1.

Den nu aktuella begäran om förhandsavgörande har framställts av Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf, Tyskland) i ett mål mellan bolag i koncernen Meta Platforms ( 2 ) och Bundeskartellamt (den federala konkurrensmyndigheten, Tyskland). Tvisten rör Bundeskartellamts beslut att förbjuda klaganden i det nationella målet att behandla uppgifter på det sätt som anges i användarvillkoren för det sociala nätverket Facebook och att tillämpa dessa användarvillkor samt att förelägga koncernen att upphöra med denna behandling. ( 3 )

2.

Tolkningsfrågorna avser i huvudsak dels huruvida en nationell konkurrensmyndighet, såsom Bundeskartellamt, är behörig att, i huvudsyfte eller i anslutning därtill, granska ett företags handlande mot bakgrund av vissa bestämmelser i förordning (EU) 2016/679, ( 4 ) dels hur dessa bestämmelser ska tolkas, bland annat när det gäller behandling av känsliga personuppgifter, relevanta villkor för laglig behandling av personuppgifter och frivilligt samtycke vad avser ett företag med dominerande ställning.

3.

I artikel 4 i dataskyddsförordningen anges följande:

”I denna förordning avses med

…

…”

4.

Artikel 6.1 i förordningen, som har rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:

”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.”

5.

I artikel 9.1 och 9.2 i förordningen, som har rubriken ”Behandling av särskilda kategorier av personuppgifter”, föreskrivs följande:

”1.   Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.   Punkt 1 ska inte tillämpas om något av följande gäller:

…

…”

6.

I artikel 51 i förordningen, som har rubriken ”Tillsynsmyndighet” och ingår i kapitel VI i förordningen, vilket i sin tur har rubriken ”Oberoende tillsynsmyndigheter”, föreskrivs följande:

”1.   Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen …

2.   Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.

…”

7.

I 19 § 1 i Gesetz gegen Wettbewerbsbeschränkungen (lag om förbud mot konkurrensbegränsningar) (nedan kallad GWB) föreskrivs följande:

”Missbruk av en dominerande ställning på marknaden av ett eller flera företag är förbjudet.” ( 5 )

8.

I 50f § GWB föreskrivs följande:

”1)   Konkurrensmyndigheter, tillsynsmyndigheter, förbundsansvarig för dataskydd och informationsfrihet, länderansvariga för dataskydd samt behöriga myndigheter enligt artikel 2 i EU-Verbraucherschutzdurchführungsgesetz (lag om genomförande av EU:s konsumentskyddsrätt) får, oavsett vilket förfarande som valts, sinsemellan utbyta uppgifter, däribland personuppgifter och affärshemligheter, i den mån det är nödvändigt för att de ska kunna fullgöra sina respektive uppdrag samt använda dessa uppgifter i sina förfaranden. …”

9.

Meta Platforms hanterar det sociala nätverket Facebooks onlineutbud i Europeiska unionen (på adressen www.facebook.com) och även andra onlinetjänster, till exempel Instagram och WhatsApp. Den ekonomiska modellen för de sociala nätverk som hanteras av Meta Platforms går i allt väsentligt ut på att dels erbjuda privata användare sociala nätverkstjänster gratis, dels sälja onlinereklam som anpassas till varje enskild användare av det sociala nätverket och som är avsedd att visa användaren varor och tjänster som kan intressera honom eller henne, bland annat utifrån användarens individuella konsumtionsmönster, intressen, köpkraft och livssituation. Denna typ av reklam bygger tekniskt sett på att mycket detaljerade användarprofiler skapas automatiskt för alla som använder nätverket och koncernens onlinetjänster. ( 6 )

10.

För att kunna samla in och behandla uppgifter om användarna grundar sig Meta Platforms på ett användaravtal som ingås med användarna när de genom att klicka på knappen ”gå med” godtar Facebooks användarvillkor. Ett väsentligt villkor för att kunna använda det sociala nätverket Facebook är att man godtar dessa användarvillkor. ( 7 ) Den centrala frågan i detta mål rör ett tillvägagångssätt som går ut på att för det första samla in uppgifter från andra tjänster inom koncernen och från andra webbplatser och applikationer med hjälp av gränssnitt som är integrerade med de sistnämnda eller med hjälp av kakor som registreras i användarens dator eller mobila enhet, för det andra sätta uppgifterna i relation till den berörda användarens Facebookkonto och, för det tredje, använda uppgifterna (nedan kallat det omtvistade tillvägagångssättet).

11.

Bundeskartellamt inledde ett förfarande mot Meta Platforms och beslutade, genom det omtvistade beslutet, att Meta Platforms inte fick vare sig behandla uppgifter på det sätt som angavs i Facebooks användarvillkor eller tillämpa dessa villkor och förelade koncernen att upphöra med denna behandling. Bundeskartellamt motiverade beslutet bland annat med att behandlingen i fråga utgjorde missbruk av bolagets dominerande ställning på marknaden för sociala nätverk för privatanvändare i Tyskland, i den mening som avses i 19 § GWB. ( 8 )

12.

Den 11 februari 2019 överklagade Meta Platforms det omtvistade beslutet vid Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf), ( 9 ) som är den hänskjutande domstolen. Denna domstol är tveksam dels till huruvida det är möjligt för nationella konkurrensmyndigheter att kontrollera att en behandling av uppgifter uppfyller kraven i dataskyddsförordningen samt att fastställa och besluta om påföljder för åsidosättande av dataskyddsförordningens bestämmelser, dels till hur vissa bestämmelser i denna förordning ska tolkas och tillämpas.

13.

Mot denna bakgrund beslutade Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf) att vilandeförklara målet och ställa följande frågor till domstolen:

Om fråga 7 ska besvaras jakande krävs ett svar på frågorna 3–5 med avseende på uppgifter som härrör från användningen av koncernens tjänst Instagram.”

14.

Skriftliga yttranden har inkommit från Meta Platforms och från den tyska, tjeckiska, italienska och österrikiska regeringen samt från Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (konsumentskyddsorganisation, Tyskland) och Europeiska kommissionen. Dessa parter yttrade sig även muntligen vid förhandlingen den 10 maj 2022.

15.

Huvudföremålet för tolkningsfrågorna i detta mål, vilka rör tolkningen av flera bestämmelser i dataskyddsförordningen, är för det första en konkurrensmyndighets behörighet att fastställa och besluta om påföljder för åsidosättande av bestämmelserna om behandling av personuppgifter och dess skyldigheter att samarbeta med den ansvariga myndigheten enligt dataskyddsförordningen (tolkningsfråga 1 och 7), för det andra förbudet mot behandling av känsliga personuppgifter och villkoren för samtycke till att sådana uppgifter används (tolkningsfråga 2), för det tredje lagenligheten av behandlingen av personuppgifter mot bakgrund av vissa motiveringar (tolkningsfråga 3–5) och, för det fjärde, giltigheten av ett samtycke till behandling av personuppgifter som lämnats till ett företag med en dominerande ställning (tolkningsfråga 6).

16.

I de följande punkterna behandlar jag först tolkningsfråga 1 och 7 och därefter de övriga frågorna, i den ordning de ställts, varvid tolkningsfrågorna 3–5 behandlas tillsammans.

17.

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida en konkurrensmyndighet, när den beivrar överträdelser av konkurrensreglerna, får uttala sig i första hand ( 10 ) om ett åsidosättande av dataskyddsförordningens bestämmelser om behandling av personuppgifter som begås av ett företag vars huvudsakliga verksamhetsställe, vilket är ensamt ansvarigt för all behandling av personuppgifter i unionen, är beläget i en annan medlemsstat och meddela föreläggande om att överträdelsen ska upphöra (fråga 1 a) och, i så fall, huruvida den ansvariga tillsynsmyndigheten enligt artikel 56.1 i dataskyddsförordningen fortfarande kan granska villkoren för företagets behandling av personuppgifter (fråga 1 b).

18.

Bundeskartellamt tycks emellertid inte, med förbehåll för den hänskjutande domstolens prövning, i det omtvistade beslutet ha beivrat Meta Platforms överträdelse av dataskyddsförordningen, utan har granskat Meta Platforms påstådda missbruk av en dominerande ställning endast i syfte att tillämpa konkurrensreglerna med beaktande bland annat av företagets beteende som stod i strid med förordningens bestämmelser.

19.

Jag anser följaktligen att fråga 1 a är verkningslös, eftersom den rör en konkurrensmyndighets möjlighet att uttala sig i första hand om en överträdelse av dataskyddsförordningens bestämmelser och meddela föreläggande om att överträdelsen i den mening som avses i denna förordning. ( 11 )

20.

Följaktligen är även fråga 1 b, som förutsätter ett jakande svar på fråga 1 a, verkningslös. ( 12 )

21.

Den hänskjutande domstolen har ställt fråga 7 för att få klarhet i huruvida en konkurrensmyndighet, i anslutning till att den beivrar överträdelser av konkurrensreglerna, ( 13 ) får fastställa huruvida villkoren för behandling av personuppgifter och deras genomförande är förenliga med dataskyddsförordningen (fråga 7 a) och, i så fall, huruvida konkurrensmyndigheten även kan göra denna bedömning samtidigt som dessa villkor granskas av den ansvariga tillsynsmyndigheten (fråga 7 b).

22.

Vad i första hand gäller fråga 7 a, anser jag att även om en konkurrensmyndighet inte är behörig att fastställa en överträdelse av dataskyddsförordningen, ( 14 ) utgör förordningen i princip inget hinder för att andra myndigheter än tillsynsmyndigheten vid utövandet av sina egna behörigheter och befogenheter i anslutning till detta får ta hänsyn till huruvida ett beteende är förenligt med dataskyddsförordningens bestämmelser. Jag anser att så bland annat är fallet när det gäller en konkurrensmyndighets utövande av sina befogenheter enligt artikel 102 FEUF och artikel 5 första stycket i förordning (EG) nr 1/2003 ( 15 ) eller enligt någon annan motsvarande nationell bestämmelse. ( 16 )

23.

När en konkurrensmyndighet utövar sin behörighet ska den bland annat bedöma huruvida det beteende som granskas innebär ett användande av andra medel än dem som hör till prestationskonkurrens, med beaktande av det rättsliga och ekonomiska sammanhang som beteendet ingår i. ( 17 ) Ett viktigt indicium när det gäller att fastställa huruvida beteendet ska betraktas som användande av metoder som räknas till normal konkurrens kan vara huruvida beteende, inte i sig utan med hänsyn till alla omständigheter i det aktuella fallet, är förenligt eller inte med dataskyddsförordningens bestämmelser. Jag vill samtidigt förtydliga att det inte är frågan huruvida ett beteende är förenligt eller inte med dataskyddsförordningen eller med andra rättsregler som avgör om beteendet ska betraktas som missbruk mot bakgrund av artikel 102 FEUF. ( 18 )

24.

Jag anser följaktligen att en granskning avseende missbruk av en dominerande ställning på marknaden kan motivera att en konkurrensmyndighet tolkar bestämmelser som inte hör till konkurrensrätten, till exempel dataskyddsförordningens bestämmelser ( 19 ), samtidigt som det anges att en sådan tolkning företas i anslutning till en granskning som har ett annat syfte ( 20 ) och inte vinner företräde över de behöriga tillsynsmyndigheternas tillämpning av dataskyddsförordningen. ( 21 )

25.

Vad i andra hand gäller tolkningsfråga 7 b har den hänskjutande domstolen ifrågasatt vilka skyldigheter en konkurrensmyndighet har, enligt principen om lojalt samarbete i artikel 4.3 FEU, i förhållande till den behöriga ansvariga tillsynsmyndigheten enligt dataskyddsförordningen, när den tolkar bestämmelserna i denna förordning och, närmare bestämt, när samma beteende som granskas av konkurrensmyndigheten är föremål för en granskning av behörig ansvarig tillsynsmyndighet.

26.

I det nu aktuella fallet innebär en konkurrensmyndighets granskning av ett företags beteende mot bakgrund av bestämmelserna i dataskyddsförordningen, även om den görs i anslutning till en granskning som har ett annat syfte, en risk för att konkurrensmyndighetens och tillsynsmyndigheternas tolkningar skiljer sig åt, vilket i princip kan äventyra en enhetlig tolkning av dataskyddsförordningen. ( 22 )

27.

Unionsrätten innehåller inga detaljerade regler om samarbetet mellan en konkurrensmyndighet och tillsynsmyndigheterna enligt dataskyddsförordningen i en sådan situation. I förevarande fall är varken mekanismen för samarbete mellan de behöriga myndigheterna enligt dataskyddsförordningen vid tillämpning av denna förordning ( 23 ) eller andra ingående regler om samarbete mellan förvaltningsmyndigheter, exempelvis reglerna om samarbete mellan konkurrensmyndigheter sinsemellan och mellan konkurrensmyndigheter och kommissionen vid tillämpning av konkurrensreglerna, ( 24 ) tillämpliga.

28.

En konkurrensmyndighet som tolkar dataskyddsförordningen är emellertid bunden av principen om lojalt samarbete enligt artikel 4.3 FEU, enligt vilken unionen och medlemsstaterna, vilket inbegriper deras förvaltningsmyndigheter, ( 25 ) ska respektera och bistå varandra när de fullgör de uppgifter som följer av fördragen. Enligt tredje stycket i denna bestämmelse ska medlemsstaterna hjälpa unionen att fullgöra sina uppgifter, och de ska avstå från varje åtgärd som kan äventyra fullgörandet av unionens mål. ( 26 ) Dessutom är en konkurrensmyndighet, precis som alla förvaltningsmyndigheter som ska tillämpa unionsrätten, bunden av principen om god förvaltningssed, en allmän unionsrättslig princip som bland annat inbegriper en omfattande omsorgsplikt för de nationella myndigheterna. ( 27 )

29.

I och med att det saknas närmare regler om samarbetsmekanismer, som det ankommer på unionslagstiftaren att eventuellt anta, omfattas en konkurrensmyndighet som tolkar dataskyddsförordningens bestämmelser åtminstone av skyldigheterna avseende information, upplysningar och samarbete med de behöriga myndigheterna enligt denna förordning, i enlighet med de nationella bestämmelser som reglerar konkurrensmyndighetens behörighet (principen om medlemsstaternas processuella autonomi) och med iakttagande av likvärdighetsprincipen och effektivitetsprincipen. ( 28 )

30.

Jag menar att detta innebär att konkurrensmyndigheten, för det fall att den behöriga ansvariga tillsynsmyndigheten har uttalat sig om tillämpningen av vissa bestämmelser i dataskyddsförordningen med avseende på ett identiskt eller liknande förfarande, i princip inte får frångå den tolkning som gjorts av denna myndighet, vilken är den enda behöriga för tillämpningen av denna förordning. ( 29 ) Konkurrensmyndigheten ska i möjligaste mån, och inte minst med iakttagande av de berörda personernas rätt till försvar, rätta sig efter beslut som tillsynsmyndigheten kan ha fattat om samma beteende ( 30 ) och härvid samråda med denna myndighet och eventuellt, om den behöriga tillsynsmyndigheten finns i en annan medlemsstat, samråda med den nationella tillsynsmyndigheten i händelse av tvivel om den behöriga myndighetens tolkning i det aktuella fallet. ( 31 )

31.

För det fall den behöriga tillsynsmyndigheten inte har fattat något beslut, ankommer det ändå på konkurrensmyndigheten att underrätta och samarbeta med denna tillsynsmyndighet ( 32 ) om den har inlett en granskning av samma tillvägagångssätt eller har visat sin avsikt att göra detta och eventuellt invänta utfallet av den sistnämnda myndighetens granskning innan konkurrensmyndigheten påbörjar sin egen bedömning, i den mån så är lämpligt och det inte påverkar konkurrensmyndighetens iakttagande av en rimlig utredningstid och de berörda personernas rätt till försvar. ( 33 )

32.

I det nu aktuella fallet framstår det som tillräckligt att Bundeskartellamt inledde ett samarbete med de nationellt ansvariga tillsynsmyndigheterna ( 34 ) och även informellt kontaktade den irländska ansvariga tillsynsmyndigheten, omständigheter som har anförts av Bundeskartellamt och som ska kontrolleras av den hänskjutande domstolen, för att denna myndighet ska anses ha fullgjort sina skyldigheter i fråga om omsorg och lojalt samarbete. ( 35 )

33.

Sammanfattningsvis föreslår jag att domstolen ska besvara tolkningsfråga 7 på följande sätt. Artiklarna 51–66 i dataskyddsförordningen ska tolkas så, att en konkurrensmyndighet i anslutning till en granskning som har ett annat syfte, inom ramen för sina befogenheter enligt konkurrenslagstiftningen, får granska det ifrågavarande beteendets förenlighet med dataskyddsförordningens bestämmelser. Konkurrensmyndigheten ska samtidigt beakta den enligt dataskyddsförordningen behöriga tillsynsmyndighetens eventuella beslut eller undersökningar och underrätta den nationella tillsynsmyndigheten om sin granskning och vid behov samråda med denna myndighet.

34.

Den hänskjutande domstolen har ställt tolkningsfråga 2 för att få klarhet i huruvida artikel 9.1 i dataskyddsförordningen ska tolkas så, att det omtvistade tillvägagångssättet, vad gäller besök på webbplatser och användning av appar som tillhör tredje part, ( 36 ) är hänförligt till sådan behandling av angivna känsliga personuppgifter ( 37 ) som är förbjuden ( 38 ) (fråga 2 a) och, i så fall, huruvida artikel 9.2 e i förordningen ska tolkas så, att en användare ska anses ha offentliggjort på ett tydligt sätt, i den mening som avses i denna bestämmelse, dels uppgifter som avslöjas när användaren besöker webbplatser och använder appar, dels uppgifter som fylls i eller blir följden av att användaren klickar på knappar som är integrerade i dessa webbplatser eller appar ( 39 ) (fråga 2 b).

35.

När det först gäller fråga 2 a vill jag erinra om att behandling av känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen är förbjuden. Dessa uppgifter ses som särskilt skyddsvärda, såsom framgår av skäl 51 i förordningen, på grund av att de till sin natur är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna och att behandling av sådana uppgifter kan innebära betydande risker för dessa fri- och rättigheter. Trots bestämmelsens något oklara lydelse ( 40 ) tycks den också, som den hänskjutande domstolen har antagit, göra en saklig skillnad mellan personuppgifter som är känsliga för att de ”avslöjar” en viss situation och personuppgifter som är känsliga i sig själva. ( 41 )

36.

I det nu aktuella fallet anser jag att det är uppenbart att det omtvistade tillvägagångssättet utgör en behandling av personuppgifter som i princip kan omfattas av tillämpningsområdet för denna bestämmelse och vara förbjuden, när de uppgifter som behandlas ”avslöjar” någon av de känsliga situationer som anges i bestämmelsen. Det ska alltså fastställas huruvida och i vilken mån besök på webbplatser och användning av appar eller den omständigheten att användaren fyller i uppgifter på webbplatserna och i appar kan ”avslöja” någon av de känsliga situationer som avses i den aktuella bestämmelsen.

37.

Jag tror inte att det är relevant (och alltid möjligt) att skilja mellan, å ena sidan, ett rent intresse hos den registrerade för vissa uppgifter och, å andra sidan, hans eller hennes tillhörighet till någon av de kategorier som avses i den aktuella bestämmelsen. ( 42 ) Parterna i det nationella målet har intagit motsatta ståndpunkter i detta avseende. ( 43 ) Jag anser emellertid att svaret på denna fråga endast står att finna i varje enskilt fall och med avseende på var och en av de aktiviteter som ingår i det omtvistade tillvägagångssättet.

38.

Enbart en insamling av känsliga personuppgifter om besök på en webbplats eller användning av en app behöver inte i sig, såsom den tyska regeringen har framhållit, nödvändigtvis betraktas som behandling av känsliga personuppgifter i den mening som avses i denna bestämmelse. ( 44 ) Däremot ligger det närmare till hands att sammanlänkningen av dessa uppgifter med den registrerades Facebookkonto eller användningen av dessa uppgifter är ett beteende som skulle kunna utgöra en sådan behandling. Den springande punkten med avseende på tillämpning av artikel 9.1 i dataskyddsförordningen är enligt min mening att uppgifterna som behandlas kan möjliggöra en profilering av användaren utifrån de kategorier som framträder i uppräkningen av känsliga uppgifter i bestämmelsen. ( 45 )

39.

För att i detta sammanhang kunna avgöra om en behandling av uppgifter omfattas av tillämpningsområdet för denna bestämmelse, kan det vara lämpligt att i förevarande fall göra åtskillnad mellan, å ena sidan, behandling av uppgifter som vid första påseendet kan klassificeras som känsliga personuppgifter, vilka i sig gör det möjligt att profilera den berörda personen, och, å andra sidan, behandling av uppgifter som inte i sig är känsliga men som kräver ytterligare grupperingsaktivitet för att dra trovärdiga slutsatser för en profilering av den registrerade.

40.

Jag vill emellertid klargöra att förekomsten av en kategorisering i den mening som avses i denna bestämmelse är oberoende av frågan huruvida denna kategorisering är sann eller riktig. ( 46 ) Avgörande är möjligheten att en sådan kategorisering medför en betydande risk för den registrerades grundläggande fri- och rättigheter, såsom erinras om i skäl 51 i dataskyddsförordningen, och denna möjlighet är oberoende av kategoriseringens riktighet.

41.

När det slutligen gäller den hänskjutande domstolens önskan att få klarhet i huruvida ändamålet med användningen är relevant för bedömningen i fråga, ( 47 ) anser jag, tvärtemot vad klaganden i det nationella målet har anfört, att det i princip inte krävs att den personuppgiftsansvarige behandlar dessa uppgifter ”med vetskap om och i avsikt att direkt få fram särskilda kategorier av uppgifter”. Syftet med bestämmelsen i fråga är nämligen att på ett objektivt sätt förhindra betydande risker för de registrerades grundläggande fri- och rättigheter som orsakas av behandlingen av känsliga personuppgifter, oavsett alla subjektiva aspekter såsom avsikten hos den personuppgiftsansvarige.

42.

Vad beträffar fråga 2 b vill jag erinra om att förbudet mot behandling av känsliga personuppgifter enligt artikel 9.2 e i dataskyddsförordningen inte gäller om behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. Adverbialet ”på ett tydligt sätt” i bestämmelsens lydelse och den omständigheten att bestämmelsen utgör ett undantag från det principiella förbudet mot behandling av känsliga personuppgifter ( 48 ) innebär att detta undantag ska tillämpas synnerligen strikt, på grund av de betydande riskerna för de registrerades grundläggande fri- och rättigheter. ( 49 ) För att undantaget ska vara tillämpligt krävs enligt min mening att användaren är fullt medveten om att han eller hon, genom en explicit handling, ( 50 ) offentliggör personuppgifter. ( 51 )

43.

I det nu aktuella fallet anser jag att ett beteende bestående i att besöka webbplatser och använda appar, fylla i uppgifter på webbplatserna och i apparna samt klicka på knappar som är integrerade i dessa i princip inte kan likställas med ett beteende genom vilket användaren på ett tydligt sätt offentliggör känsliga personuppgifter i den mening som avses i artikel 9.2 e i dataskyddsförordningen.

44.

Besök på webbplatser och användning av appar innebär närmare bestämt att uppgifterna om sådana besök och sådan användning i princip enbart görs tillgängliga för den som är ansvarig för webbplatsen eller appen i fråga och för den tredje part som vederbörande vidarebefordrar dessa uppgifter, såsom klaganden i det nationella målet. ( 52 ) Även om den registrerade genom att fylla i uppgifter på webbplatser och i appar direkt eller indirekt skulle kunna lämna information om vissa känsliga personuppgifter, vill jag också påpeka att sådana uppgifter på samma sätt endast är tillgängliga för den som är ansvarig för webbplatsen eller appen och för den tredje part till vilken vederbörande vidarebefordrar uppgifterna. Jag ser det alltså som uteslutet att ett sådant beteende kan anses uttrycka en vilja att göra dessa uppgifter tillgängliga för alla. ( 53 ) Även om det också är uppenbart att den registrerade genom att klicka på integrerade knappar på webbplatser och i appar ( 54 ) klart och tydligt uttrycker en vilja att dela vissa uppgifter med en allmänhet utanför webbplatsen eller appen i fråga, anser jag att vederbörande, såsom Bundeskartellamt har understrukit, genom detta beteende är medveten om att uppgifterna delas med en bestämd krets av personer, vilka ofta definieras av användaren själv, ( 55 ) inte med alla. ( 56 )

45.

När det slutligen gäller relevansen av ett samtycke som användaren kan ha lämnat enligt artikel 5.3 i direktiv 2002/58 för att personuppgifter ska kunna samlas in med hjälp av kakor eller liknande teknik, vilket har berörts av den hänskjutande domstolen, anser jag att detta samtycke, mot bakgrund av dess specifika syfte, i sig inte kan motivera en behandling av känsliga personuppgifter som samlats in på så sätt. ( 57 ) Nämnda samtycke, vilket krävs för att ett tekniskt hjälpmedel för att läsa av vissa av användarens aktiviteter ska få installeras, ( 58 ) rör inte behandling av känsliga personuppgifter och kan inte likställas med en vilja att på ett tydligt sätt offentliggöra dessa uppgifter i den mening som avses i artikel 9.2 e i dataskyddsförordningen. ( 59 )

46.

Sammanfattningsvis föreslår jag att domstolen ska besvara tolkningsfråga 2 på följande sätt. Artikel 9.1 i dataskyddsförordningen ska tolkas så, att förbudet mot behandling av känsliga personuppgifter kan omfatta behandling av uppgifter som utförs av en operatör av ett socialt onlinenätverk och som består av insamling av uppgifter om en användare när användaren besöker andra webbplatser eller använder andra appar eller fyller i uppgifter där, sammanlänkning av dessa uppgifter med användarens konto på det sociala nätverket och användning av uppgifterna, förutsatt att den information som behandlas, enskilt eller sammantaget, möjliggör en profilering av användaren utifrån de kategorier som återfinns i uppräkningen av känsliga personuppgifter i denna bestämmelse. Artikel 9.2 e i dataskyddsförordningen ska tolkas så, att en användare inte offentliggör uppgifter på ett tydligt sätt på grund av att dessa har angetts vid besök på webbplatser eller vid användning av appar eller fyllts i på dessa webbplatser eller i dessa appar eller framkommit genom att användaren klickar på knappar som är integrerade på dessa webbplatser eller i dessa appar.

47.

Den hänskjutande domstolen har ställt tolkningsfrågorna 3, 4 och 5 för att få klarhet i huruvida artikel 6.1 b, c, d, e och f i dataskyddsförordningen ska tolkas så, att det omtvistade tillvägagångssättet ( 60 ) omfattas av tillämpningsområdet för någon av de grunder som anges i dessa bestämmelser, närmare bestämt

48.

Inledningsvis föreslår jag, trots att vissa tvivel kvarstår gällande huruvida tolkningsfrågorna 4 och 5 kan tas upp till sakprövning, ( 68 ) att fråga 3–5 ska prövas tillsammans. Det som anförs nedan, huvudsakligen vad avser den tredje tolkningsfrågan, kan nämligen även vara användbart för den hänskjutande domstolen när den ska tillämpa de bestämmelser som är föremål för tolkningsfrågorna 4 och 5.

49.

Jag vill först och främst framhålla att personuppgifter, i enlighet med artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), ska behandlas lagenligt, för bestämda ändamål och på grundval av en legitim och lagenlig grund. I artikel 6.1 i dataskyddsförordningen anges att behandling av dessa uppgifter endast är laglig om något av de sex villkor som anges i bestämmelsen är uppfyllt. ( 69 )

50.

I det nu aktuella fallet anser jag först och främst att tolkningsfråga 3–5 kräver en ingående analys av varje enskild klausul i Facebooks användarvillkor mot bakgrund av det omtvistade tillvägagångssättet, eftersom det inte är möjligt att med avseende på detta tillvägagångssätt fastställa huruvida ”ett företag som [Meta Platforms]” kan göra gällande, i sin helhet, alla (eller några av) grunderna i artikel 6.1 i dataskyddsförordningen, även om det är uteslutet att nämnda tillvägagångssätt eller vissa av dess aktiviteter i vissa fall kan falla inom tillämpningsområdet för denna artikel. ( 70 )

51.

Den behandling som avses i de angivna bestämmelserna utförs, i det aktuella fallet, med stöd av de allmänna avtalsvillkor som den personuppgiftsansvarige har ställt upp, utan den registrerades samtycke ( 71 ) eller till och med mot den registrerades vilja. Jag menar att det ställer krav på en strikt tolkning av de aktuella grunderna, inte minst för att förhindra att villkoret om den registrerades samtycke kringgås. ( 72 )

52.

Jag erinrar slutligen om att bevisbördan enligt artikel 5.2 i dataskyddsförordningen åligger den personuppgiftsansvarige som ska visa att personuppgifter behandlas i enlighet med förordningen och att det enligt artikel 13.1 c i nämnda förordning ankommer på den personuppgiftsansvarige att precisera ändamålen med den behandling som uppgifterna är avsedda för samt den rättsliga grunden för behandlingen.

53.

Enligt artikel 6.1 b i dataskyddsförordningen är behandling av personuppgifter laglig i den mån den är nödvändig för att fullgöra ett avtal i vilket den registrerade är part. ( 73 )

54.

Vad som avses med begreppet nödvändigt fastställs inte i unionsrätten men det utgör ändå, enligt rättspraxis, ett självständigt unionsrättsligt begrepp. ( 74 ) För att behandlingen ska vara nödvändig för att fullgöra avtalet, räcker det inte att den utförs i samband med fullgörandet av avtalet eller att den anges i avtalet ( 75 ) eller ens att den helt enkelt är ändamålsenlig för fullgörandet av avtalet. ( 76 ) Behandlingen ska enligt domstolens praxis vara objektivt nödvändig för fullgörandet av avtalet i den meningen att det inte går att tänka sig åtgärder som medför mindre långtgående ingrepp, ( 77 ) även med hänsyn till den registrerades rimliga förväntningar. ( 78 ) Detta innebär även att om ett avtal består av flera fristående tjänster eller delar av en tjänst som i själva verket rimligen kan utföras oberoende av varandra ska tillämpligheten av artikel 6.1 b i dataskyddsförordningen bedömas mot bakgrund av var och en av dessa tjänster separat. ( 79 )

55.

I samband med denna grund har den hänskjutande domstolen nämnt det personligt anpassade innehållet och den kontinuerliga och sömlösa användningen av koncernens produkter (eller snarare tjänster).

56.

Vad beträffar det personligt anpassade innehållet tycks en sådan aktivitet visserligen i viss mån kunna ligga i användarens intresse, i den del den gör det möjligt att inte minst i ”nyhetsflödet” presentera innehåll som enligt en automatiserad bedömning motsvarar användarens intressen. Det är emellertid inte uppenbart att den även skulle vara nödvändig för att tjänsten ska kunna tillhandahållas av det ifrågavarande sociala nätverket, på så sätt att behandlingen av personuppgifter för dessa ändamål inte skulle kräva användarens samtycke. ( 80 ) Vid denna granskning bör hänsyn även tas till att det omtvistade tillvägagångssättet inte avser behandling av uppgifter om användarens beteende på Facebooksidan eller i Facebookappen, utan av uppgifter som härrör från externa, och alltså ett potentiellt obegränsat antal, källor. Frågan är alltså i vilken mån denna behandling skulle kunna motsvara en genomsnittlig användares förväntningar och, mer allmänt, vilken ”grad av personlig anpassning” som användaren kan förvänta sig av den tjänst som han eller hon registrerar sig i. ( 81 )

57.

När det gäller den kontinuerliga och sömlösa användningen av koncernens tjänster, vill jag påpeka att det visserligen kan vara till gagn för användaren, och till och med efterfrågas av denne, att det finns en koppling mellan de olika tjänster som klaganden i det nationella målet erbjuder, till exempel mellan Facebook och Instagram. Jag har emellertid svårt att tro att det är nödvändigt att behandla personuppgifter från koncernens andra tjänster (bland annat Instagram) för att tillhandahålla Facebooktjänsterna. ( 82 )

58.

Vidare är behandlingen laglig enligt artikel 6.1 f i dataskyddsförordningen om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

59.

I bestämmelsen i fråga föreskrivs enligt domstolens praxis tre kumulativa villkor för att en behandling av personuppgifter ska vara tillåten, nämligen för det första att det ska föreligga ett berättigat intresse hos den personuppgiftsansvarige eller hos den tredje part eller de tredje parter som uppgifterna lämnas ut till, för det andra att behandlingen av personuppgifter ska vara nödvändig för det berättigade intresse som eftersträvas och för det tredje att den registrerades grundläggande fri- och rättigheter inte väger tyngre. ( 83 )

60.

När det först och främst gäller att eftersträva ett berättigat intresse, finns det en lång rad intressen som enligt dataskyddsförordningen och rättspraxis ska betraktas som berättigade. ( 84 ) Samtidigt ankommer det enligt artikel 13.1 d i dataskyddsförordningen på personuppgiftsansvarig att ange vilka berättigade intressen som eftersträvas inom ramen för artikel 6.1 f i dataskyddsförordningen. ( 85 )

61.

Vad sedan gäller villkoret att behandlingen av personuppgifter ska vara nödvändig för att uppnå det berättigade intresset, ska undantag från och inskränkningar av principen om skydd av personuppgifter enligt domstolens praxis inskränkas till vad som är strängt nödvändigt. ( 86 ) Det krävs således att det finns en nära koppling mellan behandlingen och det intresse som eftersträvas och att det saknas alternativ som i större utsträckning iakttar skyddet av personuppgifter, eftersom det inte är tillräckligt att behandlingen helt enkelt är till nytta för personuppgiftsansvarig.

62.

När det slutligen gäller avvägningen mellan den personuppgiftsansvariges intressen och de registrerades grundläggande fri- och rättigheter, ankommer det enligt domstolens praxis på den hänskjutande domstolen att göra en avvägning mellan de intressen som står på spel. ( 87 ) Såsom anges i skäl 47 i dataskyddsförordningen ska hänsyn vid denna avvägning ofrånkomligen tas till den registrerades rimliga förväntningar på grundval av dennes förhållande till den personuppgiftsansvarige. Det ska fastställas huruvida den registrerade då personuppgifter lämnas och i samband med detta rimligen kan förvänta sig att uppgifterna kan komma att behandlas för detta ändamål.

63.

Den hänskjutande domstolen har i samband med denna grund anfört personlig anpassning av reklam, nätsäkerhet och produktförbättring.

64.

När det först och främst gäller den personliga anpassningen av reklamen framgår det av skäl 47 i dataskyddsförordningen att behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse för den personuppgiftsansvarige. Vad beträffar frågan huruvida behandlingen är nödvändig vill jag emellertid framhålla att uppgifterna i fråga härrör från källor utanför Facebook. Frågan blir då vilken ”grad av personlig anpassning” av reklamen som objektivt sett är nödvändig i detta avseende. När det gäller avvägningen av de intressen som står på spel, bör hänsyn enligt min mening tas till arten av det berättigade intresset i fråga (i det nu aktuella fallet ett rent ekonomiskt intresse) och behandlingens inverkan på användaren, däribland användarens rimliga förväntningar och eventuella skyddsåtgärder som vidtagits av den personuppgiftsansvarige. ( 88 )

65.

Liknande överväganden kan även framhållas när det gäller nätsäkerheten. Även om en sådan grund kan utgöra ett berättigat intresse för den personuppgiftsansvarige, ( 89 ) är det nämligen inte lika uppenbart att behandlingen är nödvändig i det nu aktuella fallet, inte minst med hänsyn till att uppgifterna i fråga härrör från källor utanför Facebook. ( 90 ) Jag vill i vart fall erinra om att det ankommer på den personuppgiftsansvarige att ange vilka säkerhetsskäl som eventuellt ligger till grund för varje behandling.

66.

När det slutligen gäller produktförbättring bör en sådan grund, visserligen med undantag för förbättringar som rör säkerheten och som omfattas av den särskilda grund som granskas ovan, snarare ligga i användarens intresse än i den personuppgiftsansvariges. Sett ur den synvinkeln är det svårt att se i vilken mån denna grund skulle kunna utgöra ett berättigat intresse för den personuppgiftsansvarige som inte kräver användarens samtycke. När det gäller kravet på nödvändighet och avvägningen mellan de rättigheter och intressen som står på spel hänvisar jag till de överväganden som görs ovan.

67.

Den hänskjutande domstolen har ställt tolkningsfråga 4, i förlängningen av fråga 3, för att få klarhet i huruvida vissa situationer som räknas upp innebär att det föreligger ett berättigat intresse i den mening som avses i artikel 6.1 f i dataskyddsförordningen. Fråga 5 har ställts för att den hänskjutande domstolen ska få klarhet i huruvida omständigheterna att det är nödvändigt att besvara en rättsligt giltig begäran om utlämnande av vissa uppgifter, att det är nödvändigt att motverka skadliga beteenden och främja säkerheten eller samhällsnyttiga forskningsändamål och att det är nödvändigt att främja skydd, integritet samt säkerhet utgör grunder som kan tillämpas på det omtvistade tillvägagångssättet. ( 91 )

68.

Oavsett om dessa frågor kan tas upp till prövning ( 92 ) anser jag rent allmänt att det inte är uteslutet, vad gäller tolkningsfråga 4, att vissa klausuler som karakteriserar det omtvistade tillvägagångssättet kan vara motiverade av berättigade intressen under de omständigheter som berörts av den hänskjutande domstolen ( 93 ) och att det omtvistade tillvägagångssättet, vad gäller fråga 5, kan vara motiverat i vissa situationer med stöd av de angivna bestämmelserna.

69.

Det framgår emellertid inte av beslutet om hänskjutande huruvida, och i vilken mån, Meta Platforms Ireland för varje behandlingsändamål och varje typ av behandlade uppgifter har angett vilka berättigade intressen som konkret har eftersträvats eller andra grunder som kan vara relevanta i det aktuella fallet. ( 94 ) Det ankommer således på den hänskjutande domstolen att med beaktande av vad som anförs ovan undersöka i vilken mån det omtvistade tillvägagångssättet under de omständigheter som berörts av den hänskjutande domstolen är motiverat genom att Meta Platforms Ireland har berättigade intressen av att behandla uppgifterna i den mening som avses i artikel 6.1 f i dataskyddsförordningen eller genom något annat villkor som anges i artikel 6.1 c, d och e i denna förordning.

70.

Sammanfattningsvis föreslår jag att domstolen ska besvara tolkningsfrågorna 3–5 på följande sätt: Artikel 6.1 b, c, d, e och f i dataskyddsförordningen ska tolkas så, att det omtvistade tillvägagångssättet eller vissa aktiviteter som ingår i det kan omfattas av undantagen i dessa bestämmelser, förutsatt att varje granskat sätt att behandla uppgifterna uppfyller villkoren för den grund som konkret har angetts av den personuppgiftsansvarige och följaktligen att

71.

Den hänskjutande domstolen har ställt tolkningsfråga 6 för att få klarhet i huruvida artiklarna 6.1 a och 9.2 a i dataskyddsförordningen ska tolkas så, att ett giltigt och frivilligt samtycke i den mening som avses i artikel 4 led 11 i denna förordning kan lämnas till ett företag med en dominerande ställning på den nationella marknaden för sociala onlinenätverk för privata användare.

72.

Inledningsvis erinrar jag om att det i artiklarna 6.1 a och 9.2 a i dataskyddsförordningen föreskrivs en skyldighet att inhämta den registrerades samtycke till behandling av personuppgifter i allmänhet respektive behandling av känsliga personuppgifter. Enligt artikel 4 led 11 i dataskyddsförordningen betyder samtycke av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. ( 95 )

73.

När det närmare bestämt gäller villkoret om frivilligt samtycke, som är det enda som är ifrågasatt i det nu aktuella fallet, framhåller jag att samtycke enligt skäl 42 i dataskyddsförordningen inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet ( 96 ) eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. ( 97 ) Den personuppgiftsansvarige ska dessutom, såsom föreskrivs i artikel 7.1 i dataskyddsförordningen (och såsom erinras om i skäl 42 i förordningen), när behandlingen grundas på den registrerades samtycke, kunna visa att den registrerade har samtyckt till behandlingen av hans eller hennes uppgifter.

74.

Relevant i det nu aktuella fallet är först och främst att ett samtycke, såsom understryks i skäl 43 första meningen i dataskyddsförordningen, inte utgör en giltig rättslig grund för behandling av personuppgifter om det råder en ”betydande ojämlikhet” mellan den registrerade och den personuppgiftsansvarige. ( 98 ) Enligt artikel 7.4 i dataskyddsförordningen ska största möjliga hänsyn tas, vid bedömningen av huruvida samtycket är frivilligt, bland annat till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet. ( 99 ) Slutligen bör samtycket enligt skäl 43 andra meningen i dataskyddsförordningen även antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet. ( 100 )

75.

I det nu aktuella fallet anser jag att det har betydelse om en personuppgiftsansvarig som driver ett socialt nätverk har en dominerande ställning på marknaden vid bedömningen av huruvida det föreligger ett frivilligt samtycke från användarna av detta nätverk. Om den personuppgiftsansvarige har en stark ställning på marknaden kan det uppstå en uppenbar obalans i styrkeförhållandena, i den mening som avses ovan i punkt 74 i detta förslag till avgörande ( 101 ). Jag vill emellertid förtydliga dels att det inte är nödvändigt, för att en sådan stark ställning på marknaden ska vara relevant vid tillämpning av dataskyddsförordningen, att likställa denna ställning med tröskeln för en dominerande ställning i den mening som avses i artikel 102 FEUF, ( 102 ) dels att den enda omständigheten i princip inte innebär att ett samtycke förlorar all giltighet. ( 103 )

76.

Giltigheten av ett samtycke ska följaktligen prövas i varje enskilt fall, mot bakgrund av de andra faktorer som anges ovan i punkterna 73 och 74 samt med beaktande av samtliga omständigheter i det aktuella fallet och av den personuppgiftsansvariges uppgift att visa att den registrerade har lämnat sitt samtycke till behandlingen av personuppgifter.

77.

Sammanfattningsvis föreslår jag att tolkningsfråga 6 ska besvaras på följande sätt. Artiklarna 6.1 a och 9.2 a i dataskyddsförordningen ska tolkas så, att enbart den omständigheten att ett företag som driver ett socialt nätverk har en dominerande ställning på den nationella marknaden för sociala onlinenätverk för privata användare inte i sig innebär att det samtycke som en användare av nätverket har lämnat till behandling av hans eller hennes personuppgifter förlorar sin giltighet i den mening som avses i artikel 4 le 11 i dataskyddsförordningen. En sådan omständighet har emellertid betydelse vid bedömningen av huruvida samtycket är frivilligt i den mening som avses i denna bestämmelse, något som det ankommer på den personuppgiftsansvarige att visa, i förekommande fall med beaktande av en eventuell uppenbar obalans i styrkeförhållandet mellan den registrerade och den personuppgiftsansvarige, ett eventuellt krav på att samtycka till annan behandling av personuppgifterna än vad som är strikt nödvändigt för att tillhandahålla de aktuella tjänsterna, den omständigheten att samtycket ska vara specifikt för varje behandlingsändamål och att ett återtagande av ett samtycke inte får medföra skada för den användare som återtar sitt samtycke.

78.

Mot bakgrund av vad som anförs ovan föreslår jag att domstolen ska besvara de tolkningsfrågor som ställts av Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf, Tyskland) på följande sätt: