DOMSTOLENS DOM (stora avdelningen)
den 5 juni 2018 ( *1 )
”Begäran om förhandsavgörande – Direktiv 95/46/EG – Personuppgifter – Skydd för enskilda personer med avseende på behandling av personuppgifter – Föreläggande att avaktivera en Facebook-sida (fanpage) som gör det möjligt att samla in och behandla vissa uppgifter rörande besökarna på nämnda sida – Artikel 2 d – Registeransvarig – Artikel 4 – Tillämplig nationell rätt – Artikel 28 – Nationella tillsynsmyndigheter – Tillsynsmyndigheternas befogenhet att ingripa”
I mål C‑210/16,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Tyskland) genom beslut av den 25 februari 2016, som inkom till domstolen den 14 april 2016, i målet
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
mot
Wirtschaftsakademie Schleswig-Holstein GmbH,
ytterligare deltagare i rättegången:
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,
meddelar
DOMSTOLEN (stora avdelningen)
sammansatt av ordföranden K. Lenaerts, vice ordföranden A. Tizzano (referent), avdelningsordförandena M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský och E. Levits samt domarna E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras och E. Regan,
generaladvokat: M. Y. Bot,
justitiesekreterare: handläggaren C. Strömholm,
efter det skriftliga förfarandet och förhandlingen den 27 juni 2017,
med beaktande av de yttranden som avgetts av:
– |
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, genom U. Karpenstein och M. Kottmann, Rechtsanwälte, |
– |
Wirtschaftsakademie Schleswig-Holstein GmbH, genom C. Wolff, Rechtsanwalt, |
– |
Facebook Ireland Ltd, genom C. Eggers, H.-G. Kamann och M. Braun, Rechtsanwälte, samt I. Perego, avvocato, |
– |
Tysklands regering, genom J. Möller, i egenskap av ombud, |
– |
Belgiens regering, genom L. Van den Broeck, C. Pochet, P. Cottin och J.‑C. Halleux, samtliga i egenskap av ombud, |
– |
Tjeckiens regering, genom M. Smolek, J. Vláčil och L. Březinová, samtliga i egenskap av ombud, |
– |
Irland, genom M. Browne, L. Williams, E. Creedon, G. Gilmore och A. Joyce, samtliga i egenskap av ombud, |
– |
Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av P. Gentili, avvocato dello Stato, |
– |
Nederländernas regering, genom C.S. Schillemans och K. Bulterman, båda i egenskap av ombud, |
– |
Finlands regering, genom J. Heliskoski, i egenskap av ombud, |
– |
Europeiska kommissionen, genom H. Krämer och D. Nardi, båda i egenskap av ombud, |
och efter att den 24 oktober 2017 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 |
Begäran om förhandsavgörande avser tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31). |
2 |
Begäran har framställts i ett mål mellan Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (oberoende regional dataskyddsmyndighet i Schleswig-Holstein, Tyskland) (nedan kallad ULD) och Wirtschaftsakademie Schleswig-Holstein GmbH, som är ett privat företag som är specialiserat på utbildning (nedan kallat Wirtschaftsakademie) angående lagenligheten av ett föreläggande som utfärdats av ULD om att Wirtschaftsakademie ska avaktivera sin fanpage, vilken hyses av det sociala nätverket Facebook (nedan kallat Facebook) på dess webbplats. |
Tillämpliga bestämmelser
Unionsrätt
3 |
Skälen 10, 18, 19 och 26 i direktiv 95/46 har följande lydelse:
…
…
|
4 |
Artikel 1 i direktiv 95/46, med rubriken ”Direktivets syfte”, har följande lydelse: ”1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. 2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.” |
5 |
Artikel 2 i detta direktiv, med rubriken ”Definitioner”, har följande lydelse: ”I detta direktiv avses med …
…
…” |
6 |
I artikel 4 under rubriken ”Tillämplig nationell rätt”, i nämnda direktiv föreskrivs följande i punkt 1: ”Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när
|
7 |
Artikel 17 i direktiv 95/46 har rubriken ”Säkerhet vid behandling”. I punkterna 1 och 2 föreskrivs följande: ”1. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling. Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas. 2. Medlemsstaterna skall föreskriva att den registeransvarige, när behandlingen utförs för dennes räkning, skall välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder genomförs.” |
8 |
I artikel 24 i samma direktiv, med rubriken ”Sanktioner”, anges följande: ”Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.” |
9 |
I artikel 28 i direktivet, som har rubriken ”Tillsynsmyndighet”, föreskrivs följande: ”1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv. Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem. 2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter. 3. Varje tillsynsmyndighet skall särskilt ha
Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol. … 6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter. De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information. …” |
Tysk rätt
10 |
3 § sjunde stycket i Bundesdatenschutzgesetz (federala dataskyddslagen), i den lydelse som är tillämplig på omständigheterna i det nationella målet (nedan kallad BDSG), har följande lydelse: ”Enligt denna bestämmelse avses med ett ansvarigt organ en person eller ett organ som samlar in, behandlar eller använder personuppgifter för egen räkning eller ger i uppdrag åt en annan att göra det.” |
11 |
11 § BDSG, med rubriken ”Insamling, behandling eller användning av personuppgifter genom andra registerförare”, har följande lydelse: ”(1) Om personuppgifter insamlas, bearbetas eller används genom andra organ som registerförare, ska registerföraren ansvara för att säkerställa överensstämmelse med bestämmelserna i denna lag och andra bestämmelser om skydd av personuppgifter. … (2) Registerföraren måste väljas med omsorg, med beaktande särskilt av lämpligheten hos de tekniska och organisatoriska åtgärder som har vidtagits. