This document is an excerpt from the EUR-Lex website
Document 62017CJ0040
Judgment of the Court (Second Chamber) of 29 July 2019.#Fashion ID GmbH & Co.KG v Verbraucherzentrale NRW eV.#Request for a preliminary ruling from the Oberlandesgericht Düsseldorf.#Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Directive 95/46/EC — Article 2(d) — Notion of ‘controller’ — Operator of a website who has embedded on that website a social plugin that allows the personal data of a visitor to that website to be transferred to the provider of that plugin — Article 7(f) — Lawfulness of data processing — Taking into account of the interest of the operator of the website or of that of the provider of the social plugin — Article 2(h) and Article 7(a) — Consent of the data subject — Article 10 — Informing the data subject — National legislation allowing consumer-protection associations to bring or defend legal proceedings.#Case C-40/17.
Arrest van het Hof (Tweede kamer) van 29 juli 2019.
Fashion ID GmbH & Co.KG tegen Verbraucherzentrale NRW eV.
Verzoek van het Oberlandesgericht Düsseldorf om een prejudiciële beslissing.
Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46/EG – Artikel 2, onder d) – Begrip ,voor de verwerking verantwoordelijke’ – Beheerder van een internetsite die daarin een social plug-in heeft geïntegreerd die ervoor zorgt dat de persoonsgegevens van de bezoeker van die site worden verstrekt aan de aanbieder van die plug-in – Artikel 7, onder f) – Toelaatbaarheid van gegevensverwerking – Inaanmerkingneming van het belang van de beheerder van de internetsite dan wel van de aanbieder van de social plug-in – Artikel 2, onder h), en artikel 7, onder a) – Toestemming van de betrokkene – Artikel 10 – Informatieverstrekking aan de betrokkene – Nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden.
Zaak C-40/17.
Arrest van het Hof (Tweede kamer) van 29 juli 2019.
Fashion ID GmbH & Co.KG tegen Verbraucherzentrale NRW eV.
Verzoek van het Oberlandesgericht Düsseldorf om een prejudiciële beslissing.
Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46/EG – Artikel 2, onder d) – Begrip ,voor de verwerking verantwoordelijke’ – Beheerder van een internetsite die daarin een social plug-in heeft geïntegreerd die ervoor zorgt dat de persoonsgegevens van de bezoeker van die site worden verstrekt aan de aanbieder van die plug-in – Artikel 7, onder f) – Toelaatbaarheid van gegevensverwerking – Inaanmerkingneming van het belang van de beheerder van de internetsite dan wel van de aanbieder van de social plug-in – Artikel 2, onder h), en artikel 7, onder a) – Toestemming van de betrokkene – Artikel 10 – Informatieverstrekking aan de betrokkene – Nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden.
Zaak C-40/17.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2019:629
ARREST VAN HET HOF (Tweede kamer)
29 juli 2019 ( *1 )
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46/EG – Artikel 2, onder d) – Begrip ‚voor de verwerking verantwoordelijke’ – Beheerder van een internetsite die daarin een social plug-in heeft geïntegreerd die ervoor zorgt dat de persoonsgegevens van de bezoeker van die site worden verstrekt aan de aanbieder van die plug-in – Artikel 7, onder f) – Toelaatbaarheid van gegevensverwerking – Inaanmerkingneming van het belang van de beheerder van de internetsite dan wel van de aanbieder van de social plug-in – Artikel 2, onder h), en artikel 7, onder a) – Toestemming van de betrokkene – Artikel 10 – Informatieverstrekking aan de betrokkene – Nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden”
In zaak C‑40/17,
betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Oberlandesgericht Düsseldorf (hoogste rechterlijke instantie van de deelstaat Noordrijn-Westfalen, Düsseldorf, Duitsland) bij beslissing van 19 januari 2017, ingekomen bij het Hof op 26 januari 2017, in de procedure
Fashion ID GmbH & Co. KG
tegen
Verbraucherzentrale NRW eV,
in tegenwoordigheid van:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,
wijst
HET HOF (Tweede kamer),
samengesteld als volgt: K. Lenaerts, president van het Hof, waarnemend voor de president van de Tweede kamer, A. Prechal, C. Toader, A. Rosas (rapporteur) en M. Ilešič, rechters,
advocaat-generaal: M. Bobek,
griffier: D. Dittert, hoofd van een administratieve eenheid,
gezien de stukken en na de terechtzitting op 6 september 2018,
gelet op de opmerkingen van:
– |
Fashion ID GmbH & Co. KG, vertegenwoordigd door C.-M. Althaus en J. Nebel, Rechtsanwälte, |
– |
de Verbraucherzentrale NRW eV, vertegenwoordigd door K. Kruse, C. Rempe en S. Meyer, Rechtsanwälte, |
– |
Facebook Ireland Ltd, vertegenwoordigd door H.-G. Kamann, C. Schwedler en M. Braun, Rechtsanwälte, en door I. Perego, avvocatessa, |
– |
de Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, vertegenwoordigd door U. Merger als gemachtigde, |
– |
de Duitse regering, aanvankelijk vertegenwoordigd door T. Henze en J. Möller, vervolgens door J. Möller, als gemachtigden, |
– |
de Belgische regering, vertegenwoordigd door P. Cottin en L. Van den Broeck als gemachtigden, |
– |
de Italiaanse regering, vertegenwoordigd door G. Palmieri als gemachtigde, bijgestaan door P. Gentili, avvocato dello Stato, |
– |
de Oostenrijkse regering, aanvankelijk vertegenwoordigd door C. Pesendorfer, vervolgens door G. Kunnert, als gemachtigden, |
– |
de Poolse regering, vertegenwoordigd door B. Majczyna als gemachtigde, |
– |
de Europese Commissie, vertegenwoordigd door H. Krämer en H. Kranenborg als gemachtigden, |
gehoord de conclusie van de advocaat-generaal ter terechtzitting van 19 december 2018,
het navolgende
Arrest
1 |
Het verzoek om een prejudiciële beslissing betreft de uitlegging van de artikelen 2, 7, 10, 22, 23 en 24 van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31). |
2 |
Dit verzoek is ingediend in het kader van een geding tussen Fashion ID GmbH & Co. KG en de Verbraucherzentrale NRW eV over de invoeging door Fashion ID van een social plug-in van Facebook Ireland Ltd op de Fashion ID-internetsite. |
Toepasselijke bepalingen
Unierecht
3 |
Richtlijn 95/46 is met ingang van 25 mei 2018 ingetrokken bij en vervangen door verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 2016, L 119, blz. 1). Gelet op de datum van de feiten van het hoofdgeding is op dit geding evenwel richtlijn 95/46 van toepassing. |
4 |
In overweging 10 van richtlijn 95/46 staat te lezen: „Overwegende dat met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het [op 4 november 1950 te Rome ondertekende] Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de algemene beginselen van het [Unierecht] is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de [Unie] te waarborgen”. |
5 |
Artikel 1 van richtlijn 95/46 luidt: „1. De lidstaten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer. 2. De lidstaten mogen het vrije verkeer van persoonsgegevens tussen lidstaten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.” |
6 |
Artikel 2 van deze richtlijn bepaalt: „In de zin van deze richtlijn wordt verstaan onder:
[...]
[…]
|
7 |
In artikel 7 van die richtlijn staat te lezen: „De lidstaten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:
[...]
|
8 |
Artikel 10 van dezelfde richtlijn, met als opschrift „Informatieverstrekking in geval van verkrijging van gegevens bij de betrokkene”, luidt: „De lidstaten bepalen dat de voor de verwerking verantwoordelijke of diens vertegenwoordiger aan de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden verkregen, ten minste de hierna volgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is:
|
9 |
In artikel 22 van richtlijn 95/46 is bepaald: „Onverminderd de administratieve voorziening die met name bij de in artikel 28 bedoelde toezichthoudende autoriteit kan worden getroffen voordat de zaak aanhangig wordt gemaakt voor de rechter, bepalen de lidstaten dat eenieder zich tot de rechter kan wenden wanneer de rechten die hem worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht geschonden worden.” |
10 |
Artikel 23 van deze richtlijn luidt: „1. De lidstaten bepalen dat eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen. 2. De voor de verwerking verantwoordelijke kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.” |
11 |
Artikel 24 van die richtlijn bepaalt: „De lidstaten nemen passende maatregelen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen en stellen met name de sancties vast die gelden bij inbreuk op de ter uitvoering van deze richtlijn vastgestelde bepalingen.” |
12 |
In artikel 28 van dezelfde richtlijn staat te lezen: „1. Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen. Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid. [...] 3. Elke toezichthoudende autoriteit beschikt met name over: [...]
[...] 4. Eenieder kan in eigen persoon of door middel van een vereniging die als zijn vertegenwoordiger optreedt bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld. [...]” |
13 |
Artikel 5, lid 3, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11) (hierna: „richtlijn 2002/58”), bepaalt: „De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn [95/46], onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronischecommunicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.” |
14 |
Artikel 1, lid 1, van richtlijn 2009/22/EG van het Europees Parlement en de Raad van 23 april 2009 betreffende het doen staken van inbreuken in het raam van de bescherming van de consumentenbelangen (PB 2009, L 110, blz. 30), zoals gewijzigd bij verordening (EU) nr. 524/2013 van het Europees Parlement en de Raad van 21 mei 2013 (PB 2013, L 165, blz. 1) (hierna: „richtlijn 2009/22”), luidt: „Deze richtlijn heeft tot doel de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten betreffende verbodsacties als bedoeld in artikel 2 ter bescherming van de collectieve belangen van consumenten, die zijn opgenomen in de in bijlage I genoemde handelingen van de Unie, teneinde de goede werking van de interne markt te waarborgen.” |
15 |
In artikel 2 van deze richtlijn staat te lezen: „1. De lidstaten wijzen de rechterlijke of administratieve instanties aan die bevoegd zijn om uitspraak te doen in door de in artikel 3 bedoelde bevoegde instanties ingestelde procedures, die erop zijn gericht dat:
[…]” |
16 |
Artikel 7 van die richtlijn bepaalt: „Deze richtlijn belet de lidstaten niet voorschriften te handhaven of vast te stellen waarbij op nationaal niveau aan bevoegde instanties, alsmede aan iedere betrokkene een ruimere mogelijkheid wordt geboden om een actie in te stellen.” |
17 |
Artikel 80 van verordening nr. 2016/679 luidt: „1. De betrokkene heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doelstellingen het openbare belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet. 2. De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het/zij van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.” |
Duits recht
18 |
§ 3, lid 1, van het Gesetz gegen den unlauteren Wettbewerb (wet inzake oneerlijke mededinging), in de versie die van toepassing is op het hoofdgeding (hierna: „UWG”), bepaalt: „Oneerlijke handelspraktijken zijn verboden.” |
19 |
§ 3a UWG luidt: „Eenieder die handelt in strijd met een wettelijk voorschrift dat mede is vastgesteld om in het belang van de marktdeelnemers het marktgedrag te reguleren, maakt zich schuldig aan een oneerlijke handelspraktijk indien de inbreuk de belangen van consumenten, andere marktdeelnemers of concurrenten wezenlijk kan aantasten.” |
20 |
§ 8 UWG bepaalt: „(1) Van eenieder die zich schuldig maakt aan een krachtens § 3 of § 7 verboden handelspraktijk, kan worden gevorderd dat hij deze praktijk staakt en er, in geval van gevaar voor recidive, in de toekomst van afziet. Dit laatste kan reeds worden gevorderd wanneer zich een dergelijke overtreding van § 3 of § 7 dreigt voor te doen. [...] (3) De in lid 1 bedoelde vorderingen komen toe aan: [...] 3. bevoegde instanties die aantonen dat zij zijn vermeld in de lijst van de bevoegde instanties als bedoeld in § 4 van het Unterlassungsklagengesetz [(wet inzake verbodsacties)] of in de lijst van de Europese Commissie als bedoeld in artikel 4, lid 3, van richtlijn [2009/22]; [...]” |
21 |
In § 2 van de wet inzake verbodsacties staat te lezen: „(1) Van eenieder die op andere wijze dan door de toepassing of aanbeveling van algemene voorwaarden inbreuk maakt op bepalingen ter bescherming van de consument (wetten betreffende de bescherming van de consument), kan in het belang van de bescherming van de consument worden gevorderd dat hij deze inbreuk staakt en er in de toekomst van afziet. [...] (2) In de zin van deze bepaling wordt onder ‚wetten betreffende de bescherming van de consument’ met name verstaan: [...] 11. de voorschriften die regelen onder welke voorwaarden een ondernemer:
wanneer de gegevens worden verzameld, verwerkt of gebruikt om reclame te maken, markt- en opinieonderzoeken te verrichten, een kredietbeoordelingsbureau te exploiteren, persoonlijkheids- en gebruikersprofielen op te stellen, adressen te verkopen, andere gegevens te verhandelen, of voor soortgelijke commerciële doeleinden.” |
22 |
§ 12, lid 1, van het Telemediengesetz (wet inzake elektronische media; hierna: „TMG”) bepaalt: „De aanbieder van diensten mag persoonsgegevens in verband met de terbeschikkingstelling van elektronische media alleen verzamelen en gebruiken voor zover deze wet of een ander wettelijk voorschrift dat uitdrukkelijk op elektronische media betrekking heeft, dit toestaat of de gebruiker zijn toestemming heeft gegeven.” |
23 |
§ 13, lid 1, TMG luidt: „De aanbieder van diensten moet de gebruiker – voor zover dit nog niet zou zijn gebeurd – bij het begin van het gebruik op een gemakkelijk te begrijpen wijze informeren over de aard, de omvang en het doel van de verzameling en het gebruik van persoonsgegevens en over de verwerking van zijn gegevens in staten buiten het toepassingsgebied van [richtlijn 95/46]. Bij een geautomatiseerde procedure, die de identificatie van de gebruiker op een later tijdstip mogelijk maakt en waarmee het verzamelen of gebruiken van persoonsgegevens wordt voorbereid, dient de gebruiker aan het begin van deze procedure te worden geïnformeerd. De gebruiker moet de inhoud van deze informatie te allen tijde kunnen raadplegen.” |
24 |
§ 15, lid 1, TMG bepaalt: „De aanbieder van diensten mag persoonsgegevens van een gebruiker alleen verzamelen en gebruiken voor zover dit nodig is om het gebruik van elektronische media mogelijk te maken en te factureren (gebruiksgegevens). Gebruiksgegevens zijn met name 1. gegevens die de identificatie van de gebruiker mogelijk maken, 2 gegevens over begin en einde van het gebruik in kwestie, alsook over de omvang ervan, en 3 gegevens over de elektronische media waarvan de gebruiker heeft gebruikgemaakt.” |
Hoofdgeding en prejudiciële vragen
25 |
Fashion ID, een onlinehandelaar in modekleding, heeft op haar internetsite de social plug-in „vind-ik-leuk” van het sociaal netwerk Facebook (hierna: „vind-ik-leukknop van Facebook”) ingevoegd. |
26 |
Uit de verwijzingsbeslissing blijkt dat het inherent is aan het internet dat de browser van de bezoeker van een internetsite content kan weergeven die afkomstig is uit verschillende bronnen. Zo kunnen foto’s, video’s, newsfeeds alsook de vind-ik-leukknop van Facebook, waarover het in casu gaat, worden gelinkt aan een internetsite en daarop worden weergegeven. Indien de beheerder van een internetsite dergelijke externe content wil invoegen, plaatst hij op deze website een link naar de externe content. Wanneer deze link via de browser van de bezoeker van deze site wordt geopend, wordt de externe content opgevraagd en ingevoegd op de gewenste plaats op de website. Daartoe deelt de browser het IP‑adres van de computer van die bezoeker en de technische gegevens van de browser mee aan de server van de externe aanbieder, zodat de server kan vaststellen in welke vorm de content aan dat adres moet worden aangeleverd. Daarnaast deelt de browser gegevens over de gewenste content mee. De beheerder van een internetsite die externe inhoud aanbiedt door deze op die site in te voegen, kan niet vaststellen welke gegevens de browser meedeelt, noch wat de externe aanbieder met die gegevens doet, in het bijzonder of deze besluit die gegevens op te slaan en te gebruiken. |
27 |
Met name wat betreft de vind-ik-leukknop van Facebook lijkt uit de verwijzingsbeslissing te volgen dat wanneer een bezoeker de internetsite van Fashion ID raadpleegt, persoonsgegevens van deze bezoeker naar Facebook Ireland worden doorgezonden doordat die knop in die website is geïntegreerd. Het doorzenden van die persoonsgegevens lijkt plaats te vinden zonder dat die bezoeker zich daarvan bewust is en ongeacht of hij al dan niet lid is van het sociaal netwerk Facebook of op de vind-ik-leukknop van Facebook heeft geklikt. |
28 |
De Verbraucherzentrale NRW, een vereniging van algemeen nut die consumentenbelangen behartigt, verwijt Fashion ID persoonsgegevens van de bezoekers van de Fashion ID-internetsite aan Facebook Ireland te hebben doorgezonden zonder de toestemming van die bezoekers en in strijd met de verplichtingen die in de bepalingen inzake de bescherming van persoonsgegevens zijn neergelegd met betrekking tot het verstrekken van informatie. |
29 |
De Verbraucherzentrale NRW heeft bij het Landgericht Düsseldorf (rechter in eerste aanleg Düsseldorf, Duitsland) een verbodsactie ingesteld tegen Fashion ID opdat deze een einde zou maken aan die praktijken. |
30 |
Bij beslissing van 9 maart 2016 heeft het Landgericht Düsseldorf de vorderingen van de Verbraucherzentrale NRW gedeeltelijk toegewezen, nadat het had erkend dat zij procesbevoegdheid had op grond van § 8, lid 3, punt 3, UWG. |
31 |
Fashion ID heeft tegen deze beslissing hoger beroep ingesteld bij het Oberlandesgericht Düsseldorf (hoogste rechterlijke instantie van de deelstaat Noordrijn-Westfalen, Düsseldorf, Duitsland), de verwijzende rechter. Tijdens dat hoger beroep heeft Facebook Ireland geïntervenieerd aan de zijde van Fashion ID. De Verbraucherzentrale NRW heeft van haar kant incidenteel hoger beroep ingesteld met het oog op een ruimere veroordeling van Fashion ID dan in eerste aanleg was uitgesproken. |
32 |
Voor de verwijzende rechter voert Fashion ID aan dat de beslissing van het Landgericht Düsseldorf niet verenigbaar is met richtlijn 95/46. |
33 |
Om te beginnen stelt Fashion ID dat de artikelen 22, 23 en 24 van deze richtlijn enkel beogen te voorzien in rechtsmiddelen voor de personen van wie persoonsgegevens worden verwerkt, alsmede voor de bevoegde toezichthoudende autoriteiten. Bijgevolg is de door de Verbraucherzentrale NRW ingestelde rechtsvordering niet-ontvankelijk, omdat deze vereniging in het kader van richtlijn 95/46 geen procesbevoegdheid heeft. |
34 |
Daarnaast is Fashion ID van mening dat het Landgericht Düsseldorf ten onrechte heeft geoordeeld dat zij de voor de verwerking verantwoordelijke in de zin van artikel 2, onder d), van richtlijn 95/46 is, aangezien zij geen invloed heeft op de via de browser van de bezoeker van haar internetsite doorgezonden gegevens en het niet van haar afhangt of – en in voorkomend geval hoe – Facebook Ireland die gegevens gaat gebruiken. |
35 |
Allereerst heeft de verwijzende rechter twijfels of verenigingen van algemeen nut krachtens richtlijn 95/46 in rechte mogen optreden om de belangen van de benadeelde personen te verdedigen. Hij is van oordeel dat artikel 24 van deze richtlijn er niet aan in de weg staat dat verenigingen in rechte optreden, daar de lidstaten volgens dat artikel „passende maatregelen” moeten nemen om de onverkorte toepassing van die richtlijn te garanderen. Volgens hem kan een nationale regeling op grond waarvan verenigingen in het belang van de consumenten rechtsvorderingen kunnen instellen namelijk een passende maatregel in die zin zijn. |
36 |
Dienaangaande merkt de verwijzende rechter op dat artikel 80, lid 2, van verordening 2016/679, waarbij richtlijn 95/46 is ingetrokken en vervangen, die verenigingen uitdrukkelijk toestaat een rechtsvordering in te stellen, hetgeen lijkt te bevestigen dat richtlijn 95/46 niet in de weg stond aan een dergelijke rechtsvordering. |
37 |
Tevens vraagt hij zich af of de beheerder van een internetsite, zoals Fashion ID, die op deze internetsite een social plug-in invoegt waarmee het mogelijk is persoonsgegevens te verzamelen, kan worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46, hoewel die beheerder geen invloed heeft op de verwerking van de naar de aanbieder van die plug-in doorgezonden gegevens. In dit verband refereert de verwijzende rechter aan de zaak die aanleiding heeft gegeven tot het arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), die een soortgelijke kwestie betrof. |
38 |
Subsidiair wenst de verwijzende rechter, voor het geval dat Fashion ID niet behoort te worden beschouwd als de voor de verwerking verantwoordelijke, te vernemen of dit begrip in richtlijn 95/46 uitputtend wordt geregeld, zodat deze richtlijn zich verzet tegen een nationale regeling op grond waarvan civielrechtelijke aansprakelijkheid bestaat wanneer door een derde inbreuk wordt gemaakt op de rechten inzake gegevensbescherming. De verwijzende rechter merkt namelijk op dat Fashion ID op die nationaalrechtelijke grondslag mogelijkerwijs aansprakelijk kan worden gesteld als Störer (iemand die bewust aan een inbreuk bijdraagt). |
39 |
Voor het geval dat Fashion ID zou worden geacht voor de verwerking verantwoordelijk te zijn of op zijn minst als Störer aansprakelijk zou zijn voor eventuele door Facebook Ireland gemaakte inbreuken op de gegevensbescherming, vraagt de verwijzende rechter zich af of de verwerking van persoonsgegevens als die welke aan de orde is in het hoofdgeding, rechtmatig is en of de bij artikel 10 van richtlijn 95/46 opgelegde verplichting tot informatieverstrekking aan de betrokkene rust op Fashion ID dan wel op Facebook Ireland. |
40 |
Gelet op de in artikel 7, onder f), van richtlijn 95/46 gestelde voorwaarden waaronder gegevens rechtmatig kunnen worden verwerkt, vraagt de verwijzende rechter zich dan ook af of in een situatie als die welke in het hoofgeding aan de orde is, het gerechtvaardigde belang van de beheerder van de internetsite dan wel dat van de aanbieder van de social plug‑in in aanmerking dient te worden genomen. |
41 |
Daarnaast vraagt hij zich af op wie in een situatie als die welke in het hoofdgeding aan de orde is, de verplichtingen rusten met betrekking tot het verkrijgen van de toestemming van en het verstrekken van informatie aan de personen van wie de persoonsgegevens worden verwerkt. De verwijzende rechter is van oordeel dat de vraag op wie de bij artikel 10 van richtlijn 95/46 opgelegde verplichting rust om informatie te verstrekken aan de betrokkenen, bijzonder belangrijk is omdat elke invoeging van externe content op een internetsite in beginsel leidt tot een verwerking van persoonsgegevens, waarbij degene die deze content invoegt, te weten de beheerder van de internetsite in kwestie, evenwel niet op de hoogte is van de omvang en het doel van die verwerking. Derhalve kan deze beheerder de te geven informatie niet verstrekken, ook al zou hij daartoe verplicht zijn, zodat het opleggen aan deze beheerder van de verplichting tot informatieverstrekking aan de betrokkene in de praktijk zou leiden tot een verbod op de invoeging van externe content. |
42 |
In deze omstandigheden heeft het Oberlandesgericht Düsseldorf de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
Indien de eerste vraag ontkennend wordt beantwoord:
|
Beantwoording van de prejudiciële vragen
Eerste prejudiciële vraag
43 |
Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of de artikelen 22, 23 en 24 van richtlijn 95/46 aldus moeten worden uitgelegd dat zij in de weg staan aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens. |
44 |
Vooraf zij eraan herinnerd dat de lidstaten volgens artikel 22 van richtlijn 95/46 bepalen dat eenieder zich tot de rechter kan wenden wanneer inbreuk wordt gemaakt op de rechten die hem worden gegarandeerd door het nationale recht dat van toepassing is op de verwerking in kwestie. |
45 |
In artikel 28, lid 3, derde alinea, van richtlijn 95/46 staat te lezen dat een toezichthoudende autoriteit, die overeenkomstig artikel 28, lid 1, van deze richtlijn belast is met het toezicht op de toepassing op het grondgebied van de betrokken lidstaat van de ter uitvoering van die richtlijn door die lidstaat vastgestelde bepalingen, met name beschikt over de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van diezelfde richtlijn vastgestelde nationale bepalingen of om die inbreuken onder de aandacht van het gerecht te brengen. |
46 |
Artikel 28, lid 4, van richtlijn 95/46 bepaalt dat een vereniging die bij een toezichthoudende autoriteit optreedt als vertegenwoordiger van een betrokkene in de zin van artikel 2, onder a), van deze richtlijn, een verzoek kan indienen met betrekking tot de bescherming van diens rechten en vrijheden in verband met de verwerking van persoonsgegevens. |
47 |
In geen enkele bepaling van die richtlijn wordt aan de lidstaten evenwel de verplichting opgelegd of uitdrukkelijk de bevoegdheid toegekend om in hun nationale recht een vereniging de mogelijkheid te bieden om een betrokkene in rechte te vertegenwoordigen of om op eigen initiatief een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens. |
48 |
Dit betekent echter niet dat richtlijn 95/46 in de weg staat aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij zich aan een dergelijke inbreuk schuldig maakt. |
49 |
Krachtens artikel 288, derde alinea, VWEU zijn de lidstaten namelijk verplicht om bij de omzetting van een richtlijn in nationaal recht de volle werking ervan te verzekeren, maar beschikken zij daarbij over een ruime beoordelingsmarge met betrekking tot de keuze van de middelen en wegen voor de uitvoering ervan. Deze vrijheid doet niet af aan de op elk van de lidstaten waarvoor de betreffende richtlijn bestemd is, rustende verplichting om alle maatregelen te treffen die nodig zijn om de volle werking van die richtlijn overeenkomstig het ermee beoogde doel te verzekeren (arresten van 6 oktober 2010, Base e.a., C‑389/08, EU:C:2010:584, punten 24 en 25, en 22 februari 2018, Porras Guisado, C‑103/16, EU:C:2018:99, punt 57). |
50 |
In dit verband zij eraan herinnerd dat een van de aan richtlijn 95/46 ten grondslag liggende doelstellingen erin bestaat met betrekking tot de verwerking van persoonsgegevens te zorgen voor een doeltreffende en volledige bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op bescherming van de persoonlijke levenssfeer (zie in die zin arresten van 13 mei 2014, Google Spain en Google, C‑131/12, EU:C:2014:317, punt 53, en 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punt 38). In overweging 10 wordt gepreciseerd dat de onderlinge aanpassing van de ter zake geldende nationale wetgevingen niet tot een verzwakking van de door deze wetgevingen geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Unie te waarborgen (arresten van 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punt 95; 16 december 2008, Huber, C‑524/06, EU:C:2008:724, punt 50, en 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 en C‑469/10, EU:C:2011:777, punt 28). |
51 |
Dat een lidstaat in zijn nationale regeling aan een vereniging die consumentenbelangen behartigt, de mogelijkheid biedt om een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, kan geenszins de doelstellingen van richtlijn 95/46 ondermijnen, maar draagt juist bij aan de verwezenlijking van deze doelstellingen. |
52 |
Fashion ID en Facebook Ireland voeren echter aan dat met richtlijn 95/46 een volledige harmonisatie van de nationale bepalingen inzake gegevensbescherming tot stand is gebracht, zodat elke rechtsvordering waarin die richtlijn niet uitdrukkelijk voorziet, uitgesloten is. In de artikelen 22, 23 en 28 van richtlijn 95/46 wordt volgens hen enkel voorzien in een rechtsvordering voor de betrokkenen en voor de toezichthoudende autoriteiten op het gebied van gegevensbescherming. |
53 |
Dit betoog kan echter niet slagen. |
54 |
Het klopt dat richtlijn 95/46 leidt tot een – in beginsel volledige – harmonisatie van de nationale wettelijke regelingen inzake de bescherming van persoonsgegevens (zie in die zin arresten van 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 en C‑469/10, EU:C:2011:777, punt 29, en 7 november 2013, IPI, C‑473/12, EU:C:2013:715, punt 31). |
55 |
Het Hof heeft dan ook geoordeeld dat artikel 7 van die richtlijn een uitputtende en limitatieve lijst bevat van de gevallen waarin een verwerking van persoonsgegevens als rechtmatig kan worden aangemerkt, en dat de lidstaten aan dat artikel geen nieuwe beginselen inzake de toelaatbaarheid van de verwerking van persoonsgegevens mogen toevoegen, noch bijkomende vereisten mogen vaststellen die de reikwijdte van een van de zes in dat artikel vervatte beginselen zouden wijzigen (arresten van 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 en C‑469/10, EU:C:2011:777, punten 30 en 32, en 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punt 57). |
56 |
Het Hof heeft echter eveneens verduidelijkt dat richtlijn 95/46 regels bevat die vrij algemeen zijn, aangezien deze richtlijn voor een groot aantal zeer uiteenlopende situaties behoort te gelden. Deze regels worden gekenmerkt door een zekere soepelheid en laten het in tal van gevallen aan de lidstaten over om de bijzonderheden te regelen of een keuze uit verschillende mogelijkheden te maken, zodat de lidstaten bij de omzetting van die richtlijn in velerlei opzicht over speelruimte beschikken (zie in die zin arresten van 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punten 83, 84 en 97, en 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 en C‑469/10, EU:C:2011:777, punt 35). |
57 |
Dit geldt voor de artikelen 22, 23 en 24 van richtlijn 95/46, die – zoals de advocaat-generaal in punt 42 van zijn conclusie heeft opgemerkt – in algemene bewoordingen zijn gesteld, en die geen uitputtende harmonisatie tot stand brengen van de nationale bepalingen inzake beroepen die bij de rechter kunnen worden ingesteld tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens (zie naar analogie arrest van 26 oktober 2017, I, C‑195/16, EU:C:2017:815, punten 57 en 58). |
58 |
Met name wordt weliswaar bij artikel 22 van richtlijn 95/46 aan de lidstaten de verplichting opgelegd om te bepalen dat eenieder beroep bij de rechter kan instellen wanneer inbreuk wordt gemaakt op de rechten die aan de betrokkene worden gegarandeerd door het nationale recht dat van toepassing is op de betreffende verwerking van persoonsgegevens, maar in geen enkele bepaling van die richtlijn wordt specifiek geregeld onder welke voorwaarden dat beroep kan worden ingesteld (zie in die zin arrest van 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punten 54 en 55). |
59 |
Daarnaast is in artikel 24 van richtlijn 95/46 bepaald dat de lidstaten „passende maatregelen” nemen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen, zonder dat dergelijke maatregelen in dat artikel worden gedefinieerd. Dat aan een vereniging die consumentenbelangen behartigt, de mogelijkheid wordt geboden om een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, lijkt te kunnen worden aangemerkt als een in die bepaling bedoelde passende maatregel, die – zoals in punt 51 van het onderhavige arrest is opgemerkt – overeenkomstig de rechtspraak van het Hof bijdraagt aan de verwezenlijking van de met die richtlijn nagestreefde doelstellingen (zie in die zin arrest van 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punt 97). |
60 |
Voorts lijkt het feit dat een lidstaat in zijn nationale regeling voorziet in een dergelijke mogelijkheid, anders dan Fashion ID stelt, geen afbreuk te doen aan de onafhankelijkheid waarmee de toezichthoudende autoriteiten de hun overeenkomstig artikel 28 van richtlijn 95/46 opgedragen taken behoren uit te voeren, aangezien die mogelijkheid niet van invloed is op de beslissings- en handelingsvrijheid van die autoriteiten. |
61 |
Bovendien behoort richtlijn 95/46 weliswaar niet tot de in bijlage I bij richtlijn 2009/22 opgesomde handelingen, maar is met laatstgenoemde richtlijn volgens artikel 7 ervan geen uitputtende harmonisatie tot stand is gebracht. |
62 |
Ten slotte impliceert het feit dat het de lidstaten op grond van artikel 80, lid 2, van verordening 2016/679 – die verordening richtlijn 95/46 heeft ingetrokken en vervangen en die van toepassing is sinds 25 mei 2018 – uitdrukkelijk is toegestaan om verenigingen die consumentenbelangen behartigen, de mogelijkheid te bieden in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, geenszins dat de lidstaten hun dit recht onder de vigeur van richtlijn 95/46 niet mochten toekennen, maar wordt door dat feit juist bevestigd dat de in dit arrest in aanmerking genomen uitlegging van die richtlijn de wil van de Uniewetgever weerspiegelt. |
63 |
Gelet op een en ander dient op de eerste prejudiciële vraag te worden geantwoord dat de artikelen 22, 23 en 24 van richtlijn 95/46 aldus moeten worden uitgelegd dat zij niet in de weg staan aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens. |
Tweede prejudiciële vraag
64 |
Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of de beheerder van een internetsite, zoals Fashion ID, die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug‑in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, kan worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46, hoewel hij geen invloed heeft op de verwerking van de aldus aan die aanbieder doorgezonden gegevens. |
65 |
In dit verband zij eraan herinnerd dat in artikel 2, onder d), van richtlijn 95/46 – in overeenstemming met de doelstelling van deze richtlijn, die erin bestaat met betrekking tot de verwerking van persoonsgegevens te zorgen voor een hoog niveau van bescherming van de grondrechten en vrijheden van natuurlijke personen en met name van hun persoonlijke levenssfeer – een ruime definitie wordt gegeven van het begrip „voor de verwerking verantwoordelijke”, waarmee wordt gedoeld op de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die respectievelijk dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (zie in die zin arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punten 26 en 27). |
66 |
Zoals het Hof reeds heeft geoordeeld, heeft die bepaling namelijk tot doel via een ruime omschrijving van het begrip „verantwoordelijke” een doeltreffende en volledige bescherming van de betrokkenen te verzekeren (arresten van 13 mei 2014, Google Spain en Google, C‑131/12, EU:C:2014:317, punt 34, en 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 28). |
67 |
Bovendien ziet het begrip „voor de verwerking verantwoordelijke” – zoals uitdrukkelijk is bepaald in artikel 2, onder d), van richtlijn 95/46 – op het lichaam dat „alleen of tezamen met anderen” het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, zodat dit begrip niet noodzakelijk verwijst naar een enkel lichaam en betrekking kan hebben op meerdere deelnemers aan deze verwerking, die dan alle onder de bepalingen inzake gegevensbescherming vallen (zie in die zin arresten van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 29, en 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 65). |
68 |
Het Hof heeft eveneens geoordeeld dat een natuurlijke of rechtspersoon die om hem moverende redenen invloed uitoefent op de verwerking van persoonsgegevens en daardoor deelneemt aan de vaststelling van het doel van en de middelen voor deze verwerking, kan worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46 (arrest van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 68). |
69 |
Daarbij komt dat de omstandigheid dat meerdere actoren op grond van die bepaling gezamenlijk verantwoordelijk zijn voor een en dezelfde verwerking, niet onderstelt dat ieder van hen toegang heeft tot de betrokken persoonsgegevens (zie in die zin arresten van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 38, en 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 69). |
70 |
Echter, hoewel artikel 2, onder d), van richtlijn 95/46 tot doel heeft, door een ruime omschrijving van het begrip „verantwoordelijke”, een doeltreffende en volledige bescherming van de betrokkenen te verzekeren, leidt het bestaan van een gezamenlijke verantwoordelijkheid van de verschillende actoren niet noodzakelijk tot een gelijkwaardige verantwoordelijkheid voor één en dezelfde verwerking van persoonsgegevens. Integendeel, die actoren kunnen in verschillende stadia en in verschillende mate bij deze verwerking betrokken zijn, zodat bij de beoordeling van het niveau van verantwoordelijkheid van ieder van hen rekening moet worden gehouden met alle relevante omstandigheden van het concrete geval (zie in die zin arrest van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 66). |
71 |
In dit verband zij ten eerste opgemerkt dat de „verwerking van persoonsgegevens” in artikel 2, onder b), van richtlijn 95/46 wordt gedefinieerd als „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”. |
72 |
Uit deze definitie volgt dat een verwerking van persoonsgegevens kan bestaan uit een of meerdere bewerkingen, die elk betrekking hebben op een van de verschillende fasen waarin een verwerking van persoonsgegevens kan plaatsvinden. |
73 |
Ten tweede volgt uit de in punt 65 van dit arrest in herinnering gebrachte definitie die in artikel 2, onder d), van richtlijn 95/46 wordt gegeven van het begrip „voor de verwerking verantwoordelijke”, dat verschillende actoren die gezamenlijk het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen, als verantwoordelijken deelnemen aan deze verwerking. |
74 |
Zoals de advocaat-generaal in punt 101 van zijn conclusie in wezen heeft opgemerkt, kan een natuurlijke of rechtspersoon voor bewerkingen die verband houden met de verwerking van persoonsgegevens dan ook slechts gezamenlijk met anderen verantwoordelijk zijn in de zin van artikel 2, onder d), van richtlijn 95/46 wanneer hij samen met die anderen het doel van en de middelen voor die bewerkingen vaststelt. Daarentegen kan die natuurlijke of rechtspersoon, onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht in dit verband voorziet, niet worden geacht in de zin van die bepaling verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt. |
75 |
In casu volgt uit het dossier waarover het Hof beschikt, onder voorbehoud van de door de verwijzende rechter te verrichten verificaties, dat Fashion ID het door de integratie van de vind-ik-leukknop van Facebook in haar internetsite voor Facebook Ireland mogelijk lijkt te hebben gemaakt om persoonsgegevens van de bezoekers van de Fashion ID-internetsite te verkrijgen, waarbij deze mogelijkheid ontstaat zodra die internetsite wordt geraadpleegd, ongeacht of die bezoekers lid zijn van het sociaal netwerk Facebook, op de vind-ik-leukknop van Facebook hebben geklikt of van die bewerking op de hoogte waren. |
76 |
Gelet op deze informatie moet worden geconstateerd dat de bewerkingen die verband houden met de verwerking van persoonsgegevens en waarvan respectievelijk waarvoor Fashion ID samen met Facebook Ireland het doel en de middelen kan vaststellen, met het oog op de definitie die in artikel 2, onder b), van richtlijn 95/46 wordt gegeven van het begrip „verwerking van persoonsgegevens”, bestaan in het verzamelen en door middel van doorzending verstrekken van persoonsgegevens van de bezoekers van de Fashion ID-internetsite. Daarentegen lijkt het gelet op diezelfde informatie op het eerste gezicht uitgesloten dat Fashion ID het doel en de middelen van respectievelijk voor bewerkingen vaststelt die verband houden met de verwerking van persoonsgegevens en die door Facebook Ireland worden uitgevoerd op een later tijdstip, nadat haar de betreffende gegevens zijn doorgezonden, zodat Fashion ID niet kan worden geacht voor die bewerkingen verantwoordelijk te zijn in de zin van artikel 2, onder d). |
77 |
Wat betreft de middelen die worden gebruikt voor het verzamelen en door middel van doorzending verstrekken van bepaalde persoonsgegevens van de bezoekers van de Fashion ID-internetsite, volgt uit punt 75 van dit arrest dat Fashion ID de vind-ik-leukknop die door Facebook Ireland ter beschikking wordt gesteld van de beheerders van internetsites, op haar internetsite lijkt te hebben ingevoegd in de wetenschap dat die knop dient als instrument voor het verzamelen en doorzenden van persoonsgegevens van de bezoekers van die site, ongeacht of deze lid zijn van het sociaal netwerk Facebook. |
78 |
Door een dergelijke social plug-in in zijn internetsite in te voegen, oefent Fashion ID overigens op beslissende wijze invloed uit op het verzamelen en doorzenden van de persoonsgegevens van de bezoekers van die site ten gunste van de aanbieder van die plug-in, in casu Facebook Ireland, waarbij het verzamelen en doorzenden van die gegevens niet zou plaatsvinden indien die plug-in niet was ingevoegd. |
79 |
In deze omstandigheden en onder voorbehoud van de ter zake door de verwijzende rechter te verrichten verificaties, moet worden geoordeeld dat Facebook Ireland en Fashion ID samen de middelen vaststellen die ten grondslag liggen aan de bewerkingen die bestaan in het verzamelen en door middel van doorzending verstrekken van persoonsgegevens van de bezoekers van de Fashion ID-internetsite. |
80 |
Wat betreft het doel van de bovengenoemde bewerkingen die verband houden met de verwerking van persoonsgegevens, lijkt het feit dat Fashion ID de vind-ik-leukknop van Facebook heeft ingevoegd op haar internetsite, haar in staat te stellen om de reclame voor haar producten te optimaliseren door de zichtbaarheid ervan op het sociaal netwerk Facebook te vergroten wanneer een bezoeker van haar internetsite op die knop klikt. Het verkrijgen van dit commerciële voordeel, dat in meer reclame voor haar producten bestaat, lijkt de reden te zijn waarom Fashion ID, door het invoegen van die knop op haar internetsite, op zijn minst impliciet heeft ingestemd met het verzamelen en door middel van doorzending verstrekken van de persoonsgegevens van de bezoekers van haar site, met dien verstande dat deze verwerkingshandelingen zowel worden verricht in het economische belang van Fashion ID als in dat van Facebook Ireland, waarvoor het feit dat zij voor haar eigen commerciële doeleinden over die gegevens kan beschikken, de tegenprestatie vormt voor het aan Fashion ID verschafte voordeel. |
81 |
In deze omstandigheden kan, onder voorbehoud van de door de verwijzende rechter te verrichten verificaties, ervan worden uitgegaan dat Fashion ID en Facebook Ireland samen het doel vaststellen van de in het hoofdgeding aan de orde zijnde bewerkingen die bestaan in het verzamelen en door middel van doorzending verstrekken van persoonsgegevens. |
82 |
Bovendien staat, zoals blijkt uit de in punt 69 van dit arrest aangehaalde rechtspraak, de omstandigheid dat de beheerder van een internetsite, zoals Fashion ID, zelf geen toegang heeft tot de persoonsgegevens die worden verzameld en die worden doorgezonden aan de aanbieder van een social plug-in met wie hij samen het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt, er niet aan in de weg dat die beheerder de hoedanigheid van „voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46 heeft. |
83 |
Overigens zij beklemtoond dat een internetsite als Fashion ID zowel wordt bezocht door personen die lid zijn van het sociaal netwerk Facebook en die dus een Facebook-account hebben, als door personen die geen Facebook-account hebben. In laatstgenoemd geval is de verantwoordelijkheid van de beheerder van een internetsite, zoals Fashion ID, voor de verwerking van de persoonsgegevens van die personen nog groter, omdat het louter raadplegen van deze site met daarop de vind-ik-leukknop van Facebook aanleiding lijkt te geven tot de verwerking van hun persoonsgegevens door Facebook Ireland (zie in die zin arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 41). |
84 |
Bijgevolg kan Fashion ID samen met Facebook Ireland worden geacht voor het verzamelen en door middel van doorzending verstrekken van persoonsgegevens van de bezoekers van haar internetsite verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46. |
85 |
Gelet op een en ander dient op de tweede prejudiciële vraag te worden geantwoord dat de beheerder van een internetsite, zoals Fashion ID, die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, kan worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46. Deze verantwoordelijkheid is evenwel beperkt tot de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt, te weten het verzamelen en door middel van doorzending verstrekken van de gegevens in kwestie. |
Derde prejudiciële vraag
86 |
Gelet op het antwoord op de tweede prejudiciële vraag hoeft de derde prejudiciële vraag niet te worden beantwoord. |
Vierde prejudiciële vraag
87 |
Met zijn vierde vraag wenst de verwijzende rechter in wezen te vernemen of in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van deze site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, voor de toepassing van artikel 7, onder f), van richtlijn 95/46 het gerechtvaardigde belang van die beheerder dan wel dat van die aanbieder in aanmerking dient te worden genomen. |
88 |
Vooraf zij opgemerkt dat deze vraag volgens de Commissie niet relevant is voor de beslechting van het hoofdgeding, omdat de op grond van artikel 5, lid 3, van richtlijn 2002/58 vereiste toestemming van de betrokkenen niet is verkregen. |
89 |
In dit verband moet worden geconstateerd dat de lidstaten er volgens die bepaling zorg voor moeten dragen dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn 95/46, onder meer over de doeleinden van de verwerking. |
90 |
Het staat aan de verwijzende rechter om na te gaan of de aanbieder van een social plug-in, zoals Facebook Ireland, in een situatie als die welke in het hoofdgeding aan de orde is, toegang heeft – zoals de Commissie stelt – tot informatie die in de zin van artikel 5, lid 3, van richtlijn 2002/58 is opgeslagen in de eindapparatuur van wie de internetsite van de beheerder van deze site bezoekt. |
91 |
Derhalve doen de overwegingen van de Commissie – gelet op het feit dat de verwijzende rechter lijkt aan te nemen dat de aan Facebook Ireland doorgezonden gegevens in casu persoonsgegevens in de zin van richtlijn 95/46 zijn, die overigens niet noodzakelijk beperkt zijn tot informatie die in de eindapparatuur is opgeslagen, wat de verwijzende rechter dient te bevestigen – niet af aan de relevantie van de vierde prejudiciële vraag, die betrekking heeft op de eventuele rechtmatigheid van de in het hoofdgeding aan de orde zijnde gegevensverwerking, voor de beslechting van het hoofdgeding, zoals ook de advocaat-generaal in punt 115 van zijn conclusie heeft opgemerkt. |
92 |
Onderzocht dient dan ook te worden welk gerechtvaardigd belang in aanmerking moet worden genomen voor de toepassing van artikel 7, onder f), van richtlijn 95/46 op de gegevensverwerking. |
93 |
In dit verband moet om te beginnen in herinnering worden gebracht dat volgens hoofdstuk II van richtlijn 95/46, met als opschrift „Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens”, elke verwerking van persoonsgegevens, onder voorbehoud van de op grond van artikel 13 van deze richtlijn toegestane uitzonderingen, meer bepaald moet stroken met een van de in artikel 7 van die richtlijn genoemde beginselen betreffende de toelaatbaarheid van gegevensverwerking (zie in die zin arresten van 13 mei 2014, Google Spain en Google, C‑131/12, EU:C:2014:317, punt 71, en 1 oktober 2015, Bara e.a., C‑201/14, EU:C:2015:638, punt 30). |
94 |
Volgens artikel 7, onder f), van richtlijn 95/46, om de uitlegging waarvan de verwijzende rechter verzoekt, is de verwerking van persoonsgegevens rechtmatig indien zij noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak heeft op bescherming uit hoofde van artikel 1, lid 1, van die richtlijn, niet prevaleren. |
95 |
In artikel 7, onder f), van richtlijn 95/46 zijn dus drie cumulatieve voorwaarden gesteld waaraan moet zijn voldaan opdat een verwerking van persoonsgegevens rechtmatig is, te weten, in de eerste plaats, de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, in de tweede plaats, de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang, en, in de derde plaats, de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren (arrest van 4 mei 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, punt 28). |
96 |
Aangezien uit het antwoord op de tweede prejudiciële vraag blijkt dat in een situatie als die welke aan de orde is in het hoofdgeding, de beheerder van een internetsite die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, kan worden geacht samen met die aanbieder verantwoordelijk te zijn voor de bewerkingen die verband houden met de verwerking van de persoonsgegevens van de bezoekers van zijn internetsite en die bestaan in het verzamelen en door middel van doorzending verstrekken van die gegevens, zijn deze verwerkingshandelingen ten aanzien van elk van die verantwoordelijken enkel gerechtvaardigd indien elk van hen daarmee een gerechtvaardigd belang behartigt in de zin van artikel 7, onder f), van richtlijn 95/46. |
97 |
Gelet op een en ander dient op de vierde prejudiciële vraag te worden geantwoord dat in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van de bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, deze verwerkingshandelingen ten aanzien van die beheerder en die aanbieder enkel gerechtvaardigd zijn indien elk van hen daarmee een gerechtvaardigd belang behartigt in de zin van artikel 7, onder f), van richtlijn 95/46. |
Vijfde en zesde prejudiciële vraag
98 |
Met zijn vijfde en zijn zesde vraag, die gezamenlijk dienen te worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of, ten eerste, artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 aldus moeten worden uitgelegd dat in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug‑in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, de op grond van die bepalingen vereiste toestemming moet worden verkregen door die beheerder dan wel door die aanbieder, en of, ten tweede, artikel 10 van die richtlijn aldus moet worden uitgelegd dat in een dergelijke situatie de in deze bepaling neergelegde verplichting tot informatieverstrekking rust op die beheerder. |
99 |
Zoals blijkt uit het antwoord op de tweede prejudiciële vraag, kan de beheerder van een internetsite die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van de bezoeker van deze site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van die bezoeker aan deze aanbieder doorzendt, worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46, zij het dat deze verantwoordelijkheid beperkt is tot de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt. |
100 |
Derhalve moeten de verplichtingen die krachtens richtlijn 95/46 kunnen rusten op de voor de verwerking verantwoordelijke – zoals de verplichting om de in artikel 2, onder h), en artikel 7, onder a), van deze richtlijn bedoelde toestemming van de betrokkene te verkrijgen, alsook de in artikel 10 van die richtlijn neergelegde verplichting tot informatieverstrekking – betrekking hebben op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt. |
101 |
In casu kan de beheerder van een internetsite die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van de bezoeker van deze site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, weliswaar samen met die aanbieder worden geacht verantwoordelijk te zijn voor de bewerkingen die bestaan in het verzamelen en door middel van doorzending verstrekken van de persoonsgegevens van die bezoeker, maar hebben zijn verplichting om de in artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 bedoelde toestemming van de betrokkene te verkrijgen alsook de in artikel 10 van deze richtlijn neergelegde verplichting tot informatieverstrekking enkel betrekking op die bewerkingen. Daarentegen gelden deze verplichtingen niet voor de in voorkomend geval met de betreffende verwerking van persoonsgegevens gepaard gaande bewerkingen die verband houden met de verwerking van persoonsgegevens in fasen die voorafgaan aan of volgen op de bovengenoemde bewerkingen. |
102 |
De op grond van artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 vereiste toestemming moet worden verleend voordat de gegevens van de betrokkene worden verzameld en door middel van doorzending worden verstrekt. Deze toestemming moet dan ook worden verkregen door de beheerder van de internetsite en niet door de aanbieder van de social plug-in, aangezien de raadpleging van die internetsite door een bezoeker aanleiding geeft tot de verwerking van persoonsgegevens. Zoals de advocaat-generaal in punt 132 van zijn conclusie heeft opgemerkt, zou het namelijk niet in overeenstemming zijn met de doelmatige en tijdige bescherming van de rechten van de betrokkene dat de toestemming enkel wordt verleend aan de samen met een ander voor de verwerking verantwoordelijke die op een later tijdstip een rol speelt, te weten de aanbieder van die plug-in. De aan de beheerder te verlenen toestemming heeft echter enkel betrekking op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor die beheerder daadwerkelijk het doel en de middelen vaststelt. |
103 |
Hetzelfde geldt voor de in artikel 10 van richtlijn 95/46 neergelegde verplichting tot informatieverstrekking. |
104 |
In dit verband blijkt uit de bewoordingen van deze bepaling dat de voor de verwerking verantwoordelijke of zijn vertegenwoordiger ten minste de in die bepaling vermelde informatie moet verstrekken aan de betrokkene, bij wie hij gegevens verzamelt. De voor de verwerking verantwoordelijke moet deze informatie dan ook onmiddellijk verstrekken, dat wil zeggen op het ogenblik waarop de gegevens worden verzameld (zie in die zin arresten van 7 mei 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punt 68, en 7 november 2013, IPI, C‑473/12, EU:C:2013:715, punt 23). |
105 |
Hieruit volgt dat ook de in artikel 10 van richtlijn 95/46 neergelegde verplichting tot informatieverstrekking in een situatie als die welke in het hoofdgeding aan de orde is, rust op de beheerder van de internetsite, zij het dat de door hem aan de betrokkene te verstrekken informatie enkel betrekking dient te hebben op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor die beheerder daadwerkelijk het doel en de middelen vaststelt. |
106 |
Gelet op een en ander dient op de vijfde en de zesde prejudiciële vraag te worden geantwoord dat artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 aldus moeten worden uitgelegd dat in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug‑in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, de op grond van die bepalingen vereiste toestemming enkel door die beheerder moet worden verkregen voor de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij het doel en de middelen vaststelt. Daarnaast moet artikel 10 van die richtlijn aldus worden uitgelegd dat ook de daarin neergelegde verplichting tot informatieverstrekking in een dergelijke situatie rust op die beheerder, zij het dat de door hem aan de betrokkene te verstrekken informatie enkel betrekking dient te hebben op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt. |
Kosten
107 |
Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking. |
Het Hof (Tweede kamer) verklaart voor recht: |
|
|
|
|
ondertekeningen |
( *1 ) Procestaal: Duits.