurt een aantal programma’s en applicaties tegenwoordig analytische informatie die persoonsgegevens kan bevatten aan de ontwikkelaar of de verkoper van de software.

40      Arrest van 5 juni 2018 (C‑210/16, EU:C:2018:388, punt 38).

41      Opnieuw is het de vraag onder welke precieze voorwaarden en met welke onderhandelingspositie (zie ook voetnoot 38).

42      Oftewel in de minder omfloerste bewoordingen van Sir Humphrey Appleby (die zelf blijkbaar teruggrijpt op een ouder citaat zonder bronvermelding): „Verantwoordelijkheid zonder macht – het voorrecht van de eunuch door de eeuwen heen” (in: Yes, Prime Minister, tweede seizoen, zevende aflevering, „The National Education Service”, voor het eerst uitgezonden op 21 januari 1988).

43      Ook in de zin zoals uiteengezet in punt 73 en voetnoten 38 en 42.

44      Arrest van 5 juni 2018 (C‑210/16, EU:C:2018:388, punten 42 en 43).

45      Zie punten 87 en 88 hierboven.

46      Zie ook advies 4/2007 van de artikel 29‑werkgroep gegevensbescherming (een advieslichaam dat op grond van artikel 29 van richtlijn 95/46 is opgericht, thans vervangen door het Europees Comité voor gegevensbescherming dat uit hoofde van artikel 68 van de AVG in het leven is geroepen) over het begrip „persoonsgegevens”, 1248/07/NL WP 136, 20 juni 2007, blz. 4.

47      Ook in het licht van het enkele feit dat verwerking zelden lineair zal verlopen, dat wil zeggen dat de in artikel 2, onder b), bedoelde bewerkingen in die volgorde en door één persoon zullen plaatsvinden. Persoonsgegevens zullen vermoedelijk veeleer een cyclische levensduur hebben, heen en weer worden verzonden en hier en daar vertakkingen hebben, op allerlei plaatsen worden verzameld en vervolgens door iemand anders bekeken worden en daarna samengevoegd en bekeken worden en weer daarna wellicht opnieuw worden samengevoegd en doorgezonden naar iemand anders enz.

48      De artikel 29‑werkgroep gegevensbescherming heeft in overweging gegeven dat „van gezamenlijke verantwoordelijk[heden] sprake [is] wanneer verschillende partijen voor specifieke verwerkingen het doel, de wezenlijke onderdelen of de middelen vaststellen”. Zie advies 1/2010 over de begrippen „voor de verwerking verantwoordelijke” en „verwerker”, op 16 februari 2010 goedgekeurd door de artikel 29-werkgroep (00264/10/NL, WP 169, blz. 15).

49      In tegenstelling tot de situatie die met betrekking tot de eerste vraag is besproken in de punten 39‑42 hierboven.

50      Uitgaande van de oorspronkelijke Duitse versie van de vierde vraag vat ik de strekking van de vraag van de verwijzende rechter in die zin op dat deze beperkt is tot de identificatie van de belangen die in aanmerking moeten worden genomen en niet die, zoals de Engelse vertaling van de in het Duits geformuleerde vraag lijkt te impliceren, die doorslaggevend (in de mogelijke betekenis van meer gewicht hebbend) zijn bij die belangenafweging. De vraag lijkt dus te gaan over wat er bij de afweging in aanmerking moet worden genomen, niet wat het resultaat ervan moet zijn.

51      Richtlijn van het Europees Parlement en de Raad van 12 juli (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37).

52      Zie ook arrest van 5 mei 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279, punt 50). Overweging 10 van de e-privacyrichtlijn luidt: „In de sector elektronische communicatie is richtlijn [95/46] van toepassing, met name op alle aangelegenheden met betrekking tot de bescherming van fundamentele rechten en vrijheden die niet specifiek onder het bepaalde in deze richtlijn vallen, met inbegrip van de plichten van de verantwoordelijke en de rechten van personen. Richtlijn [95/46] is van toepassing op niet‑openbare communicatiediensten.”

53      Zie in deze context artikel 5, lid 3, van de e-privacyrichtlijn, dat bepaalt: „De lidstaten dragen er zorg voor dat het gebruik van elektronische-communicatienetwerken voor de opslag van informatie of voor het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken gebruiker voorzien wordt van duidelijke en volledige informatie onder andere over de doeleinden van de verwerking, overeenkomstig richtlijn [95/46] […].”

54      In dit verband opnieuw verwijzend naar de inleidende sectie B.1. (punten 54‑58 hierboven) en de noodzaak van feitelijke verificatie van wat precies wordt doorgezonden en of die informatie persoonsgegevens behelst.

55      Zie ook document 02/2013 van de artikel 29‑werkgroep gegevensbescherming houdende richtsnoeren voor het verkrijgen van toestemming voor cookies, 1676/13/EN WP 208, 2 oktober 2013, blz. 5 en 6, dat in overweging geeft dat „aangezien het opslaan van informatie of het verkrijgen van informatie die reeds is opgeslagen op de apparaten van de gebruikers door middel van cookies de verwerking van persoonsgegevens met zich kunnen meebrengen, zijn in dit geval de regels inzake gegevensbescherming duidelijk van toepassing”.

56      Zie in die zin arresten van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punt 71 en aldaar aangehaalde rechtspraak), en 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 25).

57      Arrest van 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 28). Zie ook arrest van 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 en C‑469/10, EU:C:2011:777, punt 38).

58      Zie mijn conclusie in de zaak Rīgas satiksme (C‑13/16, EU:C:2017:43, punten 64 en 65). Zoals ik daar in herinnering heb gebracht, zijn transparantie (arrest van 9 november 2010, Volker und Markus Schecke en Eifert, C‑92/09 en C‑93/09, EU:C:2010:662, punt 77), bescherming van eigendom, gezondheid en gezinsleven (arrest van 11 december 2014, Ryneš, C‑212/13, EU:C:2014:2428, punt 34) als zodanig erkend door het Hof. Zie ook arresten van 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punt 53), en 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 29).

59      Zie punten 104 en 105 van deze conclusie.

60      Zie ook advies 06/2014 van de in artikel 29 bedoelde werkgroep gegevensbescherming over het begrip „gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van richtlijn 95/46 (844/14/NL WP 217), blz. 25.

61      Zoals ik elders in overweging heb gegeven, moeten de respectieve „tegengestelde gerechtvaardigde belangen niet alleen worden vastgesteld, maar [...] ook prevaleren boven de rechten en vrijheden van de betrokkene” die voortvloeien uit de artikelen 7 en 8 van het Handvest. Zie mijn conclusie in de zaak Rīgas satiksme (C‑13/16, EU:C:2017:43, punten 56 en 66‑69 en aldaar aangehaalde rechtspraak).

62      Arrest van 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 31 en aldaar aangehaalde rechtspraak).

63      Er moet dus sprake zijn van een passende verhouding tussen de doelen (het beweerde gerechtvaardigde belang) en de gekozen middelen (de verwerking van persoonsgegevens). Zie in die zin onder andere arrest van 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 30 en aldaar aangehaalde rechtspraak).

64      Punten 76‑82 van deze conclusie.

65      Punten 84‑88 hierboven.

66      Wat uiteraard niet belet dat andere eventuele (en volgende) voor de verwerking verantwoordelijken die verplichting hebben wat betreft hun respectieve gegevensverwerkingen.

67      Zie punt 132 hierboven. Zie ook document 02/2013 van de artikel 29‑werkgroep gegevensbescherming houdende richtsnoeren voor het verkrijgen van toestemming voor cookies, 1676/13/EN WP 208, 2 oktober 2013, blz. 4. Zie ook advies 15/2011 van de artikel 29‑werkgroep gegevensbescherming over de definitie van „toestemming”, 1197/11/EN WP187, 13 juli 2011, blz. 9.