FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

N. JÄÄSKINEN

fremsat den 25. juni 2013 ( 1 )

Sag C-131/12

Google Spain SL

Google Inc.

mod

Agencia Española de Protección de Datos (AEPD)

Mario Costeja González

(anmodning om præjudiciel afgørelse indgivet af Audiencia Nacional (Spanien))

»World Wide Web — personoplysninger — internetsøgemaskine — databeskyttelsesdirektivet 95/46 — fortolkning af artikel 2, litra b) og d), artikel 4, stk. 1, litra a) og c), artikel 12, litra b), og artikel 14, litra a) — territorialt anvendelsesområde — begrebet virksomhed eller organ inden for en medlemsstats område — materielt anvendelsesområde — begrebet behandling af personoplysninger — begrebet registeransvarlig for behandling af personoplysninger — retten til sletning og blokering af oplysninger — »retten til at blive glemt« — Den Europæiske Unions charter om grundlæggende rettigheder — artikel 7, 8, 11 og 16«

I – Indledning

1.

I 1890 beklagede Samuel D. Warren og Louis D. Brandeis i den skelsættende artikel »The Right to Privacy« ( 2 ), i Harvard Law Review, at »[n]ye opfindelser og forretningsmetoder« såsom »[ø]jeblikkelige fotografier og avisvirksomhed har invaderet privat- og familielivets ukrænkelige områder«. I den samme artikel talte de om »det næste skridt, der skal tages, for at beskytte individet«.

2.

Nu om dage har beskyttelsen af borgeres personoplysninger og privatliv fået større og større betydning. Alt, hvad der indeholder personoplysninger, hvad enten det er i form af tekst eller audiovisuelt materiale, kan umiddelbart og permanent gøres tilgængeligt i digitalt format på verdensplan. Internettet har revolutioneret vores liv ved at fjerne tekniske og institutionelle hindringer for spredningen og modtagelsen af information og har skabt en platform for diverse tjenester i informationssamfundet. Disse tjenester er til gavn for forbrugere, virksomheder og samfundet i bred forstand. Herved er der opstået nogle helt nye omstændigheder, hvor der skal findes en balance mellem forskellige grundlæggende rettigheder såsom ytringsfriheden, informationsfriheden og friheden til at oprette og drive egen virksomhed på den ene side og beskyttelsen af personoplysninger og menneskers privatliv på den anden.

3.

I relation til internettet bør der sondres mellem tre forskellige situationer, som vedrører personoplysninger. Den første er offentliggørelsen af personoplysninger på en webside på internettet ( 3 ) (»kildewebsiden«) ( 4 ). Den anden situation er, hvor en internetsøgemaskine giver søgeresultater, der leder internetbrugeren hen til kildewebsiden. Den tredje, mere usynlige, handling opstår, når en internetbruger foretager en søgning ved hjælp af en søgemaskine, og nogle af brugerens personoplysninger, f.eks. den IP-adresse, som søgningen foretages fra, automatisk overføres til udbyderen af internetsøgemaskinen ( 5 ).

4.

For så vidt angår den førstnævnte situation har Domstolen allerede fastslået i Lindqvist-dommen, at direktiv 95/46/EF ( 6 ) (herefter »databeskyttelsesdirektivet« eller »direktivet«) finder anvendelse på denne situation. Den tredje situation er ikke relevant i den foreliggende sag, og der er på nationale databeskyttelsesmyndigheders initiativ iværksat administrative procedurer med henblik på at præcisere anvendelsesområdet for EU's databeskyttelsesregler for brugerne af internetsøgemaskiner ( 7 ).

5.

Forelæggelseskendelsen i denne sag vedrører den anden situation. Den er afsagt af Audiencia Nacional (Spaniens højesteret) inden for rammerne af en retssag mellem Google Spain SL og Google Inc. (herefter hver for sig eller samlet »Google«) på den ene side og Agencia Española de Protección de Datos (herefter »AEPD«) og Mario Costeja González (herefter »den registrerede«) på den anden. Sagen vedrører databeskyttelsesdirektivets anvendelse på en internetsøgemaskine, som Google driver som tjenesteudbyder. I den nationale retstvist er det ubestridt, at der i 1998 er blevet offentliggjort nogle personoplysninger vedrørende den registrerede i to trykte udgaver af en spansk avis, som begge på et senere tidspunkt blev offentliggjort på ny i den elektroniske udgave, der blev gjort tilgængelig på internettet. Den registrerede mener nu, at disse oplysninger ikke længere bør vises i de søgeresultater, som kommer frem via den internetsøgemaskine, der drives af Google, når der søges på hans fornavn og efternavne.

6.

De spørgsmål, der er forelagt Domstolen, er fordelt på tre kategorier ( 8 ). Den første gruppe af spørgsmål vedrører EU's databeskyttelsesreglers territoriale anvendelsesområde. Den anden gruppe vedrører spørgsmål med hensyn til, hvilken retsstilling en udbyder af en internetsøgemaskine ( 9 ) har på baggrund af direktivet, især hvad angår dets materielle anvendelsesområde. Endelig vedrører det tredje spørgsmål den såkaldte ret til at blive glemt og spørgsmålet om, hvorvidt registrerede kan anmode om, at nogle eller alle søgeresultater, der vedrører dem, ikke længere er tilgængelige via en søgemaskine. Ingen af disse spørgsmål, som også rejser vigtige problematikker vedrørende beskyttelsen af grundlæggende rettigheder, er tidligere behandlet af Domstolen.

7.

Dette er tilsyneladende den første sag, hvori Domstolen anmodes om at fortolke direktivet i forbindelse med internetsøgemaskiner, hvilket forekommer at være et aktuelt spørgsmål for nationale databeskyttelsesmyndigheder og medlemsstaternes retsinstanser. Den forelæggende ret har anført, at der er adskillige lignende sager, som verserer for den.

8.

Den vigtigste af de sager vedrørende databeskyttelse og internettet, som Domstolen tidligere har behandlet, var Lindqvist-sagen ( 10 ). Den sag vedrørte dog ikke internetsøgemaskiner. Selve direktivet er blevet fortolket adskillige gange. Her er især sagen Österreichischer Rundfunk m.fl. ( 11 ), sagen Satakunnan Markkinapörssi og Satamedia ( 12 ) og sagen Volker und Markus Schecke og Eifert ( 13 ) relevante. Internetsøgemaskiners rolle i forbindelse med intellektuelle ophavsrettigheder og retters kompetence er ligeledes blevet behandlet i Domstolens praksis i dommen i sagen Google France og Google, Portakabin-dommen, dommen i sagen L'Oréal m.fl., dommen i sagen Interflora og Interflora British Unit og Wintersteiger-dommen ( 14 ).

9.

Efter direktivets vedtagelse er der vedtaget en bestemmelse om beskyttelse af personoplysninger i artikel 16 TEUF og artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«). Desuden stillede Kommissionen i 2012 et forslag til en generel forordning om databeskyttelse ( 15 ), som skal træde i stedet for direktivet. Den foreliggende tvist skal imidlertid afgøres på grundlag af eksisterende lovgivning.

10.

Den foreliggende præjudicielle forelæggelse er påvirket af den omstændighed, at internettet i dets nuværende forstand som World Wide Web ikke eksisterede, da Kommissionen udarbejdede sit direktivforslag i 1990, ligesom der heller ikke var nogen søgemaskiner. Da direktivet blev vedtaget i 1995, var internettet kun lige akkurat startet og de første elementære søgemaskiner begyndt at komme frem, men der var ingen, der kunne forudse, hvor gennemgribende det ville revolutionere verden. Nu om dage kan stort set alle med en smartphone eller en computer anses for at deltage i aktiviteter på internettet, som direktivet potentielt finder anvendelse på.

II – De retlige rammer

A – Databeskyttelsesdirektivet

11.

I henhold til direktivets artikel 1 er medlemsstaterne forpligtet til at sikre beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger, i overensstemmelse med direktivets bestemmelser.

12.

Artikel 2 definerer bl.a. begreberne »personoplysninger« og »den registrerede«, »behandling af personoplysninger«, »den registeransvarlige« for behandlingen af personoplysninger og »tredjemand«.

13.

I henhold til artikel 3 skal direktivets bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt i visse situationer på ikke-elektronisk behandling af personoplysninger.

14.

I henhold til artikel 4, stk. 1, skal medlemsstaterne anvende de nationale bestemmelser, de vedtager til gennemførelse af direktivet, på behandling af personoplysninger, når den registeransvarlige er etableret på deres område, eller i tilfælde, hvor den registeransvarlige ikke er etableret i Unionen, hvis han med henblik på behandling af personoplysninger anvender midler, som befinder sig på den pågældende medlemsstats område.

15.

Direktivets artikel 12 indrømmer den registrerede en »ret til indsigt« i personoplysninger, som behandles af den registeransvarlige, og artikel 14 indrømmer den registrerede en »indsigelsesret«, dvs. en ret til at modsætte sig en behandling af personoplysninger i bestemte situationer.

16.

Ved direktivets artikel 29 oprettes en uafhængig rådgivende gruppe, som bl.a. består af medlemsstaternes databeskyttelsesmyndigheder (herefter »artikel 29-gruppen«).

B – National ret

17.

Direktivet er gennemført i spansk ret ved organisk lov nr. 15/1999 om databeskyttelse ( 16 ).

III – De faktiske omstændigheder og de præjudicielle spørgsmål

18.

I begyndelsen af 1998 offentliggjorde en spansk avis med et stort oplagstal i den trykte udgave to meddelelser vedrørende en tvangsauktion over fast ejendom i forbindelse med en beslaglæggelse affødt af gæld til den sociale sikringsordning. Den registrerede blev nævnt som ejeren. Senere blev en elektronisk udgave af avisen gjort tilgængelig online af avisudgiveren.

19.

I november 2009 kontaktede den registrerede udgiveren af avisen og gjorde gældende, at der ved en søgning på hans fornavn og efternavne i søgemaskinen Google fremkom en henvisning til de sider i avisen, hvor meddelelserne om tvangsauktionen fandtes. Han anførte, at beslaglæggelsen i forbindelse med hans gæld til den sociale sikringsordning var afsluttet og afgjort for mange år siden og således ikke havde nogen aktuel relevans. Udgiveren svarede ham, at oplysningerne om ham ikke kunne slettes, eftersom offentliggørelsen var sket efter ordre fra Arbejds- og Socialministeriet.

20.

I februar 2010 kontaktede den registrerede Google Spain og anmodede om, at der ved søgning på hans fornavn og efternavne i Googles søgemaskine ikke blev vist søgeresultater med link til avisen. Google Spain videresendte anmodningen til Google Inc., der har hjemsted i Californien, USA, idet Google Spain var af den opfattelse, at det er Google Inc., der leverer søgetjenesten på internettet.

21.

Derefter indgav den registrerede klage til AEPD med anmodning om, at avisudgiveren blev pålagt at fjerne eller ændre udgivelsen, så hans personoplysninger ikke fremgik, eller anvende det forhåndenværende værktøj i søgemaskinerne til beskyttelse af personoplysningerne. Han krævede endvidere, at Google Spain eller Google blev pålagt at fjerne eller skjule personoplysningerne, således at de ikke længere indgik i søgeresultaterne eller viste link til avisen.

22.

Ved afgørelse af 30. juli 2010 gav direktøren for AEPD den registrerede medhold i hans klage over Google Spain og Google Inc. og pålagde dem at træffe de nødvendige foranstaltninger med henblik på at fjerne oplysningerne fra deres indeks og gøre det umuligt for fremtiden at få adgang til dem. Klagen over avisudgiveren blev dog afvist, fordi offentliggørelsen af oplysningerne i pressen var påkrævet i henhold til lov. Google Inc. og Google Spain iværksatte to appelsager ved den forelæggende ret med påstand om annullation af AEPD's afgørelse.

23.

Den nationale ret har udsat sagen og forelagt Domstolen følgende præjudicielle spørgsmål:

»1)

Hvad angår den territoriale anvendelse af [direktivet] og følgelig de spanske databeskyttelsesregler:

1.1)

Kan der siges at foreligge en »virksomhed eller et organ« som omhandlet i [direktivets] artikel 4, stk. 1, litra a), […] når der foreligger en eller flere af følgende situationer:

såfremt den virksomhed, der leverer søgemaskinen, i en medlemsstat etablerer et kontor eller et datterselskab, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og som retter sine aktiviteter mod borgerne i denne stat

eller

såfremt modervirksomheden udpeger et datterselskab, der er etableret i denne medlemsstat, som sin repræsentant og registeransvarlige for to konkrete edb-registre, der har forbindelse til oplysninger om de kunder, der har indgået aftale med den nævnte virksomhed om visning af reklamer

eller

såfremt kontoret eller datterselskabet, der er etableret i en medlemsstat, videregiver de anmodninger og krav, som både de berørte personer og de kompetente databeskyttelsesmyndigheder sender til kontoret eller datterselskabet, til modervirksomheden, der er etableret uden for Den Europæiske Union, selv om dette samarbejde foregår på frivilligt grundlag?

1.2)

Skal [direktivets] artikel 4, stk. 1, litra c), […] fortolkes således, at der anvendes »midler […], som befinder sig på den pågældende medlemsstats område«

såfremt en søgemaskine gør brug af spiders eller robotter for at lokalisere og registrere oplysninger fra websites, der befinder sig på servere i denne medlemsstat

eller

såfremt der gøres brug af en medlemsstats domænenavn, og søgningerne og resultaterne organiseres afhængigt af denne medlemsstats sprog?

1.3)

Kan en midlertidig lagring af de af søgemaskinerne registrerede oplysninger fra internettet anses for at være anvendelse af midler som omhandlet i [direktivets] artikel 4, stk. 1, litra c), […]? Såfremt det sidste spørgsmål besvares bekræftende, kan tilknytningskriteriet da siges at være opfyldt, når virksomheden under henvisning til konkurrencemæssige årsager nægter at oplyse, hvor den lagrer disse registre?

1.4)

Uafhængigt af besvarelsen af ovenstående spørgsmål og især i tilfælde af, at [Domstolen] finder, at tilknytningskriterierne, der er fastsat i direktivets artikel 4, ikke foreligger

skal [direktivet] da finde anvendelse i lyset af [chartrets] artikel 8 […] i den medlemsstat, hvor konfliktens tyngdepunkt befinder sig, og hvor der er mulighed for en mere effektiv beskyttelse af EU-borgernes rettigheder?

2)

Hvad angår søgemaskinernes aktivitet som leverandør af oplysninger set i forhold til [direktivet]:

2.1)

For så vidt angår den internetaktivitet, der foretages af virksomheden »Google«'s søgemaskine som leverandør af oplysninger, og som består i at lokalisere oplysninger, der er offentliggjort eller lagt på nettet af tredjemænd, registrere disse automatisk, lagre dem midlertidigt og sluttelig gøre dem tilgængelige for internetbrugerne i en vis prioriteret orden, når oplysningerne indeholder persondata om tredjemænd […]

skal da en aktivitet som den beskrevne[, når oplysningerne indeholder persondata om tredjemænd,] fortolkes som værende omfattet af begrebet »behandling af personoplysninger« som omhandlet i [direktivets] artikel 2, litra b), […]?

2.2)

Såfremt det foregående spørgsmål besvares bekræftende og i forhold til en aktivitet som beskrevet ovenfor: Skal [direktivets] artikel 2, litra d), […] fortolkes således, at den virksomhed, der forvalter søgemaskinen »Google«, er »registeransvarlig« for de personoplysninger, der er indeholdt i de websites, den har registreret?

2.3)

Såfremt det foranstående spørgsmål besvares bekræftende: Kan den nationale databeskyttelsesmyndighed (i det foreliggende tilfælde [AEPD]), der skal beskytte de rettigheder, der er omhandlet i [direktivets] artikel 12, litra b), og artikel 14, litra a), […], rette direkte henvendelse til virksomheden »Google«'s søgemaskine for at kræve, at denne virksomhed fjerner registrene over oplysningerne, uden først eller samtidigt at rette henvendelse til indehaveren af den website, der indeholder oplysninger, der er offentliggjort af tredjemand?

2.4)

Såfremt dette spørgsmål besvares bekræftende, bortfalder forpligtelsen for disse søgemaskiner til at overholde nævnte rettigheder da, når de oplysninger, der omfatter personoplysninger, er offentliggjort lovligt af tredjemand og fortsat fremgår af den oprindelige website?

3)

For så vidt angår rækkevidden af retten til sletning og retten til indsigelse i forhold til den såkaldte ret til at blive glemt forelægges følgende spørgsmål:

3.1)

Skal retten til sletning og blokering af oplysninger, der er reguleret i [direktivets] artikel 12, litra b), […], og retten til indsigelse, der er reguleret i [direktivets] artikel 14, litra a), fortolkes således, at de omfatter den berørte parts ret til at rette henvendelse til søgemaskinerne for at forhindre registrering af den pågældendes personoplysninger, der er offentliggjort på tredjemands website, under påberåbelse af, at den pågældende ikke ønsker, at oplysningerne kommer til internetbrugernes kendskab, fordi den pågældende finder, at oplysningerne kan komme ham til skade, eller ønsker, at de slettes, selv om der er tale om oplysninger, der er offentliggjort lovligt af tredjemand?«

24.

Der er indgivet skriftlige indlæg af Google, den spanske, den græske, den italienske, den østrigske og den polske regering samt af Europa-Kommissionen. Med undtagelse af den polske regering deltog alle disse parter samt repræsentanten for den registrerede i retsmødet den 26. februar 2013, hvor de afgav mundtlige indlæg.

IV – Indledende bemærkninger

A – Indledende betragtninger

25.

Det centrale spørgsmål i denne sag er, hvordan udbydere af internetsøgemaskiners rolle skal fortolkes i lyset af de eksisterende EU-retsakter om databeskyttelse, navnlig direktivet. Det vil derfor være nyttigt at indlede med nogle bemærkninger om udviklingen inden for databeskyttelse, internettet og internetsøgemaskiner.

26.

Da der blev forhandlet om direktivet, og da det blev vedtaget i 1995 ( 17 ), gav man det et vidt materielt anvendelsesområde. Det gjorde man for at holde trit med den teknologiske udvikling inden for registeransvarliges databehandling, som var mere decentraliseret end registre baseret på traditionelle centraliserede databanker, og som desuden omfattede nye typer personoplysninger som f.eks. billeder og behandlingsteknikker som f.eks. fri tekstsøgning ( 18 ).

27.

I 1995 var generel adgang til internettet et nyt fænomen. I dag, næsten to årtier senere, er omfanget af digitaliseret indhold, som er tilgængeligt online, eksploderet. Det er nemt at få adgang til det, læse det og videregive det gennem sociale medier samt at downloade det til diverse former for enheder som f.eks. tablets, smartphones og bærbare computere. Det står dog klart, at fællesskabslovgiveren ikke forudså, at internettet ville udvikle sig til et omfattende, globalt informationslager, som alle har adgang til og kan søge i.

28.

Kernen i denne præjudicielle forelæggelse er det forhold, at internettet øger og fremmer spredningen af oplysninger på en måde, der aldrig før er set ( 19 ). Ligesom opfindelsen af trykketeknikken i det 15. århundrede gjorde det muligt at gengive materiale i et ubegrænset antal kopier, hvor man tidligere var nødt til at lave kopier i hånden, giver alt det materiale, der uploades til internettet, tilsvarende massiv adgang til oplysninger, som tidligere måske kun kunne findes efter tidskrævende søgning og på begrænsede fysiske steder. Universel adgang til oplysninger på internettet er mulig overalt bortset fra i lande, hvor myndighederne har begrænset internetadgangen med diverse tekniske midler (såsom firewalls), eller hvor adgangen til telekommunikation er kontrolleret eller sparsom.

29.

På grund af denne udvikling har direktivet fået et overraskende vidt potentielt anvendelsesområde i den moderne verden. Som eksempel kan vi tage en professor i EU-ret, der har downloadet Domstolens væsentligste praksis fra dens website til sin bærbare computer. I direktivets forstand kan professoren anses for at være »registeransvarlig« for personoplysninger, der stammer fra tredjemand. Professoren har filer, der indeholder personoplysninger, som behandles elektronisk med henblik på søgning og læsning i forbindelse med aktiviteter, som ikke er rent personlige eller familiemæssige. Rent faktisk foretager alle, som i dag læser en avis på en tablet eller følger sociale medier på en smartphone, tilsyneladende elektronisk behandling af personoplysninger og kan potentielt være omfattet af direktivets anvendelsesområde, i det omfang behandlingen har udelukkende ikke-private formål ( 20 ). Endvidere indebærer Domstolens vide fortolkning af den grundlæggende ret til privatlivets fred i en databeskyttelsessammenhæng tilsyneladende, at enhver form for menneskelig kommunikation ved hjælp af elektroniske midler kan betragtes med henvisning til denne rettighed.

30.

Under de nuværende forhold vil de brede definitioner af personoplysninger, behandling af personoplysninger og registeransvarlig på grund af den teknologiske udvikling sandsynligvis dække en hidtil uset bred vifte af nye faktiske situationer. Mange, hvis ikke de fleste, websites og filer, som kan tilgås på disse websites, indeholder nemlig personoplysninger som f.eks. navne på nulevende fysiske personer. Dette forpligter Domstolen til at anvende et rimelighedsprincip, med andre ord proportionalitetsprincippet, ved fortolkningen af direktivets anvendelsesområde for at undgå urimelige og for omfattende retlige konsekvenser. Domstolen anvendte allerede denne moderate linje i Lindqvist-dommen, hvor den afviste en fortolkning, som kunne have medført et urimeligt vidt anvendelsesområde for direktivets artikel 25 vedrørende videregivelse af personoplysninger til tredjelande via internettet ( 21 ).

31.

I den foreliggende sag vil det derfor være nødvendigt at finde en korrekt, rimelig balance, der sikrer det rette forhold mellem beskyttelsen af personoplysninger, en logisk fortolkning af informationssamfundets formål og erhvervsdrivendes og generelt internetbrugeres legitime interesser. Selv om direktivet ikke er blevet ændret siden dets vedtagelse i 1995, har det ikke kunnet undgås, at det skulle anvendes på nye situationer. Det er et sammensat område, hvor jura og ny teknologi mødes. De udtalelser, som Artikel 29-gruppen vedtager, bidrager med meget nyttige analyser i denne henseende ( 22 ).

B – Internetsøgemaskiner og databeskyttelse

32.

I en analyse af en internetsøgemaskines retsstilling i forhold til databeskyttelsesreglerne bør følgende elementer bemærkes ( 23 ).

33.

For det første skaber en internetsøgemaskine i sin grundlæggende form principielt ikke noget nyt selvstændigt indhold. I sin enkleste form angiver den kun, hvor allerede eksisterende indhold, som tredjemand har gjort tilgængeligt på internettet, kan findes, ved at give et hyperlink til den website, som indeholder søgetermerne.

34.

For det andet er de søgeresultater, der vises af en internetsøgemaskine, ikke baseret på en umiddelbar søgning i hele World Wide Web, men er hentet fra indhold, som internetsøgemaskinen tidligere har behandlet. Det betyder, at internetsøgemaskinen har hentet indhold fra eksisterende websites og kopieret, analyseret og registreret dette indhold på sine egne enheder. Dette hentede indhold omfatter personoplysninger, hvis kildewebsiderne gør.

35.

For det tredje viser søgemaskiner ofte noget af indholdet ud over linket til den oprindelige website for at gøre resultaterne mere brugervenlige. Det kan være uddrag af tekst, audiovisuelt indhold eller endog billeder af kildewebsiderne. Disse forhåndsoplysninger kan i det mindste delvis hentes fra søgemaskineudbyderens udstyr og ikke direkte fra det originale website. Dette betyder, at tjenesteudbyderen rent faktisk besidder de oplysninger, som vises.

C – Regulering af internetsøgemaskiner

36.

Den Europæiske Union har tillagt udviklingen af informationssamfundet stor betydning. I denne forbindelse er den rolle, som informationssamfundets formidlere spiller, også blevet taget op. Disse formidlere fungerer som brobyggere mellem indholdsleverandører og internetbrugere. Formidlernes særlige rolle er f.eks. anerkendt i direktivet (47. betragtning), i direktiv 2000/31 om elektronisk handel ( 24 ) (artikel 21, stk. 2, og 18. betragtning) samt i Artikel 29-gruppens udtalelse 1/2008. Internetudbyderne har været anset for at spille en afgørende rolle for informationssamfundet, og for at fremme deres legitime aktiviteter har deres ansvar for det tredjepartsindhold, som de overfører og/eller lagrer, været begrænset.

37.

Søgemaskineudbydernes rolle og retsstilling er ikke udtrykkeligt reguleret i EU-retten. Som »værktøjer til lokalisering af information« er de »tjenester, der ydes på afstand med elektroniske midler og på individuel anmodning fra en modtager af tjenesterne«, og de udgør en informationssamfundstjeneste, der består i at stille værktøjer til rådighed, hvormed man kan søge, få adgang til og hente oplysninger. Imidlertid er søgemaskineudbydere som Google, som ikke leverer deres ydelse mod et vederlag fra internetbrugerne, i denne egenskab tilsyneladende ikke omfattet af anvendelsesområdet for direktiv 2000/31 om elektronisk handel ( 25 ).

38.

Til trods herfor er det nødvendigt at analysere deres stilling i forhold til de retsprincipper, der ligger til grund for begrænsningerne af internetudbydernes ansvar. Det er med andre ord nødvendigt at undersøge, hvorvidt den virksomhed, som udføres af en udbyder af en internetsøgemaskine, med hensyn til principper om ansvar er analog med de tjenester, som er anført i direktiv 2000/31 om elektronisk handel (overførsel, ren caching, hosting), eller den forsendelsestjeneste, som er omhandlet i 47. betragtning til direktivet, og hvorvidt søgemaskineudbyderen selv har egenskab af leverandør af indhold.

D – Udgivere af kildewebsiders rolle og ansvar

39.

I Lindqvist-dommen fastslog Domstolen, at »en operation, der består i at lægge personoplysninger ud på en internetside, skal anses for [behandling af personoplysninger]« ( 26 ). Endvidere »[indebærer] en operation, hvorved oplysninger lægges ud på en internetside, ifølge de for nærværende anvendte tekniske edb-procedurer […], at den pågældende side lægges ind på en server, samt udførelse af de operationer, der er nødvendige for at gøre denne side tilgængelig for personer, som har koblet sig på internettet. Disse operationer udføres i det mindste delvist ved hjælp af edb«. Domstolen konkluderede, at »en operation, der består i på en internetside at henvise til forskellige personer og i at identificere dem ved navn eller på anden måde«, udgør »en behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb i den forstand, hvori udtrykket er anvendt i [direktivets] artikel 3, stk. 1«.

40.

Det følger af ovenstående konklusioner i Lindqvist-dommen, at udgiveren af kildewebsider, der indeholder personoplysninger, er registeransvarlig for behandlingen af personoplysninger i direktivets forstand. Som sådan er udgiveren bundet af alle de forpligtelser, som direktivet pålægger registeransvarlige.

41.

Kildewebsider findes på host-servere, der er koblet til internettet. Udgiveren af en kildewebside kan gøre brug af »exclusion codes« ( 27 ), med henblik på søgemaskinernes aktiviteter. Exclusion codes opfordrer søgemaskiner til at undlade at indeksere eller lagre en kildewebside eller vise den i søgeresultaterne ( 28 ). At udgiveren har anvendt disse koder, tilkendegiver, at der er bestemte oplysninger på kildewebsiden, som han ikke ønsker, at søgemaskinerne skal hente og videregive.

42.

Udgiveren har derfor en teknisk mulighed for at indsætte exclusion codes i sine websider, der begrænser registrering og arkivering af siden, og herved øge beskyttelsen af personoplysninger. I yderste fald kan udgiveren fjerne siden fra host-serveren, offentliggøre den igen uden de personoplysninger, som der er gjort indsigelse mod offentliggørelsen af, og kræve, at siden opdateres i søgemaskinernes cacher.

43.

Den person, som offentliggør indholdet på kildewebsiden, er i egenskab af registeransvarlig derfor ansvarlig for de personoplysninger, der er offentliggjort på siden, og kan opfylde sine forpligtelser i denne henseende på forskellige måder. Denne tildeling af det retlige ansvar er i tråd med de faste principper om udgiveransvar i forbindelse med traditionelle medier ( 29 ).

44.

Dette ansvar, som udgiveren har, garanterer imidlertid ikke, at databeskyttelsesproblemerne kan løses endeligt gennem de registeransvarlige for kildewebsiderne alene. Som den forelæggende ret har påpeget, er det muligt, at de samme personoplysninger er blevet offentliggjort på utallige sider, hvilket vil gøre det vanskeligt eller endog umuligt at opspore og kontakte alle relevante udgivere. Desuden kan udgiveren muligvis have hjemsted i et tredjeland, og de pågældende websider ligger måske uden for anvendelsesområdet for EU's databeskyttelsesregler. Der kan også være retlige hindringer, som det er tilfældet i den foreliggende sag, hvor det er anset for lovligt at bibeholde den oprindelige udgivelse på internettet.

45.

Den universelle tilgængelighed af oplysninger på internettet beror nemlig på søgemaskiner, da det uden dem ville være for kompliceret og vanskeligt at finde relevante oplysninger, og det ville give begrænsede resultater. Som den forelæggende ret korrekt bemærker, ville det tidligere have krævet et besøg i avisens arkiver, hvis man ville finde oplysninger om meddelelserne om tvangsauktion af den registreredes ejendom. Nu kan disse oplysninger fås ved at skrive hans navn i en søgemaskine, og dette gør videregivelsen af oplysningerne betydelig mere effektiv og samtidig mere bekymrende for den registrerede. Med internetsøgemaskiner kan man tegne et temmelig detaljeret billede af personer med en søgning på og indsamling af deres personoplysninger. Det var netop frygten forbundet med en sådan portrættering af personer, der gav inspiration til udviklingen af moderne databeskyttelseslovgivning ( 30 ).

46.

Af disse grunde er det vigtigt at undersøge søgemaskineudbydernes ansvar hvad angår personoplysninger, der er offentliggjort på tredjemands kildewebsider, som er tilgængelige via deres søgemaskiner. Domstolen står med andre ord her over for spørgsmålet vedrørende denne kategori af udbydere af informationssamfundstjenesters »sekundære ansvar«, svarende til det spørgsmål, den har behandlet i sin praksis om varemærker og elektroniske markedspladser ( 31 ).

E – Søgemaskineudbyderens virksomhed

47.

En søgemaskineudbyders virksomhed kan være mangeartet. Arten og vurderingen af disse forskellige typer virksomhed kan være anderledes set ud fra en databeskyttelsessynsvinkel.

48.

En udbyder af en internetsøgemaskine kan automatisk få personoplysninger vedrørende dens brugere ( 32 ), dvs. personer, som skriver søgetermer i søgemaskinen. Disse automatisk overførte oplysninger kan omfatte brugernes IP-adresse, deres præferencer (sprog osv.) og naturligvis selve søgetermerne, som i tilfælde af en såkaldt forfængelighedssøgning (hvor brugeren søger på sit eget navn) nemt kan afsløre brugerens identitet. Endvidere havner personer, der har brugerkonti og således registreret sig selv, deres personoplysninger som f.eks. navn, e-mailadresse og telefonnummer, næsten altid hos søgemaskineudbyderen.

49.

Søgemaskineudbyderens indtægt kommer ikke fra de brugere, som skriver søgetermerne i søgemaskinen, men fra annoncører, der køber søgetermer som søgeord (»keywords«), således at deres annonce vises samtidig med de søgeresultater, der kommer frem ved brug af det pågældende søgeord ( 33 ). Personoplysninger vedrørende kunder, der annoncerer, kan naturligvis komme i tjenesteudbyderens besiddelse.

50.

Den foreliggende præjudicielle forelæggelse vedrører imidlertid Google alene i egenskab af udbyder af en søgemaskine i forhold til oplysninger, herunder personoplysninger, der er offentliggjort på internettet på tredjemands kildewebsider og behandles og registreres af Googles søgemaskine. Brugerne og annoncørerne er uden tvivl omfattet af direktivet hvad angår deres forhold til Google, og deres problemer påvirker således ikke analysen af den anden gruppe af præjudicielle spørgsmål. Disse kundegrupper kan dog være relevante i forbindelse med problematikkerne med hensyn til jurisdiktion i den første gruppe præjudicielle spørgsmål.

V – Den første gruppe spørgsmål vedrørende direktivets territoriale anvendelsesområde

A – Indledning

51.

Den første gruppe præjudicielle spørgsmål vedrører fortolkningen af direktivets artikel 4 hvad angår de kriterier, der bestemmer det territoriale anvendelsesområde for den nationale gennemførelseslovgivning.

52.

Den forelæggende ret har opdelt sine præjudicielle spørgsmål vedrørende det territoriale anvendelsesområde for den spanske databeskyttelseslovgivning i fire delspørgsmål. Det første delspørgsmål vedrører begrebet »virksomhed eller organ« som omhandlet i direktivets artikel 4, stk. 1, litra a), og det andet vedrører de omstændigheder, hvor der er tale om »[anvendelse af] midler […] som befinder sig på den pågældende medlemsstats område« som omhandlet i artikel 4, stk. 1, litra c). Med det tredje delspørgsmål ønskes oplyst, hvorvidt en midlertidig lagring af de af søgemaskinerne registrerede oplysninger kan anses for at være anvendelse af midler, og i bekræftende fald hvorvidt dette tilknytningskriterium kan siges at være opfyldt, når virksomheden nægter at oplyse, hvor den lagrer disse registre. Med det fjerde delspørgsmål ønskes oplyst, hvorvidt lovgivningen til gennemførelse af direktivet skal finde anvendelse, i lyset af chartrets artikel 8, i den medlemsstat, hvor konfliktens tyngdepunkt befinder sig, og hvor der er mulighed for en mere effektiv beskyttelse af EU-borgernes rettigheder.

53.

Jeg vil først behandle det sidste delspørgsmål, som den forelæggende ret har stillet »uafhængigt af besvarelsen af ovenstående spørgsmål og især i tilfælde af, at Domstolen finder, at tilknytningskriterierne, der er fastsat i direktivets artikel 4, stk. 1, ikke foreligger«.

B – Det geografiske tyngdepunkt for tvisten er i sig selv ikke tilstrækkeligt til, at direktivet finder anvendelse

54.

I henhold til chartrets artikel 51, stk. 2, udvider chartret ikke anvendelsesområdet for EU-retten ud over Unionens kompetencer, og det skaber ingen nye kompetencer eller nye opgaver for Unionen og ændrer ikke de kompetencer og opgaver, der er fastlagt i traktaterne ( 34 ). Dette princip gælder også vedrørende chartrets artikel 8 om beskyttelse af personoplysninger. Fortolkningen af direktivet i overensstemmelse med chartret kan derfor ikke tilføje nye elementer til dem, der er fastlagt i direktivets artikel 4, stk. 1, som kan medføre territorial anvendelighed af den nationale lovgivning til gennemførelse af direktivet. Chartrets artikel 8 skal naturligvis tages i betragtning ved fortolkningen af de begreber, der er anvendt i direktivets artikel 4, stk. 1, men der kan ikke med henvisning til denne grundlæggende ret tilføjes et helt nyt kriterium til de tilknytningspunkter, som er defineret af EU-lovgiveren ( 35 ).

55.

Artikel 29-gruppen har korrekt understreget, at direktivets og den nationale gennemførelseslovgivnings territoriale anvendelsesområde afhænger enten af den registeransvarliges hjemsted eller af stedet, hvor de midler, som bruges, befinder sig, når den registeransvarlige er etableret uden for EØS. Registreredes nationalitet eller sædvanlige opholdssted er ikke afgørende, og det er personoplysningernes fysiske placering heller ikke ( 36 ).

56.

Artikel 29-gruppen har foreslået, at der i fremtidig lovgivning tages hensyn til relevant målretning mod fysiske personer i forbindelse med registeransvarlige, der er etableret uden for EU ( 37 ). Ifølge Kommissionens forslag til en generel forordning om databeskyttelse (2012) ( 38 ) ville udbud af varer eller tjenester til registrerede i Den Europæiske Union være en faktor, som medførte, at EU's databeskyttelsesregler fandt anvendelse på registeransvarlige i tredjelande. Denne tilgang, hvor EU-lovgivningens territoriale anvendelighed knyttes til de borgere, som aktiviteten er målrettet mod, er i overensstemmelse med Domstolens praksis om anvendelsen af direktiv 2000/31 om elektronisk handel ( 39 ), forordning nr. 44/2001 ( 40 ) og direktiv 2001/29 ( 41 ) på grænseoverskridende situationer.

57.

Derimod er kriteriet om en målgruppe af borgere, i denne sag spanske brugere af Googles søgemaskine, over for hvilke den registreredes omdømme kan have lidt skade som følge af de anfægtede meddelelser, tilsyneladende ikke en faktor, der udløser direktivets og den nationale gennemførelseslovgivnings territoriale anvendelighed.

58.

Tvistens tyngdepunkt i Spanien kan derfor ikke tilføjes kriterierne i direktivets artikel 4, stk. 1, som efter min mening fuldt ud harmoniserer det territoriale anvendelsesområde for medlemsstaternes databeskyttelsesregler. Dette gælder uanset, hvorvidt dette tyngdepunkt er den pågældende registreredes nationalitet eller hjemsted, hvor de anfægtede personoplysninger på avisens website befinder sig, eller det forhold, at Googles spanske website er særlig målrettet mod spanske borgere ( 42 ).

59.

Af disse grunde foreslår jeg, at Domstolen besvarer det fjerde delspørgsmål benægtende, såfremt den anser det for nødvendigt at besvare dette.

C – Anvendelsen af kriteriet om »etablering i EU« på en søgemaskineudbyder i et tredjeland

60.

I henhold til direktivets artikel 4, stk. 1, er den primære faktor, som medfører territorial anvendelighed af den nationale databeskyttelseslovgivning, at behandlingen af personoplysninger foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret. Når den registeransvarlige ikke er etableret på EU's område, men anvender midler ( 43 ), som er placeret på medlemsstatens område, til behandling af personoplysninger, gælder denne medlemsstats lovgivning ligeledes, medmindre disse midler kun benyttes med henblik på transit gennem EU's område.

61.

Som nævnt ovenfor blev direktivet og dets artikel 4 vedtaget, før der kom et omfattende udbud af onlinetjenester på internettet. Desuden er dets ordlyd i denne henseende inkonsekvent og ufuldstændig ( 44 ). Det er ikke så underligt, at databeskyttelseseksperter har haft store vanskeligheder med at fortolke det i forhold til internettet. De faktiske omstændigheder i den foreliggende sag illustrerer disse problemer.

62.

Google Inc. er et californisk firma med datterselskaber i flere EU-medlemsstater. Dets europæiske virksomhed koordineres i en vis udstrækning af dets irske datterselskab. Det har på nuværende tidspunkt datacentre i hvert fald i Belgien og Finland. Oplysningerne om den nøjagtige geografiske placering af funktionerne i forbindelse med dets søgemaskiner, er ikke offentliggjort. Ifølge Google foregår der ikke nogen behandling af personoplysninger i Spanien i tilknytning til dens søgemaskine. Google Spain fungerer som Googles forretningsmæssige repræsentant for virksomhedens reklamefunktioner. I denne egenskab har Google Spain ansvaret for behandlingen af personoplysninger vedrørende de spanske annoncører. Google afviser, at selskabets søgemaskine udfører nogen aktiviteter på kildewebsidernes host-servere, og at den ved brug af cookies indsamler oplysninger om ikke-registrerede brugere af søgemaskinen.

63.

Ordlyden af direktivets artikel 4, stk. 1, er ikke til nogen særlig hjælp i denne faktuelle sammenhæng. Google har flere etableringssteder på EU's område. Ifølge en bogstavelig fortolkning ville dette udelukke, at betingelsen vedrørende midler i direktivets artikel 4, stk. 1, litra c), finder anvendelse. På den anden side står det ikke klart, i hvilket omfang og hvor behandlingen af personoplysninger om registrerede, der er bosiddende i EU, finder sted i forbindelse med virksomhedens EU-datterselskaber.

64.

Jeg mener, at Domstolen ved undersøgelsen af spørgsmålet om territorial anvendelighed bør tage udgangspunkt i søgemaskineudbyderes forretningsmodel. Som nævnt er den normalt baseret på søgeordsreklame, som er indtægtskilden og som sådan det økonomiske grundlag for at stille et gratis værktøj til informationslokalisering i form af en søgemaskine til rådighed. Den enhed, som varetager søgeordsreklamerne (i Domstolens praksis kaldet »udbyderen af en søge- og annonceringsydelse« ( 45 )), er knyttet til søgemaskinen. Denne enhed skal være til stede på de nationale reklamemarkeder. Derfor har Google oprettet datterselskaber i mange medlemsstater, som tydeligvis udgør etableringssteder som omhandlet i direktivets artikel 4, stk. 1, litra a). Google har også oprettet nationale webdomæner som f.eks. google.es og google.fi. Søgemaskinen tager højde for denne nationale diversificering på forskellige måder hvad angår visningen af søgeresultaterne, fordi søgeordsreklameringens normale finansieringsmodel følger princippet om betaling pr. klik (»pay-per-click«) ( 46 ).

65.

Jeg vil derfor tilslutte mig Artikel 29-gruppens konklusion om, at der skal tages hensyn til søgemaskineudbyderens forretningsmodel i den forstand, at dennes virksomhed eller organ spiller en relevant rolle i behandlingen af personoplysninger, hvis den er knyttet til en tjeneste, som anvendes til at sælge annoncer, der er målrettet mod indbyggerne i den pågældende medlemsstat ( 47 ).

66.

Desuden mener jeg, at selv om direktivets artikel 4 i de materielle bestemmelser anvender begrebet »den registeransvarlige« i samlet forstand, skal en erhvervsdrivende i forbindelse med afgørelsen af det præjudicielle spørgsmål om territorial anvendelighed anses for en samlet enhed og således ikke, på dette punkt af analysen, splittes op i de enkelte aktiviteter vedrørende behandlingen af personoplysninger eller forskellige grupper af registrerede, som aktiviteterne vedrører.

67.

Det kan altså konkluderes, at behandlingen af personoplysninger finder sted inden for rammerne af den registeransvarliges virksomhed eller organ, hvis denne virksomhed/dette organ fungerer som et forbindelsesled for søge- og annonceringsydelsen til den pågældende medlemsstats reklamemarked, selv om den tekniske databehandlingsproces foregår i en anden medlemsstat eller i tredjelande.

68.

Jeg foreslår derfor, at Domstolen besvarer den første gruppe af præjudicielle spørgsmål således, at behandlingen af personoplysninger foretages som led i den registeransvarliges »virksomheds eller organs« aktiviteter som omhandlet i direktivets artikel 4, stk. 1, litra a), når den virksomhed, som leverer søgemaskinen, i en medlemsstat etablerer et kontor eller et datterselskab, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og som retter sine aktiviteter mod borgerne i denne stat.

VI – Den anden gruppe spørgsmål vedrørende direktivets materielle anvendelsesområde

69.

Den anden gruppe spørgsmål vedrører den retlige stilling, som en søgemaskineudbyder, der tilbyder adgang til en internetsøgemaskine, har i lyset af direktivets bestemmelser. Den nationale ret har formuleret spørgsmålene således, at de vedrører begreberne »behandling« af personoplysninger (spørgsmål 2.1) og »registeransvarlig« (spørgsmål 2.2), den nationale databeskyttelsesmyndigheds beføjelser til at give direkte ordrer til søgemaskineudbyderen (spørgsmål 2.3), og hvorvidt udbyderen af internetsøgemaskinen eventuelt er fritaget for at beskytte personoplysninger, som tredjemand har offentliggjort lovligt på internettet (spørgsmål 2.4). De to sidste delspørgsmål er kun relevante, hvis søgemaskineudbyderen kan anses for at behandle personoplysninger på tredjemands kildewebsider og for at være den registeransvarlige herfor.

A – Internetsøgemaskiners behandling af personoplysninger

70.

Det første delspørgsmål i denne gruppe vedrører spørgsmålet, hvorvidt begreberne »personoplysninger« og »behandling« heraf gælder for en udbyder af en internetsøgemaskine som f.eks. Google, under forudsætning af, at der ikke er tale om brugeres eller annoncørers personoplysninger, men personoplysninger, som er offentliggjort på tredjemands websider, og som behandles af en internetsøgemaskine, der drives af tjenesteudbyderen. Ifølge den nationale rets beskrivelse består denne behandling i at lokalisere oplysninger, som tredjemand har offentliggjort eller lagt ud på internettet, automatisk registrere dem, lagre dem midlertidigt og endelig gøre dem tilgængelige for internetbrugere i en bestemt rækkefølge efter præference.

71.

Jeg tror ikke, at der kan være megen tvivl om, at dette delspørgsmål skal besvares bekræftende. Begrebet personoplysninger gives en bred definition i direktivet, og denne brede definition er ligeledes blevet anvendt af Artikel 29-gruppen og er blevet bekræftet af Domstolen ( 48 ).

72.

Med hensyn til »behandling« kan kildewebsider på internettet indeholde og indeholder ofte navne, billeder, adresser, telefonnumre, beskrivelser og andre elementer, som kan bruges til at identificere en fysisk person. Denne kendsgerning ændres ikke af, at oplysningernes egenskab af personoplysninger vil forblive »ukendt« for udbyderen af internetsøgemaskinen, hvis søgemaskine fungerer uden nogen menneskelig interaktion med de oplysninger, som indsamles, registreres og vises i søgninger ( 49 ). Den ændres heller ikke af, at det for udbyderen af internetsøgemaskinen på sin vis er tilfældigt, at der findes personoplysninger på kildewebsiderne, da der for udbyderen, eller nærmere bestemt for søgemaskinens spidere og analyse- og registreringsfunktioner, som er rettet mod alle tilgængelige websider på internettet, måske ikke er nogen teknisk eller operationel forskel mellem en kildewebside, der indeholder personoplysninger, og en side, som ikke indeholder sådanne oplysninger ( 50 ). Jeg mener imidlertid, at disse omstændigheder bør have indflydelse på fortolkningen af begrebet »registeransvarlig«.

73.

Google-søgemaskinens spiderfunktion, der hedder »googlebot«, kravler konstant og systematisk rundt på internettet, hvor den går fra den ene kildewebside til den næste ved brug af de hyperlinks, der er mellem siderne, og anmoder de sider, den besøger, om at sende den en kopi af siden ( 51 ). Kopierne af kildewebsiderne analyseres af Googles indekseringsfunktion. Tegnstrenge (søgeord), der findes på siderne, registreres i søgemaskinens indeks ( 52 ). Desuden vurderer Googles indviklede søgealgoritme søgeresultaternes relevans. Kombinationen af disse søgeord og URL-adresserne, hvor de kan findes, udgør søgemaskinens indeks. De søgninger, som iværksættes af brugerne, udføres i indekset. Med henblik på indekseringen og visningen af søgeresultaterne registreres kopien af siderne i søgemaskinens cache ( 53 ).

74.

En kopi af den kildewebside, som søgningen vedrører, er lagret i cache og kan vises, når brugeren har foretaget en søgning. Brugeren kan imidlertid komme ind på den oprindelige side, hvis vedkommende eksempelvis vil se billeder på kildewebsiden. Cachen opdateres jævnligt, men der kan være situationer, hvor den side, der vises af søgemaskinen, ikke svarer til kildewebsiderne på host-serveren, fordi der er foretaget ændringer, eller siden er blevet slettet ( 54 ).

75.

Det siger sig selv, at de handlinger, der er beskrevet ovenfor, må anses for behandling af personoplysninger på de kildewebsider, som kopieres, indekseres, lagres i cache og vises af søgemaskinen. De indebærer nærmere bestemt indsamling, registrering, systematisering og lagring af disse personoplysninger, og de kan indebære brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse og samkøring af personoplysninger som omhandlet i direktivets artikel 2, litra b).

B – Begrebet »registeransvarlig«

76.

I henhold til direktivets artikel 2, litra d), er den registeransvarlige ( 55 )»den fysiske eller juridiske person, […] der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«. Det centrale spørgsmål i denne sag er efter min opfattelse, hvorvidt og i hvilket omfang en udbyder af en internetsøgemaskine er omfattet af denne definition.

77.

Alle parter bortset fra Google og den græske regering har foreslået, at spørgsmålet besvares bekræftende, hvilket nemt kan forsvares som en logisk konklusion på en bogstavelig og måske endog formålsbestemt fortolkning af direktivet, idet direktivets grundlæggende definitioner blev formuleret så bredt, for at de kunne dække udviklingen på området. Jeg mener dog, at man med en sådan metode helt ville se bort fra, at det ikke var muligt at tage højde for internettet og de forskellige nye fænomener knyttet dertil, da direktivet blev udarbejdet.

78.

Da direktivet blev vedtaget, var World Wide Web dårligt nok en realitet, og søgemaskiner var kun i deres vorden. Direktivets bestemmelser tager ganske enkelt ikke hensyn til, at enorme mængder decentralt lagrede elektroniske dokumenter og filer er tilgængelige overalt på kloden, og at deres indhold kan kopieres, analyseres og formidles af parter, som slet ikke har nogen tilknytning til deres ophavsmænd eller til dem, der har uploadet dem til en server, der er koblet til internettet.

79.

Jeg gør opmærksom på, at Domstolen i Lindqvist-dommen ikke fulgte den maksimalistiske tilgang, som Kommissionen havde foreslået i forbindelse med fortolkningen af begrebet »videregivelse af oplysninger til tredjelande«. Domstolen fastslog, at »[n]år henses dels til internettets udviklingstrin på tidspunktet for udarbejdelsen af [direktivet], dels til de manglende kriterier i kapitel IV for anvendelsen af internettet, kan det ikke formodes, at fællesskabslovgiver har tilsigtet, at begrebet »videregivelse til et tredjeland af [oplysninger]« fremtidigt skulle omfatte den omstændighed, at en person i B. Lindqvists situation lægger oplysninger ud på en internetside, selv om disse således er blevet gjort tilgængelige for personer i tredjelande, der har de tekniske muligheder for at få adgang hertil« ( 56 ). Dette indebærer efter min opfattelse, at der ved fortolkningen af direktivet med henblik på nye teknologiske fænomener skal tages hensyn til proportionalitetsprincippet, direktivets formål og de midler, det giver til at nå disse, med henblik på at opnå et velafvejet og rimeligt resultat.

80.

Her er et af de centrale spørgsmål efter min opfattelse, hvorvidt det er relevant, at direktivet i definitionen af den registeransvarlige anfører, at der er tale om den person, der »afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger« (min fremhævning). De parter, der anser Google for at være registeransvarlig, baserer denne vurdering på den ubestridelige kendsgerning, at en tjenesteudbyder, der driver en internetsøgemaskine, afgør, til hvilket formål og med hvilke hjælpemidler den pågældende må foretage behandling af oplysninger.

81.

Jeg tvivler dog på, om dette fører frem til en korrekt fortolkning af direktivet i en situation, hvor genstanden for behandlingen består af filer, der indeholder personoplysninger og andre oplysninger på uordnet, tilfældig og vilkårlig vis. Afgør den professor i EU-ret, som jeg nævnte ovenfor i punkt 29, til hvilket formål og med hvilke hjælpemidler behandlingen af personoplysningerne i de af Domstolens domme, han har downloadet på sin bærbare computer, foregår? Artikel 29-gruppens konklusion om, at »brugere af søgemaskiner [strengt taget] også [kan] betragtes som dataforvaltere«, afslører, hvor irrationel en blind, bogstavelig fortolkning af direktivet i en internetsammenhæng er ( 57 ). Domstolen bør ikke godtage en fortolkning, som gør stort set alle, der ejer en smartphone, en tablet eller en bærbar computer, til registeransvarlige for behandlingen af personoplysninger, der er offentliggjort på internettet.

82.

Det er min opfattelse, at direktivets almindelige opbygning, de fleste af sprogversionerne og de forskellige forpligtelser, som det pålægger den registeransvarlige, er baseret på den idé, at den registeransvarlige er ansvarlig for de personoplysninger, der behandles, i den forstand, at den registeransvarlige er klar over, at der findes en bestemt, defineret kategori af oplysninger, som er personoplysninger, og den registeransvarlige vil behandle disse oplysninger med en vis tanke på behandlingen heraf i deres egenskab af personoplysninger ( 58 ).

83.

Artikel 29-gruppen bemærker helt korrekt, at »[b]egrebet den registeransvarlige er et funktionelt begreb, som er beregnet på at tildele ansvar i forhold til den faktiske indflydelse, og det er således snarere baseret på en faktuel end en formel analyse« ( 59 ). Gruppen bemærker videre, at den registeransvarlige afgør, hvilke oplysninger der skal behandles til de(t) relevante formål ( 60 ). Direktivets materielle bestemmelser, nærmere bestemt artikel 6, 7 og 8, er efter min opfattelse baseret på den antagelse, at den registeransvarlige ved, hvad han gør med hensyn til de pågældende personoplysninger, således at han er klar over, hvilken form for personoplysninger han behandler og hvorfor. Med andre ord skal han på en semantisk relevant måde se databehandlingen som behandling af personoplysninger, dvs. »information om en identificeret eller identificerbar fysisk person« og ikke blot som computerkode ( 61 ).

C – En udbyder af en internetsøgemaskine er ikke »registeransvarlig« for personoplysninger på tredjemands kildewebsider

84.

En udbyder af en internetsøgemaskine, som blot stiller et værktøj til informationslokalisering til rådighed, udøver ikke kontrol over personoplysninger på tredjemands websider. Tjenesteudbyderen er ikke »bekendt« med eksistensen af personoplysninger i nogen anden forstand end, at websider statistisk set sandsynligvis indeholder personoplysninger. Personoplysninger er ikke synlige som sådan under bearbejdningen af kildewebsiderne i forbindelse med gennemtrawling, analyse og indeksering.

85.

Jeg mener derfor, at Artikel 29-gruppen anlægger en passende synsvinkel på spørgsmålet, idet den søger at sondre mellem søgemaskinernes passive og midlertidige funktioner og situationer, hvor deres aktivitet repræsenterer en egentlig kontrol over de personoplysninger, der behandles ( 62 ). For fuldstændighedens skyld skal det tilføjes, at spørgsmålet om, hvorvidt personoplysningerne er blevet offentliggjort ( 63 ) eller lovligt er blevet videregivet på tredjemands kildewebsider, ikke er relevant for direktivets anvendelse ( 64 ).

86.

Udbyderen af internetsøgemaskinen har ikke noget forhold til indholdet af tredjemands websider på internettet, hvor der kan forefindes personoplysninger. Da søgemaskinen fungerer på grundlag af kopier af de kildewebsider, som dens spider har fundet og kopieret, har tjenesteudbyderen heller ingen muligheder for at ændre oplysningerne på host-serverne. At man stiller et værktøj til informationslokalisering til rådighed, medfører ikke nogen kontrol over indholdet. Det sætter ikke engang søgemaskineudbyderen i stand til at sondre mellem personoplysninger i direktivets forstand, som vedrører en identificerbar, nulevende fysisk person, og andre oplysninger.

87.

Her vil jeg ty til det princip, som er udtrykt i direktivets 47. betragtning. Ifølge denne betragtning er den ansvarlige for meddelelser, der indeholder personoplysninger, som fremsendes via telekommunikations- eller elektronisk posttjeneste, ophavsmanden til meddelelsen og ikke den person, der tilbyder tjenesten. Til grund for denne betragtning og de undtagelser fra ansvaret, som er fastsat i direktiv 2000/31 om elektronisk handel (artikel 12, 13 og 14), ligger det retlige princip om, at elektronisk, teknisk og passivt forhold til et elektronisk lagret eller transmitteret indhold ikke medfører kontrol over eller ansvar for dette.

88.

Artikel 29-gruppen har understreget, at formålet med begrebet den registeransvarlige først og fremmest er at fastlægge, hvem der er ansvarlig for, at databeskyttelsesreglerne overholdes, og tildele dette ansvar i forhold til den faktiske indflydelse ( 65 ). Ifølge gruppen indebærer »proportionalitetsprincippet […], at søgemaskineudbydere i den udstrækning, hvori de blot fungerer som mellemled, ikke bør betragtes som hovedforvaltere af data, hvor der er tale om indholdsrelateret bearbejdning af personoplysninger. I denne forbindelse er hovedforvalteren informationsleverandøren« ( 66 ).

89.

Jeg mener ikke, at en søgemaskineudbyder retligt eller faktisk kan opfylde den registeransvarliges forpligtelser som fastsat i direktivets artikel 6, 7 og 8 med hensyn til personoplysninger på kildewebsider, der befinder sig på tredjemands servere. Derfor kræver en rimelig fortolkning af direktivet, at udbyderen ikke anses for at være i denne position ( 67 ).

90.

Det modsatte synspunkt ville medføre, at søgemaskiner ikke var i overensstemmelse med EU-retten, hvilket efter min opfattelse ville være en absurd konklusion. Nærmere bestemt ville søgemaskineudbyderens virksomhed, hvis denne blev anset for at være registeransvarlig for personoplysninger på tredjemands kildewebsider, og hvis der på en eller flere af disse sider befandt sig »særlige kategorier af oplysninger« som omhandlet i direktivets artikel 8 (f.eks. personoplysninger om politisk eller religiøs overbevisning eller oplysninger om personers helbredsforhold og seksuelle forhold), automatisk blive ulovlig, når de strenge betingelser for behandlingen af disse oplysninger, som er fastsat i denne artikel, ikke var opfyldt.

D – Omstændigheder, hvorunder søgemaskineudbyderen er »registeransvarlig«

91.

Der er ingen tvivl om, at en søgemaskineudbyder kontrollerer søgemaskinens indeks, som kæder søgeord sammen med de relevante URL-adresser. Tjenesteudbyderen bestemmer, hvordan indekset er struktureret, og kan teknisk blokere visse søgeresultater ved f.eks. at undlade at vise URL-adresser fra bestemte lande eller domæner i søgeresultaterne ( 68 ). Desuden kontrollerer søgemaskineudbyderen sit indeks i den forstand, at han bestemmer, hvorvidt exclusion codes ( 69 ) på kildewebsider skal respekteres eller ikke.

92.

Indholdet i søgemaskinens cache kan derimod ikke anses for at være omfattet af tjenesteudbyderens kontrol, da cachen er resultatet af helt og holdent tekniske og elektroniske processer, der frembringer et spejlbillede af tekstoplysningerne på de gennemtrawlede websider med undtagelse af de oplysninger, som ikke medtages i registreringen og arkiveringen. Det er interessant, at visse medlemsstater tilsyneladende har indført særlige tværgående undtagelser hvad angår søgemaskiners ansvar svarende til undtagelsen i direktiv 2000/31 om elektronisk handel for visse udbydere af informationssamfundstjenester ( 70 ).

93.

Hvad angår indholdet i en cache medfører en tjenesteudbyders beslutning om ikke at respektere exclusion codes ( 71 ) på en webside dog efter min opfattelse, at udbyderen har kontrol over de pågældende personoplysninger i direktivets forstand. Det samme er tilfældet i situationer, hvor søgemaskineudbyderen ikke opdaterer en webside i sin cache på trods af en anmodning herom fra websitet.

E – Søgemaskineudbyderens forpligtelser som »registeransvarlig«

94.

Det står klart, at søgemaskineudbyderen skal overholde forpligtelserne i henhold til direktivet, hvis og når han kan anses for at være »registeransvarlig«.

95.

For så vidt angår de kriterier, som gør databehandling lovlig uden den registreredes samtykke [direktivets artikel 7, litra a)], er det tilsyneladende klart, at udbydere af internetsøgemaskiner som sådan har legitime interesser [direktivets artikel 7, litra f)], nemlig i) at gøre oplysninger nemmere tilgængelige for internetbrugere; ii) at gøre videreformidling af de oplysninger, som uploades til internettet, mere effektiv og iii) at give mulighed for diverse informationssamfundstjenester, som søgemaskineudbyderen tilbyder ud over søgemaskinen, f.eks. annoncer baseret på søgeord. Disse tre formål er relateret til tre respektive grundlæggende rettigheder, som er beskyttet ved chartret, nemlig informationsfriheden og ytringsfriheden (begge i artikel 11) samt friheden til at oprette og drive egen virksomhed (artikel 16). En søgemaskineudbyder forfølger således legitime interesser i direktivets artikel 7, litra f)'s forstand, når han behandler oplysninger, som er gjort tilgængelige på internettet, herunder personoplysninger.

96.

Som registeransvarlig skal en søgemaskineudbyder respektere kravene i direktivets artikel 6. Især skal personoplysningerne være tilstrækkelige, relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, samt ajourførte, men ikke forældede i forhold til de formål, hvortil de er indsamlet. Desuden skal der foretages en afvejning af de interesser, som »den registeransvarlige« eller den tredjemand, i hvis interesse behandlingen udføres, har, mod den registreredes interesser.

97.

I hovedsagen har den registrerede nedlagt påstand om fjernelse fra Googles indeks af den indeksering af hans fornavn og efternavne til avissidernes URL-adresser, som viser de personoplysninger, han ønsker at skjule. Personers navne bruges ganske vist som søgetermer, og de registreres som søgeord i søgemaskinernes indeks. Normalt er et navn i sig selv dog ikke tilstrækkeligt som direkte identifikation af en fysisk person på internettet, da der globalt set er adskillige, måske tusindvis eller millioner af mennesker, der har det samme navn eller den samme kombination af et eller flere fornavne og efternavne ( 72 ). Jeg går imidlertid ud fra, at en kombination af fornavn og efternavn som søgeterm i de fleste tilfælde gør det muligt at foretage en indirekte identifikation af en fysisk person som omhandlet i direktivets artikel 2, litra a), idet søgeresultatet i en søgemaskines indeks viser et begrænset antal link, hvorved internetbrugeren kan se forskel på personer med det samme navn.

98.

Søgemaskinens indeks knytter navne og andre identifikatorer, der anvendes som søgetermer, til et eller flere link til websider. For så vidt som linket er korrekt i den forstand, at de oplysninger, der svarer til søgetermen, rent faktisk forekommer eller har forekommet på de websider, der linkes til, mener jeg, at indekset opfylder de kriterier om tilstrækkelighed, relevans, proportionalitet, korrekthed og fuldstændighed, der er fastsat i direktivets artikel 6, litra c) og d). For så vidt angår de tidsmæssige aspekter, som er omhandlet i artikel 6, litra d) og e) (personoplysninger skal være ajourført, og personoplysninger må ikke opbevares længere end nødvendigt), bør disse spørgsmål også undersøges med udgangspunkt i den relevante behandling, dvs. tilvejebringelse af informationslokaliseringstjenester, og ikke som et spørgsmål vedrørende kildewebsidernes indhold ( 73 ).

F – Konklusion vedrørende den anden gruppe af spørgsmål

99.

På grundlag af disse betragtninger er det min opfattelse, at en national databeskyttelsesmyndighed kun kan kræve, at en udbyder af en internetsøgemaskine fjerner oplysninger fra sit indeks, såfremt tjenesteudbyderen ikke har respekteret de indsatte exclusion codes ( 74 ), eller såfremt en anmodning fra websitet om ajourføring af cachen ikke er blevet imødekommet. Denne situation er tilsyneladende ikke relevant for den foreliggende præjudicielle forelæggelse. En eventuel »meddelelses- og fjernelsesprocedure« ( 75 ) i forbindelse med link til kildewebsider med ulovligt eller upassende indhold er et nationalt civilretligt spørgsmål, som er baseret på andre grunde end beskyttelsen af personoplysninger ( 76 ).

100.

Jeg foreslår derfor, at Domstolen besvarer den anden gruppe af spørgsmål således, at en udbyder af en internetsøgemaskine under de omstændigheder, der er beskrevet i den præjudicielle forelæggelse, »behandler« personoplysninger som omhandlet i direktivets artikel 2, litra b). Tjenesteudbyderen kan dog ikke anses for at være »registeransvarlig« for behandlingen af disse personoplysninger som omhandlet i direktivets artikel 2, litra d), med den undtagelse, jeg har gjort rede for ovenfor.

VII – Det tredje spørgsmål vedrørende den registreredes eventuelle »ret til at blive glemt«

A – Indledende bemærkninger

101.

Det tredje præjudicielle spørgsmål er kun relevant, hvis Domstolen enten afviser den konklusion, jeg har draget ovenfor, hvorefter Google ikke generelt kan anses for at være »registeransvarlig« som omhandlet i direktivets artikel 2, litra d), eller for så vidt som Domstolen er enig med mig i, at der er tilfælde, hvor en søgemaskineudbyder som Google kan anses for at være i denne position. I modsat fald er det følgende afsnit overflødigt.

102.

Under alle omstændigheder ønsker den nationale ret med sit tredje spørgsmål oplyst, hvorvidt den ret til at få fjernet eller blokeret oplysninger, som er fastsat i direktivets artikel 12, litra b), og indsigelsesretten, som er fastsat i direktivets artikel 14, litra a), medfører, at den registrerede kan kontakte selve søgemaskineudbyderen for at forhindre registrering af oplysninger, der vedrører ham personligt, og som er offentliggjort på tredjemands websider. Herved forsøger den registrerede at undgå, at internetbrugere kan få kendskab til potentielt skadelige oplysninger, eller udtrykker et ønske om, at de pågældende oplysninger går i glemmebogen, selv om de på lovlig vis er offentliggjort af tredjemand. Den nationale ret ønsker med andre ord oplyst, hvorvidt der ud af direktivets artikel 12, litra b), og artikel 14, litra a), kan tolkes en »ret til at blive glemt«. Dette er det første spørgsmål, som vil blive behandlet i den følgende analyse, der vil være baseret på disse bestemmelsers ordlyd og formål.

103.

Hvis jeg konkluderer, at direktivets artikel 12, litra b), og artikel 14, litra a), i sig selv ikke giver denne beskyttelse, vil jeg derefter tage stilling til, hvorvidt denne fortolkning er i overensstemmelse med chartret ( 77 ). Dette vil kræve, at der tages hensyn til retten til beskyttelse af personoplysninger i artikel 8, retten til respekt for privatlivet og familielivet i artikel 7, ytrings- og informationsfriheden, der er beskyttet i artikel 11 (begge hvad angår websiteudgiveres ytringsfrihed og internetbrugeres ret til at modtage information), og friheden til at oprette og drive egen virksomhed i artikel 16. Registreredes rettigheder i artikel 7 og 8 skal stilles over for de rettigheder, som den person har, der vil videreformidle eller have adgang til disse oplysninger, og som er beskyttet ved artikel 11 og 16.

B – Udgør retten til berigtigelse, sletning, blokering og indsigelse som fastsat i direktivet en ret for den registrerede »til at blive glemt«?

104.

Retten til berigtigelse, sletning og blokering af oplysninger i henhold til direktivets artikel 12, litra b), vedrører oplysninger, som ikke er blevet behandlet i overensstemmelse med direktivet, navnlig hvis de er ufuldstændige eller urigtige (min fremhævning).

105.

Forelæggelseskendelsen anerkender, at de oplysninger, som forekommer på de pågældende websider, ikke kan anses for ufuldstændige eller urigtige. Det hævdes heller ikke på nogen måde, at Googles indeks eller indholdet af søgemaskinens cache med disse oplysninger kan beskrives som sådan. Derfor vil retten til berigtigelse, sletning eller blokering i henhold til direktivets artikel 12, litra b), kun opstå, hvis Googles behandling af personoplysninger fra tredjeparts kildewebsider af andre årsager ikke er i overensstemmelse med direktivet.

106.

Direktivets artikel 14, litra a), forpligter medlemsstaterne til at indrømme den registrerede ret til til enhver tid af vægtige legitime grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod, at personlysninger om ham selv gøres til genstand for behandling, medmindre andet er bestemt i den nationale lovgivning. Dette er navnlig tilfældet i de i direktivets artikel 7, litra e) og f), omhandlede tilfælde, dvs. når behandlingen er nødvendig af hensyn til samfundets interesse, eller for at den registeransvarlige eller tredjemand kan forfølge en legitim interesse. Endvidere fastsættes i artikel 14, litra a), at »den af den registeransvarlige iværksatte behandling« i tilfælde af berettiget indsigelse ikke længere må omfatte de pågældende oplysninger.

107.

I de situationer, hvor søgemaskineudbydere anses for at være registeransvarlige for behandlingen af personoplysninger, er de i henhold til direktivets artikel 6 forpligtet til at afveje den registeransvarliges, eller tredjemands, interesse, såfremt behandlingen udføres for denne, mod den registreredes interesser. Som Domstolen bemærkede i dommen i sagen ASNEF og FECEMD, er spørgsmålet, om de pågældende oplysninger allerede fremgår af offentligt tilgængelige kilder, relevant for denne afvejning ( 78 ).

108.

Jeg vil dog tilslutte mig det synspunkt, som næsten alle de parter, der har indgivet skriftlige indlæg i denne sag, har tilkendegivet, nemlig at direktivet ikke fastsætter en almindelig ret til at blive glemt i den forstand, at den registrerede har ret til at begrænse eller bringe videregivelsen af personoplysninger, som han anser for at være til skade for eller stride mod sine interesser, til ophør. Formålet med behandlingen og de interesser, denne tjener, sammenlignet med den registreredes interesser, er de kriterier, som skal anvendes, når oplysninger behandles uden den registreredes samtykke, og ikke den sidstnævntes subjektive præferencer. En subjektiv præference i sig selv udgør ikke en vægtig legitim grund som omhandlet i direktivets artikel 14, litra a).

109.

Selv om Domstolen skulle fastslå, at udbydere af internetsøgemaskiner er registeransvarlige, hvilket de ikke er, for personoplysninger på tredjemands kildewebsider, ville en registreret stadig ikke have en absolut »ret til at blive glemt«, som denne kunne påberåbe sig over for disse tjenesteudbydere. Tjenesteudbyderen ville imidlertid skulle sætte sig i kildewebsideudgiverens sted og kontrollere, hvorvidt videregivelse af personoplysningerne på siden på nuværende tidspunkt kan anses for at være lovlig og legitim i direktivets forstand. Med andre ord ville tjenesteudbyderen være nødt til at forlade sin funktion som formidler mellem brugeren og udgiveren og tage ansvar for kildewebsidens indhold og, om nødvendigt, censurere indholdet ved at forhindre eller begrænse adgangen til det.

110.

For fuldstændighedens skyld skal det bemærkes, at retten til at blive glemt er fastsat i artikel 17 i Kommissionens forslag til en generel forordning om databeskyttelse. Forslaget er dog tilsyneladende blevet mødt med betydelig modstand, og det fremstår ikke som en kodificering af eksisterende lovgivning, men som en vigtig retlig nyskabelse. Derfor har det tilsyneladende ikke nogen indflydelse på besvarelsen af det præjudicielle spørgsmål. Det er dog interessant, at forslagets artikel 17, stk. 2, fastsætter, at »[h]vis den […] registeransvarlige har offentliggjort personoplysningerne, træffer denne alle rimelige foranstaltninger [...] vedrørende oplysninger, hvis offentliggørelse den registeransvarlige er ansvarlig for, for at underrette tredjeparter, der behandler sådanne oplysninger, om, at en registreret ønsker, at de sletter alle link til, kopier af og gengivelser af disse personoplysninger«. I denne tekst anses udbyderen af internetsøgemaskinen tilsyneladende snarere som tredjemand end som registeransvarlig.

111.

Jeg konkluderer derfor, at direktivets artikel 12, litra b), og artikel 14, litra a), ikke fastsætter en ret til at blive glemt. Jeg vil nu tage stilling til, om denne fortolkning af de nævnte bestemmelser er i overensstemmelse med chartret.

C – De relevante grundlæggende rettigheder

112.

Ifølge chartrets artikel 8 har alle ret til beskyttelse af sine personoplysninger. Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf. Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.

113.

Da denne grundlæggende rettighed er en gentagelse af Den Europæiske Unions og Europarådets gældende regler på området, mener jeg, at denne artikel understreger betydningen af beskyttelsen af personoplysninger, uden at den som sådan tilføjer nye, væsentlige elementer til fortolkningen af direktivet.

114.

I henhold til chartrets artikel 7 har enhver ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation. Da denne bestemmelse i alt væsentligt er identisk med artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, der blev undertegnet i Rom den 4. november 1950 (herefter »EMRK«), skal der tages behørigt hensyn til den i forbindelse med fortolkningen af de relevante bestemmelser i direktivet, som kræver, at medlemsstaterne især beskytter retten til privatlivets fred.

115.

Jeg vil i forbindelse med EMRK gøre opmærksom på, at artikel 8 også vedrører spørgsmål om beskyttelse af personoplysninger. Af denne grund, og i overensstemmelse med chartrets artikel 52, stk. 3, er Den Europæiske Menneskerettighedsdomstols praksis vedrørende EMRK's artikel 8 relevant både for fortolkningen af chartrets artikel 7 og for direktivets anvendelse i overensstemmelse med chartrets artikel 8.

116.

Den Europæiske Menneskerettighedsdomstol fastslog i dommen i sagen Niemietz mod Tyskland, at en persons erhvervs- og forretningsaktiviteter kan være omfattet af privatlivets fred, som er beskyttet ved EMRK's artikel 8 ( 79 ). Denne tilgang har Menneskerettighedsdomstolen også anvendt i efterfølgende praksis.

117.

Desuden fastslog Domstolen i dommen i sagen Volker und Markus Schecke og Eifert ( 80 ), at »retten til respekt for privatlivet med hensyn til behandling af personoplysninger, som anerkendt i chartrets artikel 7 og 8, henviser til enhver form for information [min fremhævning] om en identificeret eller identificerbar fysisk person [...] og […] de begrænsninger i retten til beskyttelse af personoplysninger, der lovligt kan foretages, svarer til de begrænsninger, der accepteres inden for rammerne af artikel 8 i EMRK.«

118.

På grundlag af dommen i sagen Volker und Markus Schecke og Eifert konkluderer jeg, at beskyttelsen af privatlivets fred i henhold til chartret med hensyn til behandling af personoplysninger omfatter alle oplysninger om en person, uanset om denne har egenskab af privatperson, erhvervsdrivende eller f.eks. politiker. På baggrund af den brede betydning, som begreberne personoplysninger og behandlingen heraf har i EU-retten, følger det af ovennævnte retspraksis, at enhver kommunikation, hvortil der anvendes elektronisk databehandling, f.eks. ved telekommunikation, e-mail eller sociale medier, og som vedrører en fysisk person, som sådan udgør en formodet indgriben i denne grundlæggende rettighed, som skal være begrundet ( 81 ).

119.

I punkt 75 konkluderede jeg, at en udbyder af en internetsøgemaskine foretager behandling af personoplysninger, som vises på tredjemands kildewebsider. Det følger således af Domstolens dom i sagen Volker und Markus Schecke og Eifert, at der er tale om et indgreb i de registreredes ret til privatlivets fred efter chartrets artikel 7, uanset hvordan tjenesteudbyderens rolle klassificeres i henhold til direktivet. I henhold til EMRK og chartret skal et eventuelt indgreb i beskyttede rettigheder være baseret på lovgivning og være nødvendig i et demokratisk samfund. I den foreliggende sag er der ikke tale om offentlige myndigheders indgreb, som skal begrundes, men om spørgsmålet, i hvilket omfang et sådant indgreb fra privates side kan tolereres. Begrænsningerne herfor er anført i direktivet, og de er således baseret på lovgivning som krævet i EMRK og chartret. Fortolkningen af direktivet vedrører således netop fortolkningen af grænserne for privates behandling af oplysninger i lyset af chartret. Dette fører frem til spørgsmålet om, hvorvidt EU og medlemsstaterne har en positiv forpligtelse til over for udbydere af internetsøgemaskiner, som er private virksomheder, at håndhæve en ret til at blive glemt ( 82 ). Dette rejser derefter spørgsmål vedrørende begrundelse af indgreb i de i chartrets artikel 7 og 8 omhandlede rettigheder og forholdet til de konkurrerende rettigheder ytrings- og informationsfriheden samt retten til at oprette og drive egen virksomhed.

D – Ytrings- og informationsfriheden og retten til at oprette og drive egen virksomhed

120.

Den foreliggende sag vedrører, fra flere vinkler, ytrings- og informationsfriheden, som er nedlagt i chartrets artikel 11, der svarer til EMRK's artikel 10. Chartrets artikel 11, stk. 1, fastslår, at »[e]nhver har ret til ytringsfrihed. Denne ret omfatter meningsfrihed og frihed til at modtage eller meddele oplysninger eller tanker uden indblanding fra offentlig myndighed og uden hensyn til landegrænser« ( 83 ).

121.

Internetbrugeres ret til at søge og modtage information, der er stillet til rådighed på internettet, er beskyttet ved chartrets artikel 11 ( 84 ). Denne ret vedrører både information på kildewebsiderne og den information, som stilles til rådighed af søgemaskiner. Som nævnt har internettet revolutioneret adgangen til og videregivelsen af alle former for information og muliggjort nye former for kommunikation og social interaktion mellem personer. Jeg mener, at den grundlæggende ret til information kræver særlig beskyttelse i EU-retten, især på baggrund af den stadigt voksende tendens til, at autoritære styrer i andre lande begrænser adgangen til internettet eller censurerer indhold, som er gjort tilgængeligt på internettet ( 85 ).

122.

Udgivere af websider er ligeledes beskyttet i henhold til chartrets artikel 11. Når man stiller indhold til rådighed på internettet, tæller det som sådan som brug af ytringsfriheden ( 86 ), og i endnu højere grad når udgiveren har linket sin side til andre sider og ikke har sat begrænsninger for søgemaskiners registrering eller arkivering af siden, hvorved han har tilkendegivet sit ønske om en bred videregivelse af indholdet. Offentliggørelse på websider er en måde, hvorpå personer kan deltage i debat eller formidle deres eget indhold eller indhold, som andre har uploadet til internettet ( 87 ).

123.

Den foreliggende præjudicielle forelæggelse vedrører navnlig personoplysninger, der er offentliggjort i en avis' historiske arkiver. I dommen i sagen Times Newspapers Ltd mod Det Forenede Kongerige (nr. 1 og 2) bemærkede Den Europæiske Menneskerettighedsdomstol, at internetarkiver yder et vigtigt bidrag til at bevare og stille nyheder og oplysninger til rådighed. »Disse arkiver udgør en vigtig kilde til oplysning og historisk research, navnlig da de er let tilgængelige for offentligheden og almindeligvis er gratis. […] De skønsbeføjelser, som stater har til at finde en balance mellem de modstridende rettigheder, vil dog sandsynligvis være større, når der er tale om nyhedsarkiver over tidligere begivenheder og ikke nyhedsrapportering af aktuelle anliggender. Især vil pressens pligt til at følge principperne om ansvarlig journalistik ved at sikre, at offentliggjorte historiske, snarere end flygtige, oplysninger er korrekte, [min fremhævning] sandsynligvis være strengere, når offentliggørelsen af oplysningerne ikke har hastekarakter« ( 88 ) (o.a.: Domstolens oversættelse).

124.

Kommercielle udbydere af internetsøgemaskiner tilbyder deres informationslokaliseringstjenester som led i en forretningsvirksomhed med det formål at skabe indtægt fra søgeordsreklamer. Dette gør det til en erhvervsvirksomhed, og friheden til at oprette og drive egen virksomhed anerkendes i chartrets artikel 16 i overensstemmelse med EU-retten og national lovgivning ( 89 ).

125.

Desuden gør jeg opmærksom på, at ingen af de grundlæggende rettigheder, som denne sag omhandler, er absolutte. De kan begrænses, såfremt der er en acceptabel begrundelse på baggrund af betingelserne i chartrets artikel 52, stk. 1 ( 90 ).

E – Kan den registreredes »ret til at blive glemt« udledes af chartrets artikel 7?

126.

Til sidst skal det overvejes, hvorvidt fortolkningen af direktivets artikel 12, litra b), og artikel 14, litra a), i lyset af chartret, nærmere bestemt artikel 7, kan medføre anerkendelse af en »ret til at blive glemt« i den forstand, hvori den nationale ret har anvendt udtrykket. Som udgangspunkt ville denne konklusion ikke være i strid med chartrets artikel 51, stk. 2, da den ville være en præcisering af anvendelsesområdet for den registreredes ret til adgang og ret til at gøre indsigelse, som allerede er anerkendt af direktivet, og ikke ville skabe nye rettigheder eller udvide EU-rettens anvendelsesområde.

127.

Den Europæiske Menneskerettighedsdomstol fastslog i dommen i sagen Ovchinnikov mod Rusland ( 91 ), at »en indskrænkning i gengivelsen af oplysninger, som allerede er tilgængelige for offentligheden, under visse omstændigheder kan begrundes, f.eks. for at forhindre yderligere spredning af oplysninger om en persons privatliv, som ikke er en del af en politisk eller offentlig debat eller et spørgsmål af almen betydning« (o.a.: Domstolens oversættelse). Den grundlæggende ret til beskyttelse af privatlivet kan således i princippet påberåbes, selv om de pågældende oplysninger allerede er tilgængelige for offentligheden.

128.

Imidlertid skal den registreredes ret til beskyttelse af sit privatliv opvejes mod andre grundlæggende rettigheder, især ytringsfriheden og informationsfriheden.

129.

Informationsfriheden beskytter avisudgiverens ret til at gengive de trykte aviser i digital form på internettet. Jeg mener ikke, at myndighederne kan censurere en sådan genudgivelse, heller ikke databeskyttelsesmyndigheder. Den Europæiske Menneskerettighedsdomstols dom i sagen The Times Newspapers Ltd mod Det Forenede Kongerige (nr. 1 og 2) ( 92 ) viser, at udgiverens ansvar med hensyn til historiske udgivelsers korrekthed muligvis er strengere end ansvaret, når der er tale om aktuelle nyheder, og kan kræve, at det anfægtede indhold suppleres med passende forbehold. Jeg mener imidlertid ikke, at et krav om, at en digital genudgivelse af en avisudgave skal have et andet indhold end den oprindelige trykte udgave, kan begrundes. Det ville være historieforfalskning.

130.

Det databeskyttelsesproblem, som er kernen i denne tvist, opstår kun, hvis en internetbruger skriver den registreredes navn og efternavne i søgemaskinen og herved får et link til avisens websider med de anfægtede meddelelser. I denne situation gør internetbrugeren aktivt brug af sin ret til at modtage information om den registrerede fra offentlige kilder af grunde, som han alene kender til ( 93 ).

131.

I det moderne informationssamfund er retten til at søge information, der er offentliggjort på internettet, ved hjælp af søgemaskiner en af de vigtigste måder, hvorpå denne grundlæggende ret kan udøves. Denne ret omfatter uden tvivl også retten til at søge information vedrørende andre personer, som i princippet er beskyttet af retten til privatlivets fred, som f.eks. information på internettet vedrørende en persons aktiviteter som forretningsmand eller politiker. En internetbrugers ret til information ville blive undergravet, hvis hans søgning efter information om en person ikke gav søgeresultater, som viste et sandfærdigt billede af de relevante websider, men i stedet viste en censureret, »bowdleriseret« ( 94 ) udgave af disse.

132.

En udbyder af en internetsøgemaskine udøver lovligt både sin frihed til at oprette og drive egen virksomhed og ytringsfriheden, når han stiller værktøjer til informationslokalisering på internettet til rådighed ved hjælp af en søgemaskine.

133.

På grund af den særligt komplekse og vanskelige konstellation af grundlæggende rettigheder, som indgår i denne sag, er det ikke muligt at begrunde en styrkelse af den registreredes retsstilling i henhold til direktivet og tilføre en ret til at blive glemt. Herved ville man ofre centrale rettigheder såsom ytrings- og informationsfriheden. Jeg vil også fraråde Domstolen at fastslå, at der kan foretages en tilfredsstillende afvejning af disse modstridende interesser fra sag til sag, hvor afgørelsen overlades til udbyderen af internetsøgemaskinen. »Meddelelses- og fjernelsesprocedurer« vil sandsynligvis, hvis Domstolen kræver en sådan løsning, føre til enten automatisk fjernelse af link til alt anfægtet indhold eller et uhåndterligt antal anmodninger, som de mest populære og største søgemaskineudbydere skal behandle ( 95 ). I denne forbindelse skal det bemærkes, at de »meddelelses- og fjernelsesprocedurer«, der indgår i direktiv 2000/31 om elektronisk handel, vedrører ulovligt indhold, mens den foreliggende sag drejer sig om en anmodning om at fjerne legitime og lovlige oplysninger, der er blevet offentliggjort.

134.

Først og fremmest bør udbydere af internetsøgemaskiner ikke besværes med en sådan forpligtelse. Dette ville være et indgreb i websideudgiverens ytringsfrihed, og denne ville ikke have en tilstrækkelig retsbeskyttelse i en sådan situation, idet en ureguleret »meddelelses- og fjernelsesprocedure« ville være et privat anliggende mellem den registrerede og søgemaskineudbyderen ( 96 ). Der ville være tale om en privatpersons censurering af offentliggjort indhold ( 97 ). Det er noget helt andet, at stater har positive forpligtelser til at sikre et effektivt retsmiddel mod en udgiver, som krænker retten til privatlivets fred, hvilket i forbindelse med internettet ville vedrøre udgiveren af websiden.

135.

Som Artikel 29-gruppen har bemærket, er det muligt, at søgemaskineudbydernes sekundære ansvar ifølge national ret kan medføre, at de har pligt til at blokere adgangen til tredjemands websites med ulovligt indhold som f.eks. websider, der krænker IP-rettigheder eller viser injurierende eller ulovlige oplysninger ( 98 ).

136.

Derimod kan der ikke over for disse udbydere påberåbes en alment gældende ret til at blive glemt på grundlag af direktivet, heller ikke når det fortolkes i overensstemmelse med chartret.

137.

Af disse grunde foreslår jeg, at Domstolen besvarer det tredje præjudicielle spørgsmål således, at retten til at slette og blokere oplysninger i henhold til direktivets artikel 12, litra b), og retten til at gøre indsigelse i henhold til artikel 14, litra a), ikke omfatter en ret til at blive glemt som beskrevet i den præjudicielle forelæggelse.

VIII – Forslag til afgørelse

138.

Henset til ovenstående betragtninger foreslår jeg, at Domstolen giver følgende svar på de af Audiencia Nacional forelagte spørgsmål:

»1)

Behandlingen af personoplysninger finder sted som led i den registeransvarliges virksomhed eller organ i den betydning, hvori udtrykket er anvendt i artikel 4, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, når den virksomhed, der leverer internetsøgemaskinen, i en medlemsstat etablerer et kontor eller et datterselskab, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og som retter sine aktiviteter mod borgerne i denne stat.

2)

En udbyder af en internetsøgemaskine, hvis søgemaskine lokaliserer oplysninger, der er offentliggjort eller lagt på internettet af tredjemænd, registrerer disse automatisk, lagrer dem midlertidigt og sluttelig gør dem tilgængelige for internetbrugerne i en vis prioriteret orden, »behandler« personoplysninger i den forstand, hvori udtrykket er anvendt i artikel 2, litra b), i direktiv 95/46, når disse oplysninger indeholder personoplysninger.

Udbyderen af internetsøgemaskinen kan imidlertid ikke anses for at være »registeransvarlig« for behandlingen af disse personoplysninger i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46, med undtagelse af indholdet i søgemaskinens indeks, forudsat at tjenesteudbyderen ikke registrerer eller arkiverer personoplysninger i strid med websideudgiverens instrukser eller anmodninger.

3)

Retten til sletning og blokering af oplysninger, der er reguleret i artikel 12, litra b), og retten til indsigelse, der er reguleret i artikel 14, litra a), i direktiv 95/46, skal fortolkes således, at de ikke indrømmer den berørte part ret til at rette henvendelse til søgemaskinerne for at forhindre registrering af den pågældendes personoplysninger, der er offentliggjort lovligt på tredjemands website, under påberåbelse af, at den pågældende ikke ønsker, at oplysningerne kommer til internetbrugernes kendskab, fordi den pågældende finder, at oplysningerne kan komme ham til skade, eller ønsker, at de slettes.«


( 1 ) – Originalsprog: engelsk.

( 2 ) – Harvard Law Review, bd. IV, nr. 5, 15.12.1890.

( 3 ) – Rent faktisk består »internettet« af to hovedtjenester, nemlig World Wide Web og e-mailtjenester. Mens internettet, i form af et netværk af indbyrdes forbundne computere, har eksisteret i forskellige former i et stykke tid, med Arpanet (USA) som det første, startede det frit tilgængelige åbne net med www-adresser og en fælles kodestruktur først i begyndelsen af 1990'erne. Den historisk korrekte betegnelse må være World Wide Web, men på baggrund af gældende brug og terminologiske valg, der er truffet i Domstolens praksis, anvendes ordet »internet« i det følgende primært om World Wide Web-delen af nettet.

( 4 ) – De forskellige websiders placering angives med en individuel adresse, »URL'en« (Uniform Resource Locator), et system, der blev skabt i 1994. Man kommer ind på en webside ved at skrive dens URL i internetbrowseren, enten direkte eller ved hjælp af et domænenavn. Websider skal være kodet med et såkaldt markup language. HyperText Markup Language (HTML) er det mest anvendte markup language til at oprette websider og anden information, som kan vises i en internetbrowser.

( 5 ) – Hvor omfattende de tre situationer er, illustreres af følgende oplysninger (idet der dog ikke foreligger nøjagtige tal). For det første skønnes det, at der muligvis er over 600 mio. websites på internettet. På disse websites er der tilsyneladende over 40 mia. websider. Hvad søgemaskiner angår er antallet langt mindre. Der er tilsyneladende under 100 større søgemaskiner, og aktuelt har Google nok en meget stor andel på mange markeder. Det forlyder, at Googles søgemaskines succes skyldes meget kraftige spidere, effektive indekseringssystemer og en teknologi, der gør det muligt at sortere søgeresultater i forhold til deres relevans for brugeren (bl.a. den patenterede PageRank-algoritme), jf. A. Lopez-Tarruella, »Introduction: Google Pushing the Boundaries of law«, i Google and the Law. Empirical Approaches to Legal Aspects of Knowledge-Economy Business Models, Red. A. Lopez-Tarruella, T.M.C: Asser Press, Haag, 2012, s. 1-8, på s. 2. For det tredje bruger over tre fjerdedele af den europæiske befolkning internettet, og i det omfang de bruger søgemaskiner, kan deres personoplysninger som brugere af internetsøgemaskiner indsamles og bearbejdes af den anvendte søgemaskine.

( 6 ) – Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31).

( 7 ) – Jf., generelt, Artikel 29-gruppens udtalelse 1/2008 om beskyttelse af oplysninger relateret til søgemaskiner (WP 148). Googles politik for beskyttelse af privatlivets fred hvad angår brugerne af Googles internetsøgemaskine granskes af medlemsstaternes databeskyttelsesmyndigheder under ledelse af den franske databeskyttelsesmyndighed (CNIL). Vedrørende den seneste udvikling henvises til Artikel 29-gruppens skrivelse af 16.10.2012 til Google, som findes på det nedenfor i fodnote 22 nævnte websted.

( 8 ) – Jf. punkt 19 nedenfor.

( 9 ) – I det følgende henviser »internetsøgemaskine« til kombinationen af software og udstyr, som gør det muligt at søge tekst og audiovisuelt indhold på internettet. Specifikke spørgsmål vedrørende søgemaskiner, der fungerer inden for et afgrænset internetdomæne (eller website) som f.eks. http://curia.europa.eu, behandles ikke i dette forslag til afgørelse. Den erhvervsdrivende, som giver adgang til en internetsøgemaskine, omtales som »søgemaskineudbyderen«. I den foreliggende sag er Google Inc. tilsyneladende tjenesteudbyderen, som giver adgang til Google-søgemaskinen samt mange andre søgefunktioner som f.eks. maps.google.com og news.google.com.

( 10 ) – Dom af 6.11.2003. sag C-101/01, Sml. I, s. 12971.

( 11 ) – Dom af 20.5.2003, forenede sager C-456/00, C-138/01 og C-139/01, Sml. I, s. 4989.

( 12 ) – Dom af 16.12.2008, sag C-73/07, Sml. I, s. 9831.

( 13 ) – Dom af 9.11.2010, forenede sager C-92/09 og C-93/09, Sml. I, s. 11063.

( 14 ) – Dom af 23.3.2010, forenede sager C-236/08 - C-238/08, Google France og Google, Sml. I, s. 2417, af 8.7.2010, sag C-558/08, Portakabin, Sml. I, s. 6963, af 12.7.2011, sag C-324/09, L'Oréal m.fl., Sml. I, s. 6011, af 22.9.2011, sag C-323/09, Interflora og Interflora British Unit, Sml. I, s. 8625, og af 19.4.2012, sag C-523/10, Wintersteiger.

( 15 ) – Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) (KOM(2012) 11 endelig).

( 16 ) – BOE nr. 298, 14.12.1999, s. 43088.

( 17 ) – Ifølge 11. betragtning er direktivets »princip om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, […] en præcisering og udvidelse af principperne i Europarådets konvention af 28.1.1981 om beskyttelse af det enkelte menneske i forbindelse med databehandling af personoplysninger«.

( 18 ) – Jf. Artikel 29-gruppen, udtalelse 1/2010 om begreberne »registeransvarlige« og »registerfører« (WP 169), s. 3 og 4.

( 19 ) – Jf. f.eks. dom af 25.10.2011, forenede sager C-509/09 og C-161/10, eDate Advertising og Martinez, Sml. I, s. 10269, præmis 45.

( 20 ) – En avis indeholder normalt personoplysninger som f.eks. navne på fysiske personer. Disse personoplysninger behandles, når de læses ved hjælp af elektronisk databehandling. Denne behandling er omfattet af direktivets anvendelsesområde, medmindre den foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter. Jf. direktivets artikel 2, litra a) og b), og artikel 3, stk. 2. Endvidere udgør læsning af et dokument på papir eller visning af billeder, der indeholder personoplysninger, også behandling af disse oplysninger. Jf. U. Dammann og S. Simitis, EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, s. 110.

( 21 ) – Jf. Lindqvist-dommen, præmis 67-70, vedrørende fortolkningen af direktivets artikel 25.

( 22 ) – Udtalelserne findes på adressen http://ec.europa.eu/justice/data-protection/index_en.htm

( 23 ) – Internetsøgemaskiner udvikles hele tiden, og formålet her er blot at give et overblik over de vigtigste egenskaber, som er relevante her og nu.

( 24 ) – Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8.6.2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«), EFT L 178, s. 1.

( 25 ) – Jf. 18. betragtning og artikel 2, litra a), i direktiv 2000/31 om elektronisk handel, sammenholdt med artikel 1, stk. 2, i Europa-Parlamentets og Rådets direktiv 98/34/EF af 22.6.1998 om en informationsprocedure med hensyn til tekniske standarder og forskrifter samt forskrifter for informationssamfundets tjenester, EFT L 204, s. 37, som ændret ved Europa-Parlamentets og Rådets direktiv 98/48/EF af 20.7.1998, EFT L 217, s. 18.

( 26 ) – Lindqvist-dommen, præmis 25-27.

( 27 ) – En typisk aktuel exclusion code (eller »robot exclusion-protokol«) hedder »robots.txt«; se http://en.wikipedia.org/wiki/Robots.txt eller http://www.robotstxt.org/

( 28 ) – Exclusion codes kan dog ikke teknisk forhindre søgemaskinen i at registrere eller vise siden, og søgemaskineudbyderen kan vælge at ignorere dem. De større søgemaskineudbydere, herunder Google, hævder, at de overholder disse koder, når de er indlagt i kildewebsiden. Jf. Artikel 29-gruppen, udtalelse 1/2008, s. 14.

( 29 ) – Jf. Den Europæiske Menneskerettighedsdomstols dom i sagen K. U. mod Finland, sag nr. 2872/02, ECHR 2008, præmis 43 og 48, hvori domstolen henviste til positive forpligtelser som et iboende element i en effektiv respekt for privatlivets eller familielivets fred. Disse forpligtelser kan indebære vedtagelsen af foranstaltninger med henblik på at sikre respekten for privatlivets fred, også i relationer mellem privatpersoner. I sagen K. U. mod Finland havde staten en positiv forpligtelse til at sikre, at der fandtes et effektivt retsmiddel mod udgiveren.

( 30 ) – Internettet er dog ikke én kæmpemæssig databank, der er oprettet af »Big Brother«, men et decentraliseret informationssystem med oprindelse i utallige uafhængige kilder, hvor tilgængeligheden og videregivelsen af oplysninger afhænger af formidlingstjenester, der som sådan intet har at gøre med indholdet.

( 31 ) – Jf. i denne henseende mit forslag til afgørelse i sagen L'Oréal m.fl., punkt 54 ff.

( 32 ) – Dette svarer til den tredje situation, der er nævnt ovenfor i punkt 3.

( 33 ) – Vedrørende et eksempel på et reklamesystem, der anvender søgeord (Googles AdWords), jf. dommen i sagen Google France og Google, præmis 22 og 23, dom af 25.3.2010, sag C-278/08, BergSpechte, Sml. I, s. 2517, præmis 5-7, Portakabin-dommen, præmis 8-10, og dommen i sagen Interflora og Interflora British Unit, præmis 9-13.

( 34 ) – Dom af 5.10.2010, sag C-400/10 PPU, McB, Sml. I, s. 8965, præmis 51 og 59, af 15.11.2011, sag C-256/11, Dereci m.fl., Sml. I, s. 11315, præmis 71 og 72, af 8.11.2012, sag C-40/11, Iida, præmis 78, og af 26.2.2013, sag C-617/10, Åkerberg Fransson, præmis 23.

( 35 ) – Eksempelvis modsatte Domstolen sig i McB-dommen et krav om anvendelse af en fortolkning på grundlag af chartrets artikel 7 af »forældremyndighed« i artikel 2, stk. 9, i Rådets forordning (EF) nr. 2201/2003 af 27.11.2003 om kompetence og om anerkendelse og fuldbyrdelse af retsafgørelser i ægteskabssager og i sager vedrørende forældreansvar og om ophævelse af forordning (EF) nr. 1347/2000 (EUT L 338, s. 1), som ville have udvidet begrebets betydning. Dertil skal dog siges, at hvis det er umuligt at fortolke en EU-lovbestemmelse i overensstemmelse med grundlæggende rettigheder, der er beskyttet af EU-retten, skal denne bestemmelse erklæres ugyldig. Jf. dom af 1.3.2011, sag C-236/09, Association belge des Consommateurs Test-Achats m.fl., Sml. I, s. 773, præmis 30-34.

( 36 ) – Artikel 29-gruppen, udtalelse 8/2010 om gældende ret (WP 179), s. 8.

( 37 ) – Artikel 29-gruppen, udtalelse 8/2010, s. 24 og 31.

( 38 ) – Jf. artikel 3, stk. 2, litra a), i Kommissionens forslag.

( 39 ) – Jf. dommen i sagen L'Oréal m.fl. og direktiv 2000/31 om elektronisk handel.

( 40 ) – Rådets forordning (EF) nr. 44/2001 af 22.12.2000 om retternes kompetence og om anerkendelse og fuldbyrdelse af retsafgørelser på det civil- og handelsretlige område, EFT L 12, s. 1, dom af 7.12.2010, forenede sager C-585/08 og C-144/09, Pammer og Hotel Alpenhof, Sml. I, s. 12527, og Wintersteiger-dommen. Jf. desuden mit forslag til afgørelse i sag C-170/12, Peter Pinckney mod KDG mediatech AG, som verserer for Domstolen.

( 41 ) – Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22.5.2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet, EFT L 167, s. 10, og dom af 21.6.2012, sag C-5/11, Donner.

( 42 ) – Forelæggelseskendelsen kommer ikke nærmere ind på, hvad der menes med »tyngdepunkt«, men udtrykket blev anvendt af generaladvokat Cruz Villalón i hans forslag til afgørelse i sagen eDate Advertising og Martinez, punkt 32 og 55.

( 43 ) – Artikel 29-gruppen, udtalelse 8/2010, s. 8 og 9. Gruppen gør desuden opmærksom på, at ordet »equipment« (»udstyr«), som er anvendt i den engelske udgave af direktivet, er for snævert, da de øvrige sprogversioner bruger ord, der svarer til »means« (»midler«), der også dækker ikke-materielle anordninger som f.eks. cookies (jf. s. 20 og 21).

( 44 ) – Jf. især Artikel 29-gruppen, udtalelse 8/2010, s. 19, hvor det bemærkes, at direktivets artikel 4, stk. 1, litra c), på trods af ordlyden bør finde anvendelse, når den registeransvarlige har etableringssteder i EU, men disses aktiviteter er uden tilknytning til behandlingen af personoplysninger.

( 45 ) – Jf. dommen i sagen Google France og Google, præmis 23.

( 46 ) – Jf. dommen i sagen Google France og Google, præmis 25, og Artikel 29-gruppen, udtalelse 1/2008, s. 5 og 6. Det er nemt at få bekræftet, at de samme søgeord på forskellige nationale Google-domæner kan medføre visning af forskellige søgeresultater og reklamer.

( 47 ) – Artikel 29-gruppen, udtalelse 1/2008, s. 10.

( 48 ) – Jf. direktivets artikel 2, litra a), hvorefter personoplysninger betyder »enhver form for information om en identificeret eller identificerbar fysisk person«. Artikel 29-gruppen giver i sin udtalelse 4/2007 om begrebet personoplysninger (WP 136) en lang række eksempler. Domstolen bekræftede den brede fortolkning i Lindqvist-dommen, præmis 24-27. Jf. desuden dommen i sagen Österreichischer Rundfunk m.fl., præmis 64, dommen i sagen Satakunnan Markkinapörssi og Satamedia, præmis 35-37, dom af 16.12.2008, sag C-524/06, Huber, Sml. I, s. 9705, præmis 43, af 7.5.2009, sag C-553/07, Rijkeboer, Sml. I, s. 3889, præmis 62, af 19.4.2012, sag C-461/10, Bonnier Audio m.fl., præmis 93, og dommen i sagen Volker und Markus Schecke og Eifert, præmis 23, 55 og 56.

( 49 ) – Artikel 29-gruppen bemærker, at »det ikke [er] nødvendigt, at oplysningerne opbevares i en struktureret database eller et struktureret register, for at de kan betragtes som personoplysninger. Også oplysninger, som findes i fri tekst i et elektronisk dokument, kan betragtes som personoplysninger [...]«. Jf. udtalelse 4/2007, s. 8.

( 50 ) – Der findes søgemaskiner eller søgemaskineegenskaber, som især søger efter personoplysninger, der kan genkendes som sådanne på grund af deres form (f.eks. CPR-numre) eller sammensætning (strenge af tegn, som svarer til fornavne og efternavne). Artikel 29-gruppen, udtalelse 1/2008, s. 5 og 14. Disse søgemaskiner kan medføre særlige databeskyttelsesproblematikker, som ikke er relevante for dette forslag til afgørelse.

( 51 ) – Søgemaskinen har imidlertid ikke adgang til såkaldte forældreløse sider, der ikke har links til andre websider.

( 52 ) – Websider, som spideren finder, lagres på Googles indeksdatabase, der er sorteret alfabetisk efter søgeterm. Hver enkelt indførsel i indekset lagrer en liste over dokumenter, hvori søgetermen forekommer, og det sted i teksten, hvor den forekommer. Visse ord såsom artikler, pronominer og almindelige adverbier samt visse etcifrede tal og enkeltbogstaver indekseres ikke. Jf. http://www.googleguide.com/google_works.html

( 53 ) – Disse kopier (såkaldte »snapshots«) af websiderne, som lagres på Googles cache, består kun af HTML-kode og indeholder ikke billeder, der skal indlæses fra de oprindelige siders placering. Jf. M. Peguera, »Copyright Issues Regarding Google Images and Google Cache« i Google and the Law, s. 169-202, på s. 174.

( 54 ) – Søgemaskineudbydere giver som regel webmaster mulighed for at anmode om opdatering af cachekopien af websiden. På Googles Webmaster Tools-side findes en vejledning i, hvordan dette gøres.

( 55 ) – Tilsyneladende taler nogle af direktivets andre sprogversioner end den engelske, f.eks. den franske, tyske, spanske, svenske og nederlandske, om en enhed, der er »ansvarlig« over databehandlingen frem for at anvende termer, der svarer til det engelske »controller«. Nogle af sprogversionerne, f.eks. den finske og polske, bruger mere neutrale udtryk (på finsk »rekisterinpitäjä« og på polsk »administrator danych«).

( 56 ) – Jf. Lindqvist-dommen, præmis 68.

( 57 ) – Artikel 29-gruppen, udtalelse 1/2008, s. 14, fodnote 17. Ifølge udtalelsen vil brugernes rolle typisk falde uden for databeskyttelsesdirektivets anvendelsesområde som en »rent personlig aktivitet«. Jeg mener ikke, at denne antagelse er holdbar. Internetbrugere anvender også typisk søgemaskiner i aktiviteter, som ikke er rent personlige, f.eks. aktiviteter i forbindelse med arbejde, studier, forretninger eller den tredje sektor.

( 58 ) – Artikel 29-gruppen giver i sin udtalelse 4/2007 adskillige eksempler på begrebet personoplysninger og behandlingen heraf, herunder den registeransvarlige, og så vidt jeg kan konstatere, er denne betingelse opfyldt i alle eksemplerne.

( 59 ) – Artikel 29-gruppen, udtalelse 1/2010, s. 9.

( 60 ) – Op.cit. s. 14.

( 61 ) – Dammann og Simitis (s. 120) bemærker, at elektronisk bearbejdning ikke kun må vedrøre det medium, hvor oplysningerne registreres (Datenträger), men også skal vedrøre oplysningernes semantiske eller materielle dimension. Jeg mener, at det er afgørende, at personoplysninger er »informationer« i direktivets forstand, dvs. semantisk relevant indhold.

( 62 ) – Jf. Artikel 29-gruppen, udtalelse 1/2008, s. 14.

( 63 ) – Jf. Lindqvist-dommen, præmis 27.

( 64 ) – Jf. dommen i sagen Satakunnan Markkinapörssi og Satamedia, præmis 37.

( 65 ) – Jf. Artikel 29-gruppen, udtalelse 1/2010, s. 4 og 9.

( 66 ) – Jf. Artikel 29-gruppen, udtalelse 1/2008, s. 14.

( 67 ) – Artikel 29-gruppen, udtalelse 1/2008, s. 14, som dog tilføjer, at spørgsmålet, hvorvidt udbyderen har pligt til at fjerne eller blokere personoplysninger, kan afhænge af den pågældende medlemsstats generelle erstatnings- og ansvarsbestemmelser. I nogle medlemsstater er der ved national lov indført procedurer for fjernelse af materiale (»notice and take down«), som søgemaskineudbyderen skal følge for at undgå ansvar.

( 68 ) – Ifølge en forfatter foregår denne filtrering ved Google i næsten alle lande, f.eks. i forbindelse med overtrædelser af intellektuelle ophavsrettigheder. I USA bliver oplysninger, der er kritiske over for scientology, desuden filtreret fra. I Frankrig og Tyskland filtrerer Google ligeledes søgeresultater vedrørende »nazistiske samlerobjekter, holocaustbenægtere, tilhængere af den hvide races overlegenhed og websites, der propaganderer mod den demokratiske forfatningsorden«, fra. For flere eksempler henvises til D. Friedmann, »Paradoxes, Google and China: How Censorship can Harm and Intellectual Property can Harness Innovation«, i Google and the Law, s. 303-327, s. 307.

( 69 ) – Jf. punkt 41 ovenfor.

( 70 ) – Jf. første rapport om anvendelsen af [direktiv 2000/31 om elektronisk handel], KOM(2003) 702 endelig af 21.11.2003, s. 13, fodnote 69, og Artikel 29-gruppen, udtalelse 1/2008, s. 13, fodnote 16.

( 71 ) – Jf. punkt 41 ovenfor.

( 72 ) – Det afhænger af konteksten, om et personnavn kan identificere en fysisk person. Et almindeligt navn kan sandsynligvis ikke skille en person ud på internettet, men kan godt identificere en person f.eks. i en skoleklasse. Inden for elektronisk behandling af personoplysninger er en person normalt knyttet til en entydig identifikator for at undgå forveksling af to personer. Et typisk eksempel på en sådan identifikator er CPR-numre. Jf. i denne henseende Artikel 29-gruppen, udtalelse 4/2007, s. 13, og udtalelse 1/2008, s. 9, fodnote 11.

( 73 ) – Det er dog interessant at bemærke, at Den Europæiske Menneskerettighedsdomstol i en sag vedrørende oplysninger, der opbevares af statslige organer, har fastslået, at »national ret især bør sikre, at disse oplysninger er relevante og ikke omfatter mere end, hvad der kræves til opfyldelse af det formål, hvortil de opbevares, samt bevares i en form, som indebærer, at identifikation af de registrerede ikke er mulig i længere tid, end hvad der kræves til opfyldelse af det formål, hvortil de opbevares« (o.a.: Domstolens oversættelse). (Jf. Den Europæiske Menneskerettighedsdomstols dom i sagen S. og Marper mod Det Forenede Kongerige, nr. 30562/04 og nr. 30566/04, EMRK 2008, præmis 103; jf. desuden f.eks. Den Europæiske Menneskerettighedsdomstols dom i sagen Segerstedt-Wiberg m.fl. mod Sverige, nr. 62332/00, EMRK 2006-VII, navnlig præmis 90). Den Europæiske Menneskerettighedsdomstol har dog ligeledes, i forbindelse med EMRK's artikel 10 om ytringsfrihed, anerkendt »det vigtige bidrag, som internetarkiver yder til at opbevare og stille nyheder og information til rådighed« (o.a.: Domstolens oversættelse). (Den Europæiske Menneskerettighedsdomstols dom i sagen Times Newspapers Ltd mod Det Forenede Kongerige (nr. 1 og 2), sag nr. 3002/03, 23676/03, 3002/03 og 23676/03, ECHR 2009, præmis 45).

( 74 ) – Jf. punkt 41 ovenfor.

( 75 ) – Jf. artikel 14 i direktivet om elektronisk handel.

( 76 ) – Artikel 29-gruppen, udtalelse 1/2008, s. 14.

( 77 ) – Dette var den tilgang, som Domstolen udviklede i McB-dommen, præmis 44 og 49.

( 78 ) – Dom af 24.11.2011, forenede sager C-468/10 og C-469/10, Sml. I, s. 12181, præmis 44 og 45. Den Europæiske Menneskerettighedsdomstol har bemærket, at offentliggørelsen af personoplysninger andre steder indebærer, at den overordnede interesse vedrørende beskyttelse af fortroligheden ophører. Jf. dom af 16.12.2010 i sagen Ovchinnikov mod Rusland, nr. 24061/04, præmis 49.

( 79 ) – Den Europæiske Menneskerettighedsdomstols dom af 16.12.1992, Niemietz mod Tyskland, nr. 13710/88, serie A, nr. 251 B, præmis 29, dommen i sagen Amann mod Schweiz [GC], nr. 27798/95, ECHR 2000-II, præmis 65, og dommen i sagen Rotaru mod Rumænien [GC], nr. 28341/95, ECHR 2000 V, præmis 43.

( 80 ) – Dommens præmis 52.

( 81 ) – Den Europæiske Menneskerettighedsdomstol har derimod afslået at give en positivt formuleret definition af privatliv. I henhold til denne domstol er privatlivet et vidt begreb, som ikke kan defineres på en udtømmende måde (jf. dom af 25.3.1993, Costello-Roberts mod Det Forenede Kongerige, nr. 13134/87, serie A, nr. 247-C, præmis 36).

( 82 ) – Vedrørende statens positive forpligtelser til at handle for at beskytte privatlivet, når det krænkes af aktører fra den private sektor, og nødvendigheden af at afveje en sådan forpligtelse mod de sidstnævntes ytringsfrihed jf. f.eks. Den Europæiske Menneskerettighedsdomstols dom i sagen Von Hannover mod Tyskland, nr. 59320/00, ECHR 2004-VI, og dom af 18.4.2013, Ageyevy mod Rusland, nr. 7075/10.

( 83 ) – Jf. Den Europæiske Menneskerettighedsdomstols dom af 7.12.1976, Handyside mod Det Forenede Kongerige, serie A, nr. 24, præmis 49, af 24.5.1988, Müller m.fl. mod Schweiz, serie A, nr. 133, præmis 33, af 26.9.1995, Vogt mod Tyskland, serie A, nr. 323, præmis 52, og Guja mod Moldova, nr. 14277/04, ECHR 2008, præmis 69. Jf. desuden Domstolens dom af 6.3.2001, sag C-274/99 P, Connolly mod Kommissionen, Sml. I, s. 1611, præmis 39, og generaladvokat Kokotts forslag til afgørelse i sagen Satakunnan Markkinapörssi og Satamedia, punkt 38.

( 84 ) – Dom af 15.2.2012, sag C-360/10, SABAM mod Netlog, præmis 48.

( 85 ) – FN's Menneskerettighedsråd, rapport af 16.5.2011 fra den særlige rapportør om fremme og beskyttelse af retten til menings- og ytringsfrihed, Frank La Rue (Dokument A/HRC/17/27).

( 86 ) – Jf. dommen i sagen Satakunnan Markkinapörssi og Satamedia, præmis 60.

( 87 ) – Det bør her erindres, at undtagelsen i direktivets artikel 9 vedrørende journalistisk virksomhed »ikke kun [finder] anvendelse på medieselskaber, men også på enhver person, som udøver journalistisk virksomhed«, jf. dommen i sagen Satakunnan Markkinapörssi og Satamedia, præmis 58.

( 88 ) – Den Europæiske Menneskerettighedsdomstols dom i sagen Times Newspapers Ltd mod Det Forenede Kongerige (nr. 1 og 2), præmis 45.

( 89 ) – Jf. dom af 24.11.2011, sag C-70/10, Scarlet Extended, Sml. s. 11959, præmis 46, og dommen i sagen SABAM mod Netlog, præmis 44.

( 90 ) – Jf. desuden dom af 18.3.20190, forenede sager C-317/08 - C-320/08, Alassini m.fl., Sml., I, s. 2213, præmis 63, hvor Domstolen fastslog, at »[d]et følger […] af fast retspraksis, at de grundlæggende rettigheder ikke skal betragtes som absolutte rettigheder, men kan underlægges begrænsninger, forudsat at disse faktisk er nødvendige for at tilgodese de almene hensyn, som den omhandlede foranstaltning forfølger, og forudsat at begrænsningerne ikke, når henses til deres formål, indebærer et uforholdsmæssigt og uantageligt indgreb over for det centrale indhold af de beskyttede rettigheder (jf. i denne retning dom af 15.6.2006, sag C-28/05, Doktor m.fl., Sml. I, s. 5431, præmis 75 og den deri nævnte praksis, samt Den Europæiske Menneskerettighedsdomstols dom af 21.1.2001, Fogarty mod Det Forenede Kongerige, nr. 37112/97, Reports of Judgments and Decisions 2001-XI, præmis 33)«.

( 91 ) – Dommens præmis 50.

( 92 ) – Nævnt ovenfor.

( 93 ) – Vedrørende retten til at modtage information jf. Den Europæiske Menneskerettighedsdomstols dom af 26.11.1991, Observer og Guardian mod Det Forenede Kongerige, serie A, nr. 216, præmis 60, og af 27.11.2007, Timpul Infor-Magazin og Anghel mod Moldova, nr. 42864/05, præmis 34.

( 94 ) – Thomas Bowdler (1754-1825) udgav en renset udgave af William Shakespeares værker, som skulle være mere passende læsning for kvinder og børn i det 19. århundrede end den oprindelige udgave.

( 95 ) – Jf. dommen i sagen SABAM mod Netlog, præmis 45-47.

( 96 ) – Jf. mit forslag til afgørelse i sagen L'Oréal m.fl., punkt 155.

( 97 ) – Jf. dommen i sagen SABAM mod Netlog, præmis 48 og 50.

( 98 ) – Artikel 29-gruppen, udtalelse 1/2008, s. 14 og 15.