–

Maximilian Schrems ved Rechtsanwältin K. Raabe-Stuppnig,

–

Meta Platforms Ireland Ltd ved Rechtsanwälte K. Hanschitz, H.-G. Kamann, S. Khalil, B. Knötzl og A. Natterer,

–

den østrigske regering ved A. Posch, J. Schmoll, C. Gabauer, G. Kunnert og E. Riedl, som befuldmægtigede,

–

den franske regering ved R. Bénard og A.-L. Desjonquères, som befuldmægtigede,

–

den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato E. De Bonis,

–

den portugisiske regering ved P. Barros da Costa, A. Pimenta, J. Ramos og C. Vieira Guerra, som befuldmægtigede,

–

Europa-Kommissionen ved A. Bouchagiar, F. Erlbacher, M. Heller og H. Kranenborg, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 5, stk. 1, litra b) og c), artikel 6, stk. 1, litra a) og b), artikel 9, stk. 1, og artikel 9, stk. 2, litra e), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1) (herefter »databeskyttelsesforordningen«).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem Maximilian Schrems, der er bruger af det sociale netværk Facebook, og Meta Platforms Ireland Ltd, tidligere Facebook Ireland Ltd, der har hjemsted i Irland, vedrørende dette selskabs angiveligt ulovlige behandling af denne brugers personoplysninger.

3

Følgende fremgår af 1., 4., 39., 42., 43., 50. og 51. betragtning til databeskyttelsesforordningen:

[...]

[...]

[...]

[...]

4

Denne forordnings artikel 4 fastsætter:

»I denne forordning forstås ved:

[...]

[...]

[...]

[...]«

5

Den nævnte forordnings artikel 5 med overskriften »Principper for behandling af personoplysninger« bestemmer følgende i stk. 1 og 2:

»1.   Personoplysninger skal:

[...]

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

6

Samme forordnings artikel 6 med overskriften »Lovlig behandling« er affattet således:

»1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[...]

4.   Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:

7

Databeskyttelsesforordningens artikel 7 med overskriften »Betingelser for samtykke« bestemmer:

»1.   Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

[...]

3.   Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

4.   Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.«

8

Denne forordnings artikel 9 med overskriften »Behandling af særlige kategorier af personoplysninger« fastsætter:

»1.   Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2.   Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

[...]

[...]«

9

Den nævnte forordnings artikel 13 vedrørende »[o]plysningspligt ved indsamling af personoplysninger hos den registrerede« bestemmer følgende:

»1.   Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

[...]

[...]

3.   Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.

[...]«

10

Samme forordnings artikel 25, stk. 2, bestemmer:

»Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.«

11

Meta Platforms Ireland, som forvalter udbuddet af tjenester i det sociale onlinenetværk Facebook i EU, er den dataansvarlige for personoplysninger om brugerne af dette sociale netværk i EU. Selskabet har ikke filialer i Østrig. Meta Platforms Ireland udbyder, bl.a. på adressen www.facebook.com, tjenester, som indtil den 5. november 2023 blev stillet gratis til rådighed for private brugere. Fra den 6. november 2023 er disse tjenester kun fortsat gratis for de brugere, der har accepteret, at deres personoplysninger bliver indsamlet og anvendt til at sende dem personaliserede reklamer, idet brugerne har mulighed for at tegne et betalingsabonnement for at få adgang til en version af disse tjenester uden at modtage målrettet reklame.

12

Den økonomiske model for det sociale onlinenetværk Facebook er baseret på onlinereklamefinansiering, som er målrettet mod den individuelle bruger af det sociale netværk, bl.a. på baggrund af vedkommendes forbrugsmønster, interesser og livssituation. En sådan reklameform er gjort teknisk mulig ved den automatiske oprettelse af detaljerede profiler for brugerne af netværket og af de onlinetjenester, som Meta-koncernen tilbyder.

13

Med henblik på behandling af personoplysninger om brugerne af det sociale netværk Facebook baserer Meta Platforms Ireland sig på den kontrakt om brug, som selskabet indgår med brugerne, når de trykker på knappen »Opret ny profil«, og hvorved de accepterer dette selskabs almindelige tjenestevilkår. På tidspunktet for de faktiske omstændigheder i hovedsagen var det nødvendigt at acceptere disse vilkår for at kunne anvende det sociale netværk Facebook. Hvad angår behandlingen af brugernes personoplysninger henvises der i de almindelige tjenestevilkår til den datapolitik og politik om cookies, som det nævnte selskab har opstillet. I henhold til disse politikker indsamler Meta Platforms Ireland oplysninger om brugerne og deres enheder vedrørende brugernes aktiviteter inden for og uden for det sociale netværk og tilknytter disse oplysninger til de pågældende brugeres Facebook-konti. Oplysningerne vedrørende aktiviteter uden for det sociale netværk (herefter også »off Facebook-oplysningerne«) stammer dels fra besøg på tredjeparters websteder og anvendelse af disses applikationer, som er forbundet med Facebook gennem programmeringsgrænseflader, dels fra brug af andre onlinetjenester, der tilhører Meta-koncernen, herunder bl.a. Instagram og WhatsApp.

14

Før databeskyttelsesforordningens ikrafttræden gav Facebooks brugere udtrykkeligt samtykke til behandlingen af deres oplysninger i overensstemmelse med sagsøgtes tjenestevilkår, som var gældende på dette tidspunkt. Da databeskyttelsesforordningen trådte i kraft den 25. maj 2018, vedtog Meta Platforms Ireland den 19. april 2018 nye tjenestevilkår og udsendte dem til sine brugere til godkendelse. Eftersom Maximilian Schrems’ konto havde været blokeret, accepterede han disse nye tjenestevilkår for fortsat at kunne bruge Facebook. Dette samtykke var nødvendigt for at kunne bevare adgangen til hans konto og anvende de tilknyttede tjenester.

15

Meta Platforms Ireland har indført flere »værktøjer« (tools), der gør det muligt for brugerne at få overblik og kontrol over deres lagrede oplysninger. Ikke alle de behandlede oplysninger er synlige i disse værktøjer, men kun dem, der ifølge selskabet har interesse og er relevante for brugerne. Det er således muligt for den bruger, der anmoder herom, f.eks. at se, at den pågældende har åbnet en applikation via sin Facebook-profil, besøgt et websted, foretaget en bestemt søgning eller et køb eller klikket på en reklame.

16

Meta Platforms Ireland anvender »cookies« (aftryk), »sociale plugins« (sociale tilføjelsesprogrammer) og pixels, således som det fremgår af selskabets tjenestevilkår og retningslinjer. Selskabet kan ved hjælp af »cookies« bestemme kilden til de besøg, der foretages. Hvis disse »cookies« ikke aktiveres, vil en lang række af de tjenester, som Meta Platforms Ireland leverer, ikke kunne anvendes. Facebooks »sociale plugins«»indsættes« af operatører af tredjepartswebsteder på deres sider. Den mest anvendt knap er Facebooks »Synes godt om«-knap. Ved hver søgning på internetsider, der indeholder denne knap, overføres de »cookies«, der er installeret på den anvendte enhed, URL’en på den besøgte side og andre data, såsom IP-adresse eller klokkeslæt, til Meta Platforms Ireland. Med henblik herpå er det ikke nødvendigt, at brugeren klikker på »Synes godt om«-knappen, eftersom den blotte omstændighed, at en internetside med en sådan »plugin« vises, er tilstrækkelig til, at disse data efterfølgende overføres til dette selskab.

17

Det fremgår af forelæggelsesafgørelsen, at der ligeledes findes »plugins« på de politiske partiers internetsider og på de sider, der henvender sig til et homoseksuelt publikum, som Maximilian Schrems har besøgt. Som følge af disse »plugins« kunne Meta Platforms Ireland følge Maximilian Schrems’ adfærd på internettet, hvilket udløste indsamlingen af visse følsomme personoplysninger.

18

I lighed med »social plugins« kan pixels integreres på et websteds sider og gør det muligt at indsamle oplysninger om de brugere, der har besøgt disse sider, med henblik på bl.a. at måle og optimere reklamen herpå. Ved at integrere en Facebook-pixel på deres egne internetsider kan operatørerne heraf indhente rapporter fra Meta Platforms Ireland om antallet af personer, der har set deres reklame på Facebook, og som derefter har besøgt deres egen internetside med henblik på at undersøge denne side nærmere eller foretage et køb.

19

»Plugins« og pixels i kombination med »cookies« udgør således et væsentligt element i reklame på internettet, eftersom langt størstedelen af det indhold, der er tilgængeligt på internettet, finansieres af reklamer. Navnlig gør »plugins« det muligt at præsentere brugerne for relevante annoncer, og pixels giver annoncører mulighed for at måle resultaterne af reklamekampagner og således indhente oplysninger om målrettede brugergrupper.

20

I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at Maximilian Schrems ikke havde givet samtykke til, at Meta Platforms Ireland kunne behandle de personoplysninger, som selskabet modtog fra annoncører og andre partnere, om Maximilian Schrems’ aktiviteter uden for Facebook med henblik på personaliseret reklame. Visse oplysninger om Maximilian Schrems blev imidlertid indsamlet af Meta Platforms Ireland ved hjælp af »cookies«, »social plugins« og tilsvarende teknologier, der var integreret på tredjeparters websteder, og som anvendtes af dette selskab til at forbedre Facebooks produkter og sende personaliseret reklame til Maximilian Schrems.

21

Det fremgår endvidere af denne afgørelse, at Maximilian Schrems ikke havde angivet følsomme oplysninger på sin Facebook-profil, at kun hans »venner« kunne se hans aktiviteter eller de oplysninger, der fremgår af hans »timeline« (tidslinje), og at hans »venneliste« ikke er offentlig tilgængelig. Maximilian Schrems havde desuden valgt ikke at give samtykke til, at Meta Platforms Ireland med henblik på målrettet reklame kunne anvende de profiloplysninger, der vedrørte hans forholdsstatus, arbejdsgiver, stilling eller uddannelse.

22

Henset til de oplysninger, som Meta Platforms Ireland var i besiddelse af, kunne selskabet imidlertid ligeledes identificere Maximilian Schrems’ interesse inden for følsomme emner såsom sundhed, seksuel orientering, etniske grupper og politiske partier, hvilket gjorde det muligt for selskabet at vise ham målrettede reklamer om en sådan seksuel orientering eller politisk overbevisning.

23

Maximilian Schrems modtog således en reklame vedrørende en østrigsk politiker, som var baseret på den analyse, som Meta Platforms Ireland havde foretaget, hvorefter han havde træk til fælles med andre brugere, der havde klikket på »Synes godt om«-knappen med hensyn til denne politiker. Desuden modtog Maximilian Schrems regelmæssigt reklamer, der var rettet mod et homoseksuel publikum, og invitationer til tilsvarende begivenheder, selv om han aldrig tidligere havde udvist interesseret for disse begivenheder, og selv om han ikke havde kendskab til, hvor de nævnte begivenheder fandt sted. Disse reklamer og invitationer var ikke direkte baseret på sagsøgeren i hovedsagens og hans »venners« seksuelle orientering, men på en analyse af deres interesser, i det foreliggende tilfælde den omstændighed, at en af Maximilian Schrems’ venner havde klikket på »Synes godt om«-knappen med hensyn til et produkt.

24

Maximilian Schrems lod udarbejde en analyse af, hvad der kunne udledes af hans venneliste, og det fremgik heraf, at han havde aftjent civiltjeneste ved Røde Kors i Salzburg, og at han var homoseksuel. Den liste over hans aktiviteter uden for Facebook, som førtes af Meta Platforms Ireland, omfattede bl.a. en oversigt over applikationer og websteder, der var mødested for homoseksuelle, og et websted for et politisk parti i Østrig. De gemte oplysninger om sagsøgeren i hovedsagen omfattede ligeledes en e-mailadresse, der ikke fremgik af hans Facebook-profil, men som han havde benyttet til at fremsætte anmodninger til Meta Platforms Ireland med.

25

Det fremgår endvidere af forelæggelsesafgørelsen, at Maximilian Schrems offentligt havde tilkendegivet, at han er homoseksuel. Han har imidlertid aldrig nævnt sin seksuelle orientering på sin Facebook-profil.

26

Maximilian Schrems gjorde for Landesgericht für Zivilrechtssachen Wien (den regionale domstol for civile sager i Wien, Østrig) gældende, at den behandling af hans personoplysninger, som Meta Platforms Ireland foretog, tilsidesatte flere bestemmelser i databeskyttelsesforordningen. I denne henseende var han af den opfattelse, at hans samtykke til vilkårene for brug af sagsøgte i hovedsagens digitale platform ikke var i overensstemmelse med kravene i denne forordnings artikel 6, stk. 1, og artikel 7. Endvidere behandlede Meta Platforms Ireland følsomme oplysninger om sagsøgeren i hovedsagen som omhandlet i den nævnte forordnings artikel 9 uden det nødvendige samtykke hertil i henhold til samme forordnings artikel 7. Meta Platforms Ireland havde desuden ikke modtaget et gyldigt samtykke til behandlingen af Maximilian Schrems’ personoplysninger fra tredjeparter. Maximilian Schrems anmodede i denne forbindelse bl.a. om, at sagsøgte blev pålagt at ophøre med at behandle hans personoplysninger med henblik på personaliseret reklame og ligeledes at bringe den anvendelse af disse oplysninger, der fulgte af besøg på tredjeparters websteder, og som var indhentet af tredjemand, til ophør.

27

Meta Platforms Ireland var derimod af den opfattelse, at behandlingen af Maximilian Schrems’ oplysninger blev foretaget i overensstemmelse med vilkårene for brug af det sociale onlinenetværk, som efter selskabets opfattelse er forenelige med kravene i databeskyttelsesforordningen. Denne behandling af oplysninger er lovlig og er ikke baseret på det samtykke fra sagsøgeren i hovedsagen, som kræves i henhold til denne forordnings artikel 6, stk. 1, litra a), men på andre begrundelser, herunder hovedsageligt, at behandlingen er nødvendig af hensyn til opfyldelsen af den kontrakt, der er indgået mellem sidstnævnte og sagsøgte i hovedsagen som omhandlet i den nævnte forordnings artikel 6, stk. 1, litra b).

28

I hovedsagen er der allerede indgivet en anmodning om præjudiciel afgørelse til Domstolen, som gav anledning til dom af 25. januar 2018, Schrems (C-498/16, EU:C:2018:37). Efter denne dom forkastede Landesgericht für Zivilrechtssachen Wien (den regionale domstol for civile sager i Wien, Østrig) ved dom af 30. juni 2020 Maximilian Schrems’ påstande. Oberlandesgericht Wien (den øverste regionale domstol i Wien, Østrig), for hvilken der blev iværksat appel, forkastede ligeledes den appel, som Maximilian Schrems iværksatte til prøvelse af denne dom, bl.a. med den begrundelse, at behandlingen af sidstnævntes personoplysninger som bruger af onlineplatformen, herunder den personaliserede reklame, udgjorde en integreret del af den kontrakt om brug af denne platform, som parterne havde indgået. Behandlingen af disse oplysninger var således nødvendig for opfyldelsen af denne kontrakt som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra b).

29

Maximilian Schrems har iværksat revisionsanke ved Oberster Gerichtshof (øverste domstol, Østrig), som har anført, at Meta Platforms Irelands forretningsmodel består i at generere indtægter fra målrettet reklame og kommercielt indhold, der er baseret på Facebook-brugernes præferencer og interesser, ved at behandle disse brugeres personoplysninger. For så vidt som denne behandling gør det muligt for Facebook at tilbyde sine brugere gratis tjenester, kan denne behandling anses for nødvendig for opfyldelsen af den kontrakt, der er indgået med de nævnte brugere som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra b).

30

Ifølge den forelæggende ret bør denne bestemmelse, som skal fortolkes indskrænkende, imidlertid ikke tillade en sådan behandling af oplysninger uden den registreredes samtykke.

31

Den forelæggende ret har desuden anført, at Meta Platforms Ireland behandler personoplysninger, der kan kvalificeres som »følsomme«, i henhold til databeskyttelsesforordningens artikel 9, stk. 1.

32

I det foreliggende tilfælde behandler Meta Plaforms Ireland oplysninger om Maximilian Schrems’ politiske overbevisning og seksuelle orientering. Ifølge Oberster Gerichtshofs (øverste domstol, Østrig) konstateringer har Maximilian Schrems offentligt udtalt sig om sin seksuelle orientering. Maximilian Schrems henviste navnlig i forbindelse med en paneldiskussion, som han deltog i i Wien den 12. februar 2019 efter invitation fra Europa-Kommissionens repræsentation i Østrig, til sin seksuelle orientering med henblik på at kritisere Facebooks behandling af personoplysninger, herunder behandlingen af hans egne oplysninger. Som Maximilian Schrems ligeledes anførte ved denne lejlighed, har han imidlertid aldrig nævnt dette aspekt af sit privatliv i sin Facebook-profil.

33

Ifølge den forelæggende ret opstår således spørgsmålet, om den pågældende bruger tydeligvis har offentliggjort følsomme personoplysninger om sig selv og således har tilladt behandlingen heraf i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra e).

34

Under disse omstændigheder har Oberster Gerichtshof (øverste domstol, Østrig) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Skal bestemmelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a) og b), fortolkes således, at lovligheden af kontraktbestemmelser i almindelige tjenestevilkår vedrørende [online] platformskontrakter som de i sagen omhandlede (navnlig kontraktbestemmelser som: »I stedet for at betale […] [accepterer du] ved at bruge de Facebook-produkter, der er dækket af disse vilkår, [...] at vi kan vise dig annoncer […] Vi bruger dine personoplysninger […] til at vise dig annoncer, der er mere relevante for dig[...]«), som omfatter behandling af personoplysninger til [sammenstilling] og analyse af oplysninger med henblik på personaliseret reklame, skal vurderes på grundlag af kravene i databeskyttelsesforordningens artikel 6, stk. 1, litra a), sammenholdt med samme forordnings artikel 7, som ikke kan erstattes med henvisning til [databeskyttelsesforordningens] artikel 6, stk. 1, litra b)?

2) Skal databeskyttelsesforordningens artikel 5, stk. 1, litra c) (dataminimering), fortolkes således, at alle personoplysninger, som en platform som den i hovedsagen omhandlede har til rådighed (navnlig gennem den registrerede eller gennem tredjeparter på eller uden for platformen), uden begrænsninger med hensyn til tid eller oplysningernes art kan [sammenstilles], analyseres og behandles med henblik på målrettet reklame?

3) Skal databeskyttelsesforordningens artikel 9, stk. 1, fortolkes således, at bestemmelsen finder anvendelse på behandlingen af oplysninger, som muliggør en målrettet filtrering af særlige kategorier af personoplysninger såsom politisk anskuelse eller seksuel orientering (f.eks. til reklameformål), selv om den dataansvarlige ikke sondrer mellem disse oplysninger?

4) Skal databeskyttelsesforordningens artikel 5, stk. 1, litra b), sammenholdt med [samme forordnings] artikel 9, stk. 2, litra e), fortolkes således, at en persons ytring om sin egen seksuelle orientering i forbindelse med en paneldiskussion tillader behandling af andre oplysninger om den seksuelle orientering med henblik på [sammenstilling] og analyse af oplysninger med henblik på personaliseret reklame?«

35

Ved afgørelse af 7. april 2022 udsatte Domstolens præsident den foreliggende sag, indtil der var truffet endelig afgørelse i sag C-252/21, Meta Platforms m.fl.

36

Ved afgørelse af 7. juli 2023 gav Domstolens præsident den forelæggende ret i nærværende sag meddelelse om dom af 4. juli 2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk) (C-252/21, EU:C:2023:537), og opfordrede den forelæggende ret til at oplyse, om den, henset til denne dom, ønskede at opretholde sin anmodning om præjudiciel afgørelse helt eller delvist, og, såfremt denne anmodning delvist blev trukket tilbage, at redegøre for grundene til, at en del af denne blev opretholdt.

37

Ved kendelse af 19. juli 2023, indgået til Domstolens Justitskontor den 9. august 2023, trak denne ret det første og det tredje præjudicielle spørgsmål tilbage, idet den anførte, at den nævnte dom besvarede disse spørgsmål. Den forelæggende ret har derimod fastholdt det andet og det fjerde præjudicielle spørgsmål, idet den har anført, at den samme dom ikke fuldt ud har besvaret disse spørgsmål.

38

Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 5, stk. 1, litra c), skal fortolkes således, at det i denne bestemmelse fastsatte princip om »dataminimering« er til hinder for, at alle personoplysninger, som en dataansvarlig, såsom operatøren af en platform for et socialt onlinenetværk, har indhentet fra den registrerede eller tredjemand, og som er blevet indsamlet både på og uden for denne platform, sammenstilles, analyseres og behandles med henblik på målrettet reklame uden begrænsninger med hensyn til tid, og uden at der sondres på grundlag af disse oplysningers art.

39

Sagsøgte i hovedsagen har gjort gældende, at dette spørgsmål ikke kan antages til realitetsbehandling med den begrundelse dels, at den forelæggende ret ikke har redegjort for grundene til, at en besvarelse af det nævnte spørgsmål er hensigtsmæssig for afgørelsen af tvisten i hovedsagen, dels at denne ret har baseret sig på en urigtig faktisk forudsætning, idet den med urette har lagt til grund, at sagsøgte i hovedsagen anvender alle de personoplysninger, som selskabet råder over, til reklameformål uden begrænsninger med hensyn til tid, og uden at der sondres på grundlag af disse oplysningers art.

40

Hvad for det første angår argumentet om, at den forelæggende ret ikke har redegjort for grundene til, at den er af den opfattelse, at en besvarelse af det andet spørgsmål er hensigtsmæssig for afgørelsen af tvisten i hovedsagen, skal nødvendigheden af, at den nationale ret angiver de nøjagtige grunde til, at den har rejst spørgsmål om fortolkningen af EU-retten og har fundet det nødvendigt at forelægge Domstolen præjudicielle spørgsmål, fremhæves (dom af 6.12.2005, ABNA m.fl., C-453/03, C-11/04, C-12/04 og C-194/04, EU:C:2005:741, præmis 46, og af 29.2.2024, Staatssecretaris van Justitie en Veiligheid (Gensidig tillid i tilfælde af overførsel), C-392/22, EU:C:2024:195, præmis 85). I det foreliggende tilfælde fremgår det imidlertid af redegørelsen i anmodningen om præjudiciel afgørelse, at den forelæggende ret ønsker oplyst, om omfanget af de oplysninger, som sagsøgte i hovedsagen således behandler, såfremt det antages, at den i hovedsagen omhandlede behandling til reklameformål er begrundet i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b), overholder princippet om dataminimering, eller om en så omfattende behandling tværtimod tilsidesætter de forpligtelser, der påhviler den dataansvarlige i henhold til databeskyttelsesforordningens artikel 5. Grundene til, at besvarelsen af dette spørgsmål er hensigtsmæssig for løsningen af tvisten i hovedsagen, fremgår således i tilstrækkelig grad af anmodningen om præjudiciel afgørelse.

41

Hvad for det andet angår argumentet om, at den forelæggende ret har baseret sig på en urigtig faktuel forudsætning, er det korrekt, at det andet præjudicielle spørgsmål hviler på den forudsætning dels, at selv om Maximilian Schrems ikke har givet Meta Platforms Ireland samtykke til at behandle personoplysninger om sine aktiviteter uden for Facebook, således som det fremgår af denne doms præmis 20, behandlede dette selskab ikke desto mindre visse af disse oplysninger, som det indhentede fra tredjeparter, på grundlag af Maximilian Schrems’ accept af de almindelige vilkår for brug af det sociale netværk, bl.a. ved hjælp af Facebooks »cookies« og »sociale plugins«, der er integreret på disse tredjeparters websteder, dels at Meta Platforms Ireland behandler disse personoplysninger uden begrænsninger med hensyn til tid, og uden at der sondres på grundlag af de nævnte oplysningers art.

42

Det bemærkes, at artikel 267 TEUF ifølge fast praksis indfører en procedure med direkte samarbejde mellem Domstolen og medlemsstaternes retter. Inden for rammerne af denne procedure, som er baseret på en klar adskillelse mellem de nationale retters og Domstolens funktioner, henhører enhver bedømmelse af sagens faktiske omstændigheder under kompetencen for den nationale ret, som det på grundlag af omstændighederne i den konkrete sag tilkommer at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen, mens Domstolen alene har kompetence til at træffe afgørelse vedrørende fortolkningen eller gyldigheden af en EU-forskrift på grundlag af de faktiske omstændigheder, således som de er beskrevet af den nationale ret (dom af 25.10.2017, Polbud – Wykonawstwo, C-106/16, EU:C:2017:804, præmis 27 og den deri nævnte retspraksis).

43

Følgelig skal de forelagte spørgsmål besvares på grundlag af denne forudsætning, hvis rigtighed det imidlertid påhviler den forelæggende ret at efterprøve.

44

Det andet præjudicielle spørgsmål skal derfor antages til realitetsbehandling.

45

I første række skal det bemærkes, at det formål, der forfølges med databeskyttelsesforordningen, som det fremgår af dens artikel 1 samt første og tiende betragtning hertil, bl.a. består i at sikre et højt beskyttelsesniveau for fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til privatliv i forbindelse med behandlingen af personoplysninger, som er fastsat i chartrets artikel 8, stk. 1, og i artikel 16, stk. 1, TEUF (dom af 7.3.2024, IAB Europe, C-604/22, EU:C:2024:214, præmis 53 og den deri nævnte retspraksis).

46

Med henblik herpå fastsætter kapitel II og III i denne forordning henholdsvis principperne for behandling af personoplysninger og den registreredes rettigheder, som enhver behandling af personoplysninger skal overholde. Med forbehold af de undtagelser, der er fastsat i den nævnte forordnings artikel 23, skal enhver behandling af personoplysninger navnlig dels overholde de principper vedrørende behandling af sådanne oplysninger, der er fastsat i samme forordnings artikel 5, og opfylde de betingelser for lovlighed, der er anført i denne forordnings artikel 6, dels respektere den registreredes rettigheder som fastsat i databeskyttelsesforordningens artikel 12-22 (dom af 11.7.2024, Meta Platforms Ireland (Gruppesøgsmål), C-757/22, EU:C:2024:598, præmis 49 og den deri nævnte retspraksis).

47

Som Domstolen allerede har præciseret, finder de principper om behandling af personoplysninger, der er fastsat i databeskyttelsesforordningens artikel 5, anvendelse kumulativt (dom af 20.10.2022, Digi, C-77/21, EU:C:2022:805, præmis 47).

48

I denne henseende bemærkes, at det af databeskyttelsesforordningens artikel 5, stk. 1, litra a), fremgår, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede, og at disse oplysninger i overensstemmelse med litra b) i denne artikel 5, stk. 1, skal indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål.

49

Endvidere fremgår det af denne forordnings artikel 5, stk. 1, litra c), der fastsætter princippet om såkaldt »dataminimering«, at personoplysninger skal være »tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles« (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 109 og den deri nævnte retspraksis).

50

Dette princip er, således som Domstolen allerede har fastslået, et udtryk af proportionalitetsprincippet (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 98 og den deri nævnte retspraksis, og af 30.1.2024, Direktor na Glavna direktsiaNatsionalna politsia pri MVR – Sofia, C-118/22, EU:C:2024:97, præmis 41).

51

I overensstemmelse med princippet om ansvarlighed i databeskyttelsesforordningens artikel 5, stk. 2, skal den dataansvarlige kunne påvise, at personoplysningerne indsamles og behandles under overholdelse af de principper, der er fastsat i denne artikels stk. 1 (jf. i denne retning dom af 20.10.2022, Digi, C-77/21, EU:C:2022:805, præmis 24). I henhold til denne forordnings artikel 13, stk. 1, litra c), påhviler det endvidere den dataansvarlige, når personoplysningerne indsamles fra den registrerede, at oplyse vedkommende om formålene med den behandling, som disse oplysninger skal bruges til, og retsgrundlaget for behandlingen (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 95).

52

Hvad i anden række angår den tidsmæssige begrænsning af en behandling af personoplysninger som den i hovedsagen omhandlede skal det bemærkes, at Domstolen allerede har fastslået, at den dataansvarlige, henset til princippet om dataminimering, er forpligtet til, i lyset af formålet med den påtænkte behandling, at begrænse perioden for indsamling af de omhandlede personoplysninger til det strengt nødvendige (dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 79).

53

Jo længere tid disse oplysninger opbevares, jo alvorligere er konsekvenserne for den registreredes interesser og privatliv, og jo højere er kravene til lovligheden af opbevaringen af de nævnte oplysninger (jf. i denne retning dom af 7.12.2023, SCHUFA Holding (Gældssanering), C-26/22 og C-64/22, EU:C:2023:958, præmis 95).

54

Endvidere skal det bemærkes, at i henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra e), skal personoplysninger opbevares på en måde, der ikke gør det muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de pågældende personoplysninger behandles.

55

Det fremgår således utvetydigt af denne artikels ordlyd, at det princip om »opbevaringsbegrænsning«, der er fastsat deri, kræver, at den dataansvarlige i overensstemmelse med det i denne doms præmis 51 anførte princip om ansvarlighed er i stand til at påvise, at personoplysninger kun opbevares i det tidsrum, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller med henblik på hvilke de er blevet viderebehandlet (jf. i denne retning dom af 20.10.2022, Digi, C-77/21, EU:C:2022:805, præmis 53).

56

Det følger heraf, således som Domstolen allerede har fastslået, at en behandling af oplysninger, der oprindeligt var lovlig, med tiden kan blive uforenelig med databeskyttelsesforordningen, når disse oplysninger ikke længere er nødvendige af hensyn til de formål, hvortil de er blevet indsamlet eller viderebehandlet, og at de nævnte oplysninger skal slettes, når disse formål er opfyldt (jf. i denne retning dom af 20.10.2022, Digi, C-77/21, EU:C:2022:805, præmis 54 og den deri nævnte retspraksis).

57

Under disse omstændigheder tilkommer det, således som generaladvokaten i det væsentlige har anført i punkt 22 i forslaget til afgørelse, den nationale ret, henset til samtlige relevante forhold og under anvendelse af proportionalitetsprincippet, der er nævnt i databeskyttelsesforordningens artikel 5, stk. 1, litra c), at vurdere, om den dataansvarliges opbevaringsperiode for personoplysninger er rimeligt begrundet i lyset af formålet om at gøre det muligt at udsende personaliserede reklamer.

58

Under alle omstændigheder skal den omstændighed, at personoplysninger om brugerne af en platform for et socialt netværk med henblik på målrettet reklame opbevares i en ubegrænset periode, anses for et uforholdsmæssigt indgreb i de rettigheder, som disse brugere er sikret ved databeskyttelsesforordningen.

59

Hvad i tredje række angår den omstændighed, at de i hovedsagen omhandlede personoplysninger indsamles, sammenstilles, analyseres og behandles med henblik på målrettet reklame, uden at der sondres på grundlag af disse oplysningers art, skal det bemærkes, at Domstolen allerede har fastslået, at den dataansvarlige, henset til princippet om dataminimering, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra c), ikke generelt og udifferentieret kan foretage indsamling af personoplysninger, og at den pågældende skal afholde sig fra at indsamle oplysninger, som ikke er strengt nødvendige, henset til formålene med behandlingen (dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 74).

60

Det skal ligeledes bemærkes, at denne forordnings artikel 25, stk. 2, kræver, at den dataansvarlige træffer passende foranstaltninger for at sikre, at der som udgangspunkt kun foretages behandling af de personoplysninger, der er nødvendige for hvert specifikt formål med behandlingen. I henhold til denne bestemmelse gælder et sådant krav bl.a. for mængden af indsamlede personoplysninger og omfanget af deres behandling samt for opbevaringsperioden.

61

I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at Meta Platforms Ireland indsamler personoplysninger om Facebooks brugere, herunder Maximilian Schrems, som vedrører disse brugeres aktiviteter på såvel dette sociale netværk som uden for dette netværk, herunder bl.a. oplysninger om besøg på onlineplatformen samt om tredjeparters internetsider og applikationer, og at selskabet desuden følger den søgeadfærd, som brugerne udviser på disse sider, ved hjælp af »social plugins« og »pixels«, der er indsat på de omhandlede internetsider.

