DOMSTOLENS DOM (Store Afdeling)

5. juni 2018 ( *1 )

»Præjudiciel forelæggelse – direktiv 95/46/EF – personoplysninger – beskyttelse af fysiske personer i forbindelse med behandling af disses oplysninger – påbud om deaktivering af en side på Facebook (fanside), som gør det muligt at indsamle og behandle visse oplysninger om brugerne af denne side – artikel 2, litra d) – den registeransvarlige for behandlingen af personoplysninger – artikel 4 – anvendelig national ret – artikel 28 – nationale tilsynsmyndigheder – myndighedernes beføjelser til at gribe ind«

I sag C-210/16,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) ved afgørelse af 25. februar 2016, indgået til Domstolen den 14. april 2016, i sagen

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

mod

Wirtschaftsakademie Schleswig-Holstein GmbH,

procesdeltagere:

Digital Rights Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

har

DOMSTOLEN (Store Afdeling),

sammensat af præsidenten, K. Lenaerts, vicepræsidenten, A. Tizzano (refererende dommer), afdelingsformændene M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský og E. Levits samt dommerne E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras og E. Regan,

generaladvokat: Y. Bot

justitssekretær: fuldmægtig C. Strömholm,

på grundlag af den skriftlige forhandling og efter retsmødet den 27. juni 2017,

efter at der er afgivet indlæg af:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ved Rechtsanwälte U. Karpenstein og M. Kottmann,

Wirtschaftsakademie Schleswig-Holstein GmbH ved Rechtsanwalt C. Wolff,

Facebook Ireland Ltd ved Rechtsanwälte C. Eggers, H.-G. Kamann og M. Braun samt ved avvocato I. Perego,

den tyske regering ved J. Möller, som befuldmægtiget,

den belgiske regering ved L. Van den Broeck, C. Pochet, P. Cottin og J.-C. Halleux, som befuldmægtigede,

den tjekkiske regering ved M. Smolek, J. Vláčil og L. Březinová, som befuldmægtigede,

Irland ved M. Browne, L. Williams, E. Creedon, G. Gilmore og A. Joyce, som befuldmægtigede,

den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato P. Gentili,

den nederlandske regering ved C.S. Schillemans og M.K. Bulterman, som befuldmægtigede,

den finske regering ved J. Heliskoski, som befuldmægtiget,

Europa-Kommissionen ved H. Krämer og D. Nardi, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 24. oktober 2017,

afsagt følgende

Dom

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (den regionale databeskyttelsesmyndighed i Schleswig-Holstein, Tyskland) (herefter »ULD«) og Wirtschaftsakademie Schleswig-Holstein GmbH, som er en privatretlig organiseret uddannelsesvirksomhed (herefter »Wirtschaftsakademie«), vedrørende lovligheden af et påbud fra ULD rettet til sidstnævnte om deaktivering af en fanside på det sociale netværk Facebook (herefter »Facebook«).

Retsforskrifter

EU-retten

3

I 10., 18., 19. og 26. betragtning til direktiv 95/46 er anført:

»(10)

Medlemsstaternes lovgivning om behandling af personoplysninger skal sikre overholdelsen af de grundlæggende rettigheder og frihedsrettigheder, navnlig den ret til privatlivets fred, der er fastslået i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder og i [EU-rettens] generelle principper; af denne grund må en indbyrdes tilnærmelse af lovgivningerne ikke medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i [Unionen].

[...]

(18)

For at forhindre, at en person unddrages den beskyttelse, der sikres ved dette direktiv, skal enhver behandling af personoplysninger inden for [Unionen] være i overensstemmelse med lovgivningen i en af medlemsstaterne; med henblik herpå bør enhver behandling af oplysninger være underkastet lovgivningen i den medlemsstat, hvor den registeransvarlige, under hvis myndighed behandlingen udføres, er etableret.

(19)

Ved etablering på en medlemsstats område forstås faktisk udøvelse af aktiviteter gennem en mere permanent struktur; den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse; en registeransvarlig, som er etableret på flere medlemsstaters område, især i form af datterselskaber, skal, navnlig for at undgå omgåelse, sikre sig, at hver enkelt struktur opfylder kravene i den gældende nationale lovgivning.

[...]

(26)

Beskyttelsesprincipperne skal gælde enhver oplysning om en identificeret eller identificerbar person; for at afgøre, om en person er identificerbar, tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person; beskyttelsesprincipperne gælder ikke oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres; […]«

4

Artikel 1 i direktiv 95/46 med overskriften »Direktivets formål« bestemmer:

»1.   Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

2.   Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.«

5

Dette direktivs artikel 2 med overskriften »Definitioner« har følgende ordlyd:

»I dette direktiv forstås ved:

[...]

b)

»behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse

[...]

d)

»den registeransvarlige« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved nationale love eller forskrifter eller på [EU-plan], kan den registeransvarlige, eller de specifikke kriterier for udpegelse af denne, angives i den pågældende nationale ret eller i [EU-retten]

e)

»registerfører« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne

f)

»tredjemand« enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den registeransvarlige, registerføreren og de personer under den registeransvarliges eller registerførerens direkte myndighed, der er beføjet til at behandle oplysningerne

[...]«

6

Artikel 4 i det nævnte direktiv med overskriften »Gældende national ret« bestemmer i stk. 1:

»Medlemsstaterne anvender de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger:

a)

der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret; en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning

b)

der foretages af en registeransvarlig, der ikke er etableret på den pågældende medlemsstats område, men på et sted, hvor dens nationale lovgivning gælder i henhold til folkeretten

c)

der foretages af en registeransvarlig, der ikke er etableret på [Unionens] område, og som med henblik på behandling af personoplysninger anvender midler, det være sig elektroniske eller ikke-elektroniske, som befinder sig på den pågældende medlemsstats område, medmindre disse midler kun benyttes med henblik på forsendelse gennem [Unionens] område.«

7

Artikel 17 i direktiv 95/46, der har overskriften »Behandlingssikkerhed«, bestemmer i stk. 1 og 2:

»1.   Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelser af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

Disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes.

2.   Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, hvis oplysninger behandles for dennes regning, skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes, og skal påse, at disse foranstaltninger overholdes.«

8

I direktivets artikel 24 med overskriften »Sanktioner« bestemmes det:

»Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang, og de fastsætter bl.a. de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til dette direktivs gennemførelse.«

9

Direktivets artikel 28 med overskriften »Tilsynsmyndighed« har følgende ordlyd:

»1.   Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.

Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem.

2.   Hver medlemsstat drager omsorg for, at tilsynsmyndighederne høres ved udarbejdelsen af administrative foranstaltninger eller retsforskrifter om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger.

3.   Hver tilsynsmyndighed skal bl.a. kunne:

iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver

gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner

indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.

[...]

6.   Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.

Tilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle nyttige oplysninger.

[...]«

Tysk ret

10

§ 3, stk. 7 i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) i den affattelse, der finder anvendelse i hovedsagen (herefter »BDSG«), har følgende ordlyd:

»Ved ansvarligt organ forstås enhver person eller ethvert organ, der selv eller gennem tredjemand som registerfører indsamler, behandler eller anvender personoplysninger.«

11

BDSG’s § 11 med overskriften »Indsamling, behandling eller anvendelse af personoplysninger af tredjemand som registerfører« har følgende ordlyd:

»1.   Hvis personoplysninger indsamles, behandles eller anvendes af andre organer som registerfører, er den registeransvarlige ansvarlig for overholdelsen af bestemmelserne i denne lov og af andre bestemmelser om databeskyttelse. [...]

2.   Registerføreren skal nøje udvælges under særlig hensyntagen til de fornødne tekniske og organisatoriske foranstaltninger, den pågældende har iværksat. Opdraget skal tildeles skriftligt, og følgende skal nærmere fastlægges: [...]

Den registeransvarlige skal sikre sig, at de fornødne tekniske og organisatoriske foranstaltninger, som registerføreren har iværksat, overholdes, inden behandlingen af personoplysninger påbegyndes, og derefter med jævne mellemrum. Resultatet skal registreres.

[...]«

12

BDGS’s § 38, stk. 5, har følgende ordlyd:

»Med henblik på overholdelse af nærværende lov og andre bestemmelser om databeskyttelse kan tilsynsmyndigheden iværksætte foranstaltninger til at afhjælpe overtrædelser konstateret i forbindelse med indsamling, behandling eller brug af personoplysninger eller tekniske eller organisatoriske overtrædelser. I tilfælde af alvorlige overtrædelser, navnlig når disse udgør en særlig fare for retten til privatlivets fred, kan tilsynsmyndigheden forbyde indsamling, behandling eller brug, eller endda indlede visse procedurer, når overtrædelserne ikke afhjælpes rettidigt i strid med det i første punktum nævnte påbud og trods anvendelsen af en bødestraf. Tilsynsmyndigheden kan henvise sagen til databeskyttelsesagenturet, hvis den ikke har den fornødne ekspertise til at udføre disse opgaver.«

13

Artikel 12 i Telemediengesetz (lov om elektroniske medier) af 26. februar 2007 (BGBl. 2007 I, s. 179, herefter »TMG«) har følgende ordlyd:

»1.   Tjenesteudbyderen må udelukkende indsamle og anvende personoplysninger med henblik på tilrådighedsstillelse for elektroniske medier, hvis nærværende lov eller andre retlige bestemmelser, der specifikt omhandler elektroniske medier, giver tilladelse hertil, eller hvis brugeren har givet samtykke hertil.

[...]

3.   Medmindre andet er fastsat, finder den gældende lovgivning om beskyttelse af personoplysninger anvendelse, selv om de pågældende data ikke behandles elektronisk.«

Tvisten i hovedsagen og de præjudicielle spørgsmål

14

Wirtschaftsakademie udbyder uddannelse via en fanside på Facebook.

15

Fansider er særlige brugerkonti, som kan konfigureres på Facebook af privatpersoner eller virksomheder. Administratoren af en fanside skal lade sig registrere hos Facebook og kan derefter benytte den platform, som Facebook driver, til at præsentere sig for brugerne af det sociale netværk og af denne platform og udbrede meddelelser af enhver art på medie- og opinionsmarkedet. Administratorer af fansider kan ved hjælp af et værktøj kaldet Facebook-Insights, som Facebook gratis stiller til rådighed på faste betingelser for anvendelsen, modtage anonyme statistiske oplysninger om brugerne af disse sider. Disse oplysninger indsamles ved hjælp af cookies, som hver indeholder en unik brugerkode, som virker i to år, og som Facebook gemmer på brugerens harddisk eller andet medium, når vedkommende besøger fansiden. Brugerkoden, som kan kædes sammen med forbindelsesdata for brugere, som er registreret på Facebook, indsamles og behandles, når fansiderne åbnes. I denne henseende fremgår det af forelæggelsesafgørelsen, at hverken Wirtschaftsakademie eller Facebook Ireland Ltd oplyste om lagringen af en cookie og måden, hvorpå denne cookie fungerer, eller om den efterfølgende behandling af personoplysninger, i det mindste ikke i den for hovedsagen relevante periode.

16

Ved afgørelse af 3. november 2011 (herefter »den anfægtede afgørelse«) gav ULD i sin egenskab af tilsynsmyndighed som omhandlet i artikel 28 i direktiv 95/46, der har til opgave i delstaten Schleswig-Holsten (Tyskland) at påse overholdelsen af de bestemmelser, Forbundsrepublikken Tyskland har vedtaget til gennemførelse af dette direktiv, Wirtschaftsakademie et påbud i henhold til BDSG’s § 38, stk. 5, første punktum, om at deaktivere den fanside, som selskabet havde oprettet på Facebook på adressen www.facebook.com/wirtschaftsakademie, idet manglende efterlevelse heraf inden den relevante frist ville medføre tvangsbod, med den begrundelse, at hverken Wirtschaftsakademie eller Facebook underrettede brugerne af fansiden om, at Facebook indsamlede deres personoplysninger ved hjælp af cookies, og at de efterfølgende behandlede disse oplysninger. Wirtschaftsakademie påklagede afgørelsen og gjorde i det væsentlige gældende, at virksomheden, for så vidt angår den gældende lovgivning om databeskyttelse, hverken var ansvarlig for Facebooks behandling af de pågældende data eller dennes installation af cookies.

17

Ved afgørelse af 16. december 2011 afviste ULD klagen med den begrundelse, at Wirtschaftsakademies ansvar som tjenesteudbyder fulgte af TMG’s § 3, stk. 3, nr. 4, og § 12, stk. 1, sammenholdt med BDSG’s § 3, stk. 7. ULD anførte, at Wirtschaftsakademie ved at oprette fansiden aktivt og frivilligt bidrager til Facebooks indsamling af personoplysninger om brugerne af denne fanside, som selskabet har gavn af gennem den statistik, som Facebook stiller til rådighed.

18

Wirtschaftsakademie anlagde sag til prøvelse af afgørelsen ved Verwaltungsgericht (forvaltningsdomstol, Tyskland) og gjorde gældende, at Facebooks behandling af personoplysninger ikke kunne tilskrives Wirtschaftsakademie, og at virksomheden heller ikke, efter betydningen i BDSG’s § 11, havde pålagt Facebook at udføre en databehandling, som den kunne kontrollere eller påvirke. Wirtschaftsakademie udledte heraf, at ULD skulle have truffet en afgørelse direkte i forhold til Facebook og ikke have vedtaget den anfægtede afgørelse over for Wirtschaftsakademie.

19

Ved dom af 9. oktober 2013 annullerede Verwaltungsgericht (forvaltningsdomstol) den anfægtede afgørelse med den begrundelse, at da administratoren af en fanside på Facebook ikke er et ansvarligt organ som omhandlet i BDSG’s § 3, stk. 7, kan Wirtschaftsakademie således ikke være adressat for en foranstaltning i henhold til BDSG’s § 38, stk. 5.

20

Oberverwaltungsgericht (appeldomstol i forvaltningsretlige sager, Tyskland) forkastede ULD’s appel til prøvelse af denne dom som ugrundet. Retten anførte i det væsentlige, at forbuddet mod databehandling i den anfægtede afgørelse var ulovligt, eftersom BDSG’s § 38, stk. 5, andet punktum, fastsætter en trinvis fremgangsmåde, hvis første fase udelukkende giver mulighed for at træffe foranstaltninger til afhjælpning af overtrædelser konstateret i forbindelse med databehandlingen. Et øjeblikkeligt forbud mod databehandling kan kun komme på tale, hvis proceduren for databehandling som helhed er ulovlig, og den angivelige overtrædelse kun kan bringes til ophør ved at indstille databehandlingen. Dette var dog ifølge Oberverwaltungsgericht (appeldomstol i forvaltningsretlige sager) ikke tilfældet i den foreliggende sag, idet Facebook havde mulighed for at bringe de af ULD hævdede overtrædelser til ophør.

21

Oberverwaltungsgericht (appeldomstol i forvaltningsretlige sager) tilføjede, at den anfægtede afgørelse tillige var ulovlig af den grund, at et påbud i henhold til BDSG’s § 38, stk. 5, alene kan udstedes i forhold til et ansvarligt organ som omhandlet i BDSG’s § 3, stk. 7, hvilket Wirtschaftsakademie ikke er for så vidt angår de af Facebook indsamlede oplysninger. Det er udelukkende Facebook, der træffer afgørelse om formålet med og hjælpemidlerne til indsamling og behandling af personoplysninger i forbindelse med Facebook Insight-funktionen, hvorimod Wirtschaftsakademie alene modtager anonymiserede statistiske oplysninger.

22

ULD har iværksat revisionsanke til Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) og bl.a. påberåbt sig en tilsidesættelse af BDSG’s § 38, stk. 5, og adskillige procedurefejl, som behæfter appelrettens afgørelse. ULD er af den opfattelse, at Wirtschaftsakademies overtrædelse skyldes, at virksomheden har givet en leverandør, i den foreliggende sag Facebook Ireland, der er uegnet, for så vidt som selskabet ikke overholder den gældende lovgivning om databeskyttelse, ansvar for at oprette, hoste og vedligeholde en hjemmeside. Det påbud om deaktivering af fansiden, som blev pålagt Wirtschaftsakademie ved den anfægtede afgørelse, skal således afhjælpe denne overtrædelse ved at forbyde virksomheden fortsat at bruge Facebooks infrastruktur som teknisk base for sin hjemmeside.

23

Som Oberverwaltungsgericht (appeldomstol i forvaltningsretlige sager) er også Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager) af den opfattelse, at Wirtschaftsakademie ikke selv kan anses for registeransvarlig som omhandlet i BDSG’s § 3, stk. 7, eller i artikel 2, litra d), i direktiv 95/46. Imidlertid finder Bundesverwaltungsgericht, at dette begreb i princippet skal fortolkes udvidende af hensyn til en effektiv beskyttelse af retten til privatlivets fred, hvilket Domstolen tillige har anerkendt i sin seneste retspraksis på området. Bundesverwaltungsgericht er desuden i tvivl om, hvilke beføjelser ULD har i den foreliggende sag i forhold til Facebook Germany, da den ansvarlige for indsamling og behandling af personoplysninger inden for Facebook-koncernen i EU er Facebook Ireland. Endelig er den i tvivl om, hvilken indvirkning den vurdering af den omhandlede databehandlings lovlighed, som er foretaget af den tilsynsmyndighed, Facebook Ireland henhører under, har i forhold til ULD’s beføjelser til at gribe ind.

24

På denne baggrund har Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager) besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Skal artikel 2, litra d), i direktiv 95/46 fortolkes således, at den endeligt og udtømmende regulerer ansvaret for brud på datasikkerheden, eller bliver der inden for rammerne af »de fornødne foranstaltninger« i henhold til [direktivets] artikel 24 [...] og [af beføjelser til at kunne] »gribe effektivt ind« i henhold til [direktivets] artikel 28, stk. 3, andet led, i flertrins informationsudbyderforhold plads til et ansvar for et organ, som ikke er ansvarligt for databehandling i den betydning, hvori udtrykket er anvendt i [direktivets] artikel 2, litra d), [...] ved valget af en registerfører til dets informationsudbud?

2)

Kan det af medlemsstaternes forpligtelse i henhold til artikel 17, stk. 2, i direktiv 95/46 til at fastsætte i forbindelse med databehandling ved en registerfører, at »den registeransvarlige skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes«, omvendt sluttes, at der ved andre udbyder/bruger-relationer, som ikke er forbundet med databehandling ved en registerfører som omhandlet i [direktivets] artikel 2, litra e), [...], ikke består nogen forpligtelse til at foretage et omhyggeligt valg, og at det heller ikke kan begrundes efter national ret?

3)

Er en tilsynsmyndighed i en medlemsstat (i det foreliggende tilfælde Tyskland) i tilfælde, hvor en moderkoncern, som er hjemmehørende uden for Den Europæiske Union, driver juridisk selvstændige virksomheder (datterselskaber) i forskellige medlemsstater, kompetent i henhold til artikel 4, og artikel 28, stk. 6, i direktiv 95/46 til at udøve de beføjelser, der tillægges den i overensstemmelse med artikel 28, stk. 3, [heri] over for en virksomhed, der ligger på medlemsstatens eget område, også i det tilfælde, hvor denne virksomhed udelukkende har til opgave at reklamere og sælge reklameplads og øvrige marketingforanstaltninger rettet mod indbyggerne i denne medlemsstat, mens den selvstændige virksomhed (det datterselskab), der ligger i en anden medlemsstat (i det foreliggende tilfælde Irland), ifølge koncernens interne opgavefordeling er eneansvarlig for indsamling og behandling af personoplysninger på hele EU’s område og dermed også i den anden medlemsstat (i det foreliggende tilfælde Tyskland), når afgørelsen om databehandling rent faktisk træffes af moderkoncernen?

4)

Skal artikel 4, stk. 1, litra a), og artikel 28, stk. 3, i direktiv 95/46 fortolkes således, at i tilfælde, hvor den registeransvarlige er ejer af en virksomhed på én medlemsstats område (i det foreliggende tilfælde Irland), og der findes en yderligere juridisk selvstændig virksomhed på en anden medlemsstats område (i det foreliggende tilfælde Tyskland), som bl.a. har til opgave at sælge reklameplads, og hvis aktivitet er rettet mod indbyggerne i denne stat, kan den kompetente tilsynsmyndighed i denne anden medlemsstat (i det foreliggende tilfælde Tyskland) også rette foranstaltninger og påbud til gennemførelse af reglerne om databeskyttelse mod den anden virksomhed, som ifølge den koncerninterne opgave- og ansvarsfordeling ikke er ansvarlig for databehandling (i det foreliggende tilfælde i Tyskland), eller kan der i så fald kun træffes foranstaltninger og gives påbud af tilsynsmyndigheden i den medlemsstat (i det foreliggende tilfælde Irland), på hvis område det koncerninterne ansvarlige organ har sit hjemsted?

5)

Skal artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46 fortolkes således, at i tilfælde, hvor tilsynsmyndigheden i en medlemsstat (i det foreliggende tilfælde Tyskland) i henhold til [direktivets] artikel 28, stk. 3, [...] rejser krav mod en person eller et organ, som er aktiv(t) på denne stats område, på grund af manglende omhu ved valget af en tredjemand, som er involveret i databehandlingsprocessen (i det foreliggende tilfælde Facebook), fordi denne tredjemand overtræder reglerne om databeskyttelse, er den tilsynsmyndighed, der griber ind (i det foreliggende tilfælde Tyskland), da bundet til den databeskyttelsesretlige vurdering hos tilsynsmyndigheden i den anden medlemsstat, hvor den for databehandlingen ansvarlige tredjemand har sin virksomhed (i det foreliggende tilfælde Irland), i den forstand, at den ikke må foretage en herfra afvigende retlig vurdering, eller kan den indgribende tilsynsmyndighed (i det foreliggende tilfælde Tyskland) foretage en selvstændig undersøgelse af lovligheden af den databehandling, som udføres af den tredjemand, der er etableret i en anden medlemsstat (i det foreliggende tilfælde Irland), som et indledende spørgsmål vedrørende dens egen indgriben?

6)

For så vidt som den indgribende tilsynsmyndighed (i det foreliggende tilfælde Tyskland) kan foretage en selvstændig efterprøvelse: Skal artikel 28, stk. 6, andet punktum, i direktiv 95/46 fortolkes således, at denne tilsynsmyndighed først må udøve de beføjelser, som er tillagt den i henhold til direktivets artikel 28, stk. 3, [...], til at gribe effektivt ind over for en person eller et organ, der er etableret på denne stats område, på grund af medansvar for brud på datasikkerheden, som er begået af en i en anden medlemsstat etableret tredjemand, når og kun når den på forhånd har anmodet tilsynsmyndigheden i denne anden medlemsstat (i det foreliggende tilfælde Irland) om at måtte udøve sine beføjelser?«

Om de præjudicielle spørgsmål

Om det første og det andet spørgsmål

25

Med det første og det andet præjudicielle spørgsmål, der bør besvares samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 2, litra d), artikel 17, stk. 2, artikel 24 og artikel 28, stk. 3, andet led, i direktiv 95/46 skal fortolkes således, at de giver mulighed for at holde et organ, der administrerer en fanside på et socialt netværk, ansvarligt i tilfælde af overtrædelse af bestemmelserne om beskyttelse af personoplysninger som følge af dette organs beslutning om at anvende det sociale netværk til sit informationsudbud.

26

Med henblik på at besvare disse spørgsmål skal det bemærkes, at det fremgår af artikel 1, stk. 1, og tiende betragtning til direktiv 95/46, at direktivet har til formål at sikre et højt beskyttelsesniveau af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger (dom af 11.12.2014, Ryneš, C-212/13, EU:C:2014:2428, præmis 27 og den deri nævnte retspraksis).

27

I overensstemmelse med dette formål definerer direktivets artikel 2, litra d), begrebet »den registeransvarlige« bredt som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

28

Som Domstolen allerede har fastslået, er formålet med denne bestemmelse at sikre en effektiv og fuldstændig beskyttelse af de berørte personer ved at fastsætte en bred definition af begrebet »ansvarlig« (dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 34).

29

Da det desuden er udtrykkeligt bestemt i artikel 2, litra d), i direktiv 95/46, at begrebet »registeransvarlig« omfatter det organ, der »alene eller sammen med andre« afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, henviser dette begreb ikke nødvendigvis til et enkelt organ og kan vedrøre flere aktører, som deltager i denne behandling, og derfor er de alle undergivet de anvendelige bestemmelser om databeskyttelse.

30

I den foreliggende sag skal Facebook Inc. og – for så vidt angår EU Facebook Ireland – anses for de organer, der primært afgør, til hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger om Facebook-brugerne og de personer, som har konsulteret fansider på Facebook, og Facebook Inc. og Facebook Ireland er således omfattet af begrebet »registeransvarlig« som omhandlet i artikel 2, litra d), i direktiv 95/46, hvilket ikke er blevet bestridt i nærværende sag.

31

For at besvare de forelagte spørgsmål, må det dog prøves, om og i hvilket omfang administratoren af en fanside på Facebook, såsom Wirtschaftsakademie, med denne fanside bidrager til sammen med Facebook Ireland og Facebook Inc. at afgøre, til hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger om brugerne af denne fanside, og dermed også kan anses for »registeransvarlig« som omhandlet i artikel 2, litra d), i direktiv 95/46.

32

I denne henseende fremgår det, at enhver person, som ønsker at oprette en fanside på Facebook, indgår en særlig aftale med Facebook Ireland om oprettelsen af en sådan side og i den forbindelse underskriver vilkårene for brug af denne side, herunder den hertil knyttede politik vedrørende cookies, hvilket det tilkommer den nationale ret at efterprøve.

33

Som det fremgår af de for Domstolen forelagte sagsakter, sker den pågældende behandling af personoplysninger i det væsentlige ved, at Facebook placerer cookies på brugerens computer eller ethvert andet medium, når vedkommende besøger fansiden, med henblik på at lagre oplysninger om internetbrowserne, og disse cookies er aktive i to år, hvis ikke de slettes. Det fremgår ligeledes, at Facebook i praksis modtager, gemmer og behandler de oplysninger, som er lagret i cookierne, bl.a. når en person besøger »Facebook-tjenester, tjenester, der leveres af andre Facebook-virksomheder, og tjenester, der leveres af andre virksomheder, der bruger Facebook-tjenesterne«. Desuden kan andre enheder såsom Facebook-partnere eller endog tredjemænd »bruge cookies i Facebook-tjenesterne til at levere tjenester [direkte til dette netværk] og de virksomheder, der annoncerer på Facebook«.

34

Behandlingen af personoplysninger skal bl.a. gøre det muligt dels for Facebook at forbedre sit reklamesystem, som det spreder gennem sit netværk, dels for administratoren af en fanside at opnå de statistikker, som Facebook udarbejder på grundlag af besøgene på denne side, med henblik på at reklamere for sin aktivitet, hvilket giver mulighed for at få kendskab til f.eks. profilen på brugerne, som kan lide fansiden, eller som benytter dens applikationer, således at administratoren kan tilbyde dem et mere relevant indhold og udvikle funktioner, som de kunne være mere interesserede i.

35

Selv om den omstændighed alene at benytte et socialt netværk som Facebook ikke gør en Facebook-bruger medansvarlig for dette netværks behandling af personoplysninger, skal det imidlertid bemærkes, at administratoren af en fanside på Facebook ved at oprette en sådan side giver Facebook mulighed for at placere cookies på brugerens computer eller ethvert andet medium, når vedkommende besøger fansiden, uanset om denne person har en Facebook-konto.

36

I denne sammenhæng fremgår det af de for Domstolen fremlagte oplysninger, at oprettelsen af en fanside på Facebook indebærer, at administratoren foretager en indstilling, som er afhængig af bl.a. målgruppen samt målene for forvaltning af og reklame for sine aktiviteter, og som har indflydelse på behandlingen af personoplysningerne med henblik på udarbejdelsen af statistikker på grundlag af besøgene på fansiden. Denne administrator kan ved hjælp af de filtre, som Facebook stiller til rådighed, definere de kriterier, som statistikkerne skal udarbejdes på grundlag af, og angive de kategorier af personer, som Facebook skal indsamle personoplysninger om. Følgelig bidrager administratoren af en fanside på Facebook til behandlingen af personoplysninger om brugerne af dennes side.

37

Administratoren af en fanside kan især anmode om at modtage – og dermed, at der behandles – demografiske oplysninger om målgruppen, bl.a. tendenser for så vidt angår alder, køn, forholdsstatus og arbejde, oplysninger om målgruppens livsstil og interesseområder og oplysninger om brugerne af sidens køb og købsadfærd online, kategorier af varer eller tjenesteydelser, der interesserer målgruppen mest, og geografiske oplysninger, som gør det muligt for fansidens administrator at foretage specifikke salgsfremstød eller arrangere begivenheder eller mere generelt bedre at målrette sit informationsudbud.

38

Selv om det er korrekt, at de af Facebook udarbejdede statistikker om målgruppen alene videregives til fansidens administrator i anonymiseret form, er udarbejdelsen af disse statistikker ikke desto mindre baseret på den forudgående indsamling af brugernes personoplysninger ved hjælp af cookies, som Facebook har installeret i brugernes computer eller ethvert andet medium, når de besøger fansiden, og behandlingen af deres personoplysninger i statistisk øjemed. Når flere operatører har et fælles ansvar for den samme behandling, kræver direktiv 95/46 under alle omstændigheder ikke, at hver enkelt har adgang til de pågældende personoplysninger.

39

Under disse omstændigheder må det antages, at administratoren af en fanside på Facebook, såsom Wirtschaftsakademie, bidrager til at afgøre, til hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger om brugerne af fansiden, ved at foretage indstillinger afhængigt af bl.a. målgruppen samt målene for forvaltning af og reklame for sine aktiviteter. Af denne grund skal administratoren sammen med Facebook Ireland i denne sag kvalificeres som registeransvarlig inden for EU som omhandlet i artikel 2, litra d), i direktiv 95/46.

40

Den omstændighed, at administratoren af en fanside bruger Facebooks platform og anvender de tjenester, der knytter sig hertil, fritager ikke administratoren for vedkommendes forpligtelser med hensyn til beskyttelse af personoplysninger.

41

Det skal endvidere fremhæves, at fansiderne på Facebook ligeledes kan besøges af personer, som ikke er Facebook-brugere, og som dermed ikke har en brugerkonto på dette netværk. I dette tilfælde synes administratoren af en fansides ansvar for behandlingen af disse personers personoplysninger endnu vigtigere, da brugernes blotte konsultation af fansiden automatisk udløser en behandling af deres personoplysninger.

42

Under disse omstændigheder bidrager anerkendelsen af, at den virksomhed, som driver et socialt netværk, og administratoren af en fanside på dette netværk har et fælles ansvar i forbindelse med behandlingen af brugerne af denne fansides personoplysninger til at sikre en mere fuldstændig beskyttelse af de rettigheder, som brugerne af sådanne sider har, i overensstemmelse med kravene i direktiv 95/46.

43

Som anført af generaladvokaten i punkt 75 og 76 i forslaget til afgørelse, skal det dog præciseres, at tilstedeværelsen af et fælles ansvar ikke nødvendigvis indebærer, at de forskellige operatører, som er omfattet af en behandling af personoplysninger, har samme ansvar. De forskellige operatører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen.

44

Henset til ovenstående betragtninger skal det første og det andet spørgsmål besvares med, at artikel 2, litra d), i direktiv 95/46 skal fortolkes således, at begrebet »registeransvarlig« som omhandlet i denne bestemmelse omfatter administratoren af en fanside på et socialt netværk.

Om det tredje og det fjerde spørgsmål

45

Med det tredje og det fjerde spørgsmål, som bør behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 4 og 28 i direktiv 95/46 skal fortolkes således, at i tilfælde, hvor et selskab, som er etableret uden for Unionen, har flere virksomheder eller organer i forskellige medlemsstater, er tilsynsmyndigheden i en medlemsstat kompetent til at udøve de beføjelser, der tillægges den i overensstemmelse med direktivets artikel 28, stk. 3, over for en virksomhed eller et organ, der er beliggende på denne medlemsstats område, selv om på den ene side denne virksomhed eller dette organ ifølge koncernens interne opgavefordeling udelukkende har til opgave at sælge annonceplads og varetage øvrige marketingforanstaltninger på denne medlemsstats område, mens eneansvaret for indsamling og behandling af personoplysninger på hele EU’s område på den anden side tilkommer en virksomhed eller et organ, som er beliggende i en anden medlemsstat, eller om det er tilsynsmyndigheden i den sidste medlemsstat, som skal udøve sine beføjelser over for sidstnævnte virksomhed eller organ.

46

ULD og den italienske regering har udtrykt tvivl med hensyn til, hvorvidt disse spørgsmål kan antages til realitetsbehandling, idet de ikke er relevante for afgørelsen af tvisten i hovedsagen. Adressaten for den anfægtede afgørelse er Wirtschaftsakademie og berører hverken Facebook Inc. eller nogen af dets filialer på EU’s område.

47

Det skal i denne forbindelse bemærkes, at det inden for rammerne af det samarbejde, der i henhold artikel 267 TEUF er indført mellem Domstolen og de nationale retter, udelukkende tilkommer den nationale ret, som tvisten er indbragt for, og som har ansvaret for den retsafgørelse, som skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen. Når de stillede spørgsmål vedrører fortolkningen af EU-retten, er Domstolen derfor principielt forpligtet til at træffe afgørelse herom (dom af 6.9.2016, Petruhhin, C-182/15, EU:C:2016:630, præmis 19 og den deri nævnte retspraksis).

48

I den foreliggende sag bemærkes, at den forelæggende ret har oplyst, at Domstolens besvarelse af det tredje og det fjerde præjudicielle spørgsmål er nødvendig for at kunne træffe afgørelse i hovedsagen. Den har anført, at såfremt det i lyset af denne besvarelse konstateres, at ULD kunne afhjælpe de hævdede tilsidesættelser af retten til beskyttelse af personoplysninger ved at træffe en foranstaltning over for Facebook Germany, kunne en sådan omstændighed medføre, at det må fastslås, at den anfægtede afgørelse er behæftet med et urigtigt skøn, idet foranstaltningen med urette er blevet truffet over for Wirtschaftsakademie.

49

Under disse omstændigheder skal det tredje og det fjerde spørgsmål antages til realitetsbehandling.

50

Med henblik på at besvare disse spørgsmål bemærkes indledningsvis, at hver tilsynsmyndighed i henhold til artikel 28, stk. 1 og 3, i direktiv 95/46 udøver alle de beføjelser, som den er blevet tillagt i henhold til national ret på den medlemsstats område, som den henhører under, med henblik på at sikre overholdelsen på dette område af reglerne vedrørende beskyttelse af personoplysninger (jf. i denne retning dom af 1.10.2015, Weltimmo, C-230/14, EU:C:2015:639, præmis 51).

51

Artikel 4 i direktiv 95/46 regulerer spørgsmålet om gældende national ret i forhold til behandlingen af personoplysninger. I henhold til bestemmelsens stk. 1, litra a), anvender medlemsstaterne de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger, der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret. Bestemmelsen præciserer, at en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning.

52

Det følger af denne bestemmelse, sammenholdt med artikel 28, stk. 1 og 3, i direktiv 95/46, at når national ret i den medlemsstat, hvor tilsynsmyndigheden er beliggende, finder anvendelse i medfør af direktivets artikel 4, stk. 1, litra a), eftersom den omhandlede behandling foretages som led i en registeransvarlig virksomheds eller et registeransvarligt organs aktiviteter på denne medlemsstats område, kan denne tilsynsmyndighed udøve alle de beføjelser, som den er blevet tillagt i henhold til national ret, i forhold til denne virksomhed eller dette organ, uanset om den registeransvarlige ligeledes har virksomheder eller organer i andre medlemsstater.

53

For at afgøre, om en tilsynsmyndighed er kompetent til under omstændigheder som de i hovedsagen foreliggende– i forhold til en virksomhed eller et organ, der er beliggende i den medlemsstat, som myndigheden hører under – at udøve de beføjelser, som den er tillagt i henhold til national ret, skal det prøves, om de to betingelser i artikel 4, stk. 1, litra a), i direktiv 95/46 er opfyldt, nemlig dels om der er tale om en registeransvarlig virksomhed eller organ i denne bestemmelses forstand, dels om behandlingen foretages »som led i [denne] virksomheds eller [dette] organs aktiviteter« i samme bestemmelses forstand.

54

For så vidt angår for det første den betingelse, hvorefter den registeransvarlige skal være etableret i den medlemsstat, hvor den pågældende tilsynsmyndighed er beliggende, bemærkes, at det af 19. betragtning til direktiv 95/46 fremgår, at ved etablering på en medlemsstats område forstås faktisk udøvelse af aktiviteter gennem en mere permanent struktur, og at den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, ikke har afgørende betydning i denne forbindelse (dom af 1.10.2015, Weltimmo, C-230/14, EU:C:2015:639, præmis 28 og den deri nævnte retspraksis).

55

I den foreliggende sag er det ubestridt, at Facebook Inc. som registeransvarlig sammen med Facebook Ireland har et fast forretningssted i Tyskland, nemlig Facebook Germany i Hamborg, og at dette selskab reelt og faktisk udøver virksomhed i denne medlemsstat. Facebook Germany udgør derfor en virksomhed eller et organ som omhandlet i artikel 4, stk. 1, litra a), i direktiv 95/46.

56

Hvad angår for det andet betingelsen, hvorefter behandlingen af personoplysninger skal foretages »som led i [den pågældende virksomheds eller organs] aktiviteter«, bemærkes for det første, at henset til, at formålet med direktiv 95/46 er at sikre en effektiv og fuldstændig beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger, kan udtrykket »som led i en virksomheds eller et organs aktiviteter« ikke fortolkes indskrænkende (dom af 1.10.2015, Weltimmo, C-230/14, EU:C:2015:639, præmis 25 og den deri nævnte retspraksis).

57

Det skal dernæst understreges, at artikel 4, stk. 1, litra a), i direktiv 95/46 ikke kræver, at en sådan behandling foretages »af« selve den berørte virksomhed eller organ, men udelukkende, at behandlingen foretages »som led i [virksomhedens eller organets] aktiviteter« (dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 52).

58

I den foreliggende sag fremgår det af forelæggelsesafgørelsen samt af Facebook Irelands skriftlige indlæg, at Facebook Germany har til opgave at sørge for reklame og salg af annonceplads samt varetagelsen af aktiviteter rettet mod indbyggerne i Tyskland.

59

Som bemærket i nærværende doms præmis 33 og 34, har den i hovedsagen omhandlede behandling af personoplysninger, som foretages af Facebook Inc. sammen med Facebook Ireland, og som består i indsamling af sådanne oplysninger ved hjælp af cookies, som installeres på brugernes computere eller ethvert andet medium, når de besøger fansider på Facebook, navnlig til formål at gøre det muligt for Facebook at forbedre sit reklamesystem for i højere grad at målrette sine meddelelser.

60

Da et socialt netværk som Facebook – som anført af generaladvokaten i punkt 94 i forslaget til afgørelse – genererer størstedelen af sin indtjening fra bl.a. de reklamer, der lægges op på de oprettede websider, og som brugerne kan klikke sig ind på, og da Facebooks virksomhed, som er beliggende i Tyskland, her skal sørge for reklame og salg af annonceplads, som medvirker til at gøre Facebooks ydelser rentable, skal denne virksomheds aktiviteter anses for uløseligt forbundet med den i hovedsagen omhandlede behandling af personoplysninger, som Facebook Inc. sammen med Facebook Ireland er registeransvarlig for. Derfor skal en sådan behandling anses for foretaget som led i en registeransvarlig virksomheds eller et registeransvarligt organs aktiviteter i den forstand, hvori udtrykket er anvendt i artikel 4, stk. 1, litra a), i direktiv 95/46 (jf. i denne retning dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 55 og 56).

61

Heraf følger, at eftersom tysk ret i medfør af artikel 4, stk. 1, litra a), i direktiv 95/46 finder anvendelse på den i hovedsagen omhandlede behandling af personoplysninger, var den tyske tilsynsmyndighed i henhold til direktivets artikel 28, stk. 1, beføjet til at anvende denne ret på nævnte behandling.

62

Følgelig var denne tilsynsmyndighed kompetent til i forhold til Facebook Germany at sikre overholdelse på det tyske område af reglerne om beskyttelse af personoplysninger med alle de beføjelser, som den råder over i henhold til de nationale bestemmelser til gennemførelse af artikel 28, stk. 3, i direktiv 95/46.

63

Det skal endvidere præciseres, at den af den forelæggende ret i tredje spørgsmål fremhævede omstændighed, at strategiske beslutninger med hensyn til indsamling og behandling af personoplysninger vedrørende personer, som har bopæl på Unionens område, træffes af et moderselskab, som er etableret i et tredjeland såsom Facebook Inc. i den foreliggende sag, ikke kan så tvivl om, at tilsynsmyndigheden, som henhører under en medlemsstats lovgivning, er kompetent i forhold til den registeransvarliges virksomhed, som er beliggende på denne medlemsstats område.

64

Henset til det ovenstående skal det tredje og det fjerde spørgsmål besvares med, at artikel 4 og 28 i direktiv 95/46 skal fortolkes således, at i det tilfælde, hvor et selskab, som er etableret uden for Unionen, har flere virksomheder eller organer i forskellige medlemsstater, er tilsynsmyndigheden i en medlemsstat kompetent til at udøve de beføjelser, der tillægges den i overensstemmelse med direktivets artikel 28, stk. 3, over for en af dette selskabs virksomheder eller organer, der er beliggende på denne medlemsstats område, selv om denne virksomhed eller dette organ ifølge koncernens interne opgavefordeling udelukkende har til opgave at sælge annonceplads og varetage øvrige marketingforanstaltninger på denne medlemsstats område, og eneansvaret for indsamling og behandling af personoplysninger på hele EU’s område tilkommer en virksomhed eller et organ, som er beliggende i en anden medlemsstat.

Om det femte og det sjette spørgsmål

65

Med det femte og det sjette spørgsmål, som bør behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46 skal fortolkes således, at når tilsynsmyndigheden i en medlemsstat vil udøve sine beføjelser i direktivets artikel 28, stk. 3, til at gribe ind over for et organ, som er beliggende på denne medlemsstats område, på grund af en tilsidesættelse af bestemmelserne om beskyttelse af personoplysninger begået af en registeransvarlig tredjemand, som er etableret i en anden medlemsstat, er denne tilsynsmyndighed kompetent til – uafhængigt af tilsynsmyndigheden i sidstnævnte medlemsstat – at prøve lovligheden af en sådan databehandling og kan udøve sine beføjelser til at gribe ind over for et organ, som er beliggende på dens område, uden på forhånd at have anmodet tilsynsmyndigheden i den anden medlemsstat om at gribe ind.

66

For at besvare disse spørgsmål bemærkes, således som det fremgår af besvarelsen af det første og det andet spørgsmål, at artikel 2, litra d), i direktiv 95/46 skal fortolkes således, at den giver mulighed for under de i hovedsagen omhandlede omstændigheder at holde et organ som Wirtschaftsakademie, der administrerer en fanside på Facebook, ansvarligt i tilfælde af en tilsidesættelse af bestemmelserne om beskyttelse af personoplysninger

67

Heraf følger, at tilsynsmyndigheden i den medlemsstat, på hvis område dette organ er beliggende, i medfør af artikel 4, stk. 1, litra a), og artikel 28, stk. 1 og 3, i direktiv 95/46 er kompetent til at anvende national ret og dermed til i forhold til nævnte organ at udøve alle de beføjelser, som den er tillagt i henhold til national ret, i overensstemmelse med direktivets artikel 28, stk. 3.

68

Det bestemmes således i direktivets artikel 28, stk. 1, andet afsnit, at de myndigheder, der har til opgave på de medlemsstaters område, hvor de er beliggende, at påse overholdelsen af de bestemmelser, medlemsstaterne vedtager til gennemførelse af dette direktiv, udøver de funktioner, der tillægges dem i fuld uafhængighed. Dette krav fremgår ligeledes af den primære EU-ret, bl.a. af artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 2, TEUF (jf. i denne retning dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 40).

69

Selv om tilsynsmyndighederne ifølge artikel 28, stk. 6, andet afsnit, i direktiv 95/46 samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, bl.a. ved at udveksle alle nyttige oplysninger, er der i dette direktiv hverken fastsat noget prioritetskriterium for en tilsynsmyndigheds indgriben i forhold til de andre eller en forpligtelse for en medlemsstats tilsynsmyndighed til at følge den holdning, som tilsynsmyndigheden i en anden medlemsstat i givet fald har indtaget.

70

Der er således intet, som forpligter en tilsynsmyndighed, hvis kompetence er anerkendt i henhold til national ret, til at antage den løsning, som en anden tilsynsmyndighed har valgt i en tilsvarende situation.

71

I denne henseende bemærkes, at eftersom de nationale tilsynsmyndigheder i overensstemmelse med artikel 8, stk. 3, i chartret om grundlæggende rettigheder og artikel 28 i direktiv 95/46 har til opgave at påse overholdelsen af de EU-retlige regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, er hver af disse derfor blevet tillagt beføjelse til at undersøge, om en behandling af personoplysninger på deres respektive medlemsstaters område overholder de ved direktiv 95/46 fastsatte krav (jf. i denne retning dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 47).

72

Da artikel 28 i direktiv 95/46 efter sin art finder anvendelse på enhver behandling af personoplysninger, selv når der foreligger en afgørelse fra en tilsynsmyndighed i en anden medlemsstat, skal en tilsynsmyndighed, til hvilken en person har indgivet en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger vedrørende den pågældende, i fuld uafhængighed undersøge, om behandlingen af disse oplysninger opfylder de ved direktivet fastsatte krav (jf. i denne retning dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 57).

73

Heraf følger, at i medfør af den ved direktiv 95/46 indførte ordning var ULD i det foreliggende tilfælde beføjet til uafhængigt af den irske tilsynsmyndigheds vurderinger at prøve lovligheden af den i hovedsagen omhandlede databehandling.

74

Følgelig skal det femte og det sjette spørgsmål besvares med, at artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46 skal fortolkes således, at når tilsynsmyndigheden i en medlemsstat vil udøve sine beføjelser i direktivets artikel 28, stk. 3, til at gribe ind over for et organ, som er beliggende på denne medlemsstats område, på grund af en tilsidesættelse af bestemmelserne om beskyttelse af personoplysninger begået af en registeransvarlig tredjemand, som er etableret i en anden medlemsstat, er denne tilsynsmyndighed kompetent til – uafhængigt af tilsynsmyndigheden i sidstnævnte medlemsstat – at prøve lovligheden af en sådan databehandling og kan udøve sine beføjelser til at gribe ind over for et organ, som er beliggende på dens område, uden på forhånd at have anmodet tilsynsmyndigheden i den anden medlemsstat om at gribe ind.

Sagsomkostninger

75

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

 

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

 

1)

Artikel 2, litra d), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at begrebet »registeransvarlig« som omhandlet i denne bestemmelse omfatter administratoren af en fanside på et socialt netværk.

 

2)

Artikel 4 og 28 i direktiv 95/46 skal fortolkes således, at i tilfælde, hvor et selskab, som er etableret uden for Den Europæiske Union, har flere virksomheder eller organer i forskellige medlemsstater, er tilsynsmyndigheden i en medlemsstat kompetent til at udøve de beføjelser, der tillægges den i overensstemmelse med direktivets artikel 28, stk. 3, over for en af dette selskabs virksomheder eller organer, der er beliggende på denne medlemsstats område, selv om denne virksomhed eller dette organ ifølge koncernens interne opgavefordeling udelukkende har til opgave at sælge annonceplads og varetage øvrige marketingforanstaltninger på denne medlemsstats område, og eneansvaret for indsamling og behandling af personoplysninger på hele EU’s område tilkommer en virksomhed eller et organ, som er beliggende i en anden medlemsstat.

 

3)

Artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46 skal fortolkes således, at når tilsynsmyndigheden i en medlemsstat vil udøve sine beføjelser i direktivets artikel 28, stk. 3, til at gribe ind over for et organ, som er beliggende på denne medlemsstats område, på grund af en tilsidesættelse af bestemmelserne om beskyttelse af personoplysninger begået af en registeransvarlig tredjemand, som er etableret i en anden medlemsstat, er denne tilsynsmyndighed kompetent til – uafhængigt af tilsynsmyndigheden i sidstnævnte medlemsstat – at prøve lovligheden af en sådan databehandling og kan udøve sine beføjelser til at gribe ind over for et organ, som er beliggende på dens område, uden på forhånd at have anmodet tilsynsmyndigheden i den anden medlemsstat om at gribe ind.

 

Underskrifter


( *1 ) – Processprog: tysk.