62

Som Domstolen allerede har fastslået, er en sådan behandling imidlertid særligt omfangsrig, eftersom den vedrører potentielt ubegrænsede oplysninger, og den har en betydelig indvirkning på brugeren, hvis onlineaktiviteter i vid udstrækning eller næsten fuldstændigt overvåges af Meta Platforms Ireland, hvilket hos brugeren kan skabe en følelse af konstant overvågning af vedkommendes privatliv (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 118).

63

Under disse omstændigheder er den i hovedsagen omhandlede behandling af oplysninger karakteriseret ved et alvorligt indgreb i de registreredes grundlæggende rettigheder, navnlig deres ret til respekt for privatliv og til beskyttelse af personoplysninger, der er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, og som – med forbehold af den efterprøvelse, som det påhviler den forelæggende ret at foretage – ikke forekommer rimeligt begrundet, henset til formålet om at gøre det muligt at udbrede målrettede reklamer.

64

Under alle omstændigheder synes den udifferentierede anvendelse af samtlige personoplysninger, som en platform for et socialt netværk er i besiddelse af, med henblik på at tilvejebringe reklamer, uanset hvor følsomme disse oplysninger er, ikke at være et forholdsmæssigt indgreb i de rettigheder, som brugerne af denne platform er sikret ved databeskyttelsesforordningen.

65

Henset til det ovenstående skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 5, stk. 1, litra c), skal fortolkes således, at det i denne bestemmelse fastsatte princip om »dataminimering« er til hinder for, at alle personoplysninger, som en dataansvarlig, såsom operatøren af en platform for et socialt onlinenetværk, har indhentet fra den registrerede eller tredjemand, og som er blevet indsamlet både på og uden for denne platform, sammenstilles, analyseres og behandles med henblik på målrettet reklame uden begrænsninger med hensyn til tid, og uden at der sondres på grundlag af disse oplysningers art.

66

Med dette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 9, stk. 2, litra e), skal fortolkes således, at den omstændighed, at en person har udtalt sig om sin seksuelle orientering i forbindelse med en paneldiskussion, der er åben for offentligheden, giver operatøren af en platform for et socialt onlinenetværk mulighed for at behandle andre oplysninger om denne persons seksuelle orientering, som i givet fald er indhentet uden for denne platform fra tredjeparters applikationer og websteder, med henblik på at sammenstille og analysere disse oplysninger for at tilbyde den pågældende personaliseret reklame.

67

Den forelæggende ret ønsker nærmere bestemt oplyst, om Maximilian Schrems ved den udtalelse, som han afgav i forbindelse med en paneldiskussion, ikke længere har ret til beskyttelse i henhold til databeskyttelsesforordningens artikel 9, stk. 1, og om Facebook følgelig havde ret til at behandle andre oplysninger om hans seksuelle orientering.

68

Indledningsvis bemærkes, at den paneldiskussion, som den forelæggende ret har henvist til, hvorunder Maximilian Schrems udtalte sig om sin seksuelle orientering, blev afholdt den 12. februar 2019, og at Meta Platforms Ireland, således som det fremgår af forelæggelsesafgørelsen, allerede på denne dato behandlede personoplysninger om Maximilian Schrems’ seksuelle orientering, hvilket indebærer, at denne udtalelse blev afgivet efter indledningen af en sådan behandling af oplysninger.

69

Det følger heraf, at den forelæggende rets fjerde spørgsmål skal forstås således, at det udelukkende vedrører den eventuelle behandling af oplysninger om Maximilian Schrems’ seksuelle orientering, som Meta Platforms Ireland foretog efter den 12. februar 2019. Det tilkommer ikke desto mindre den forelæggende ret at efterprøve, om sådanne behandlinger faktisk har fundet sted efter denne dato i overensstemmelse med den retspraksis, der er nævnt i denne doms præmis 42.

70

Med henblik på at besvare dette spørgsmål skal det i første række fremhæves, at det af 51. betragtning til databeskyttelsesforordningen fremgår, at personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandling af dem kan indebære betydelige risici for disse grundlæggende rettigheder og frihedsrettigheder. Det præciseres i denne betragtning, at sådanne personoplysninger ikke bør behandles, medmindre behandling er tilladt i specifikke tilfælde, der er fastsat i denne forordning.

71

I denne forbindelse fastsætter databeskyttelsesforordningens artikel 9, stk. 1, princippet om forbud mod behandling af de heri omtalte særlige kategorier af personoplysninger. Der er bl.a. tale om oplysninger, som afslører den fysiske persons race eller etniske oprindelse, politiske holdninger og religiøse overbevisning samt oplysninger om vedkommendes helbred, seksuelle forhold eller seksuelle orientering.

72

Med henblik på anvendelse af databeskyttelsesforordningens artikel 9, stk. 1, skal det i tilfælde af, at operatøren af et socialt onlinenetværk behandler personoplysninger, efterprøves, om disse oplysninger kan afsløre informationer, som henhører under en af de i denne bestemmelse omhandlede kategorier, uanset om disse informationer vedrører brugeren af netværket eller enhver anden fysisk person. I bekræftende fald er behandlingen af personoplysninger følgelig forbudt med forbehold for undtagelserne i databeskyttelsesforordningens artikel 9, stk. 2.

73

Som Domstolen allerede har fastslået, er dette principielle forbud, der er fastsat i databeskyttelsesforordningens artikel 9, stk. 1, uafhængigt af, om de oplysninger, der afsløres ved den pågældende behandling, er korrekte eller ej, og om den dataansvarlige handler med henblik på at opnå oplysninger, som henhører under en af de særlige kategorier, der er omhandlet i denne bestemmelse. Henset til de betydelige risici for de pågældende personers grundlæggende rettigheder og frihedsrettigheder, som enhver behandling af personoplysninger omfattet af de i databeskyttelsesforordningens artikel 9, stk. 1, omhandlede kategorier bevirker, har denne bestemmelse nemlig til formål at forbyde denne behandling uafhængigt af det anførte formål hermed (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 69 og 70).

74

Selv om denne artikel 9, stk. 1, principielt forbyder behandling af oplysninger om bl.a. seksuel orientering, fastsætter den nævnte artikels stk. 2 i litra a)-j) imidlertid ti undtagelser, som er indbyrdes uafhængige, og som derfor skal vurderes uafhængigt af hinanden. Det følger heraf, at den omstændighed, at betingelserne for anvendelse af en af undtagelserne i stk. 2 ikke er opfyldt, ikke kan være til hinder for, at en dataansvarlig kan påberåbe sig en anden undtagelse, der er nævnt i denne bestemmelse (dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 47).

75

Hvad navnlig angår undtagelsen i databeskyttelsesforordningens artikel 9, stk. 2, litra e), skal det bemærkes, at det af denne bestemmelse følger, at det i artikel 9, stk. 1, fastsatte principielle forbud mod enhver behandling af særlige kategorier af personoplysninger ikke finder anvendelse, såfremt behandlingen vedrører personoplysninger, som »tydeligvis er offentliggjort af den registrerede«.

76

For så vidt som databeskyttelsesforordningens artikel 9, stk. 2, litra e), fastsætter en undtagelse til det principielle forbud mod behandling af særlige kategorier af personoplysninger, skal den fortolkes indskrænkende (jf. i denne retning dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 76 og den deri nævnte retspraksis).

77

Det følger heraf, at med henblik på anvendelsen af undtagelsen i databeskyttelsesforordningens artikel 9, stk. 2, litra e), skal det efterprøves, om den registrerede udtrykkeligt og ved en klar bekræftelse har haft til hensigt at offentliggøre de omhandlede personoplysninger (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 77).

78

I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at den paneldiskussion, der blev afholdt i Wien den 12. februar 2019, og hvorunder Maximilian Schrems udtalte sig om sin seksuelle orientering, var tilgængelig for offentligheden, som kunne købe en billet til at deltage i det omfang, der var ledige pladser, og at denne paneldiskussion også kunne ses via webstreaming. Endvidere blev en optagelse af paneldiskussionen efterfølgende offentliggjort i form af en podcast og på Kommissionens YouTube-kanal.

79

Under disse omstændigheder og med forbehold for den efterprøvelse, der tilkommer den nationale ret, kan det ikke udelukkes, at denne udtalelse, selv om den indgik i en bredere drøftelse og alene blev fremsat med det formål at kritisere Facebooks behandling af personoplysninger, udgør en handling, hvorved den registrerede med fuldt kendskab til situationen tydeligvis har offentliggjort – som omhandlet i databeskyttelsesforordningens artikel 9, stk. 2, litra e) – sin seksuelle orientering.

80

I anden række skal det bemærkes, at selv om den omstændighed, at den registrerede tydeligvis har offentliggjort en oplysning om sin seksuelle orientering, har til følge, at denne oplysning kan gøres til genstand for en behandling som en undtagelse fra det forbud, der er fastsat i databeskyttelsesforordningens artikel 9, stk. 1, og i overensstemmelse med de krav, der følger af andre bestemmelser i denne forordning (jf. i denne retning dom af 24.9.2019, GC m.fl. (Fjernelse af følsomme oplysninger), C-136/17, EU:C:2019:773, præmis 64), fører denne omstændighed ikke i sig selv til – i modsætning til, hvad Meta Platforms Ireland har gjort gældende – at det er tilladt at behandle andre personoplysninger, der vedrører denne persons seksuelle orientering.

81

Det ville således være i strid med den indskrænkende fortolkning, der skal anlægges af databeskyttelsesforordningens artikel 9, stk. 2, litra e), at lægge til grund, at alle oplysninger vedrørende en persons seksuelle orientering falder uden for den beskyttelse, der følger af denne artikels stk. 1, alene fordi den registrerede tydeligvis har offentliggjort en personoplysning, der vedrører den pågældendes seksuelle orientering.

82

Endvidere gør den omstændighed, at en person tydeligvis har offentliggjort en oplysning om sin seksuelle orientering, det ikke muligt at antage, at denne person har givet sit samtykke som omhandlet i databeskyttelsesforordningens artikel 9, stk. 2, litra a), til, at en operatør af en platform for et socialt onlinenetværk må behandle andre oplysninger om vedkommendes seksuelle orientering.

83

Henset til det ovenstående skal det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 9, stk. 2, litra e), skal fortolkes således, at den omstændighed, at en person har udtalt sig om sin seksuelle orientering i forbindelse med en paneldiskussion, der er åben for offentligheden, ikke giver operatøren af en platform for et socialt onlinenetværk mulighed for at behandle andre oplysninger om denne persons seksuelle orientering, som i givet fald er indhentet uden for denne platform fra tredjeparters applikationer og websteder, med henblik på at sammenstille og analysere disse oplysninger for at tilbyde den pågældende personaliseret reklame.

84

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Fjerde Afdeling) for ret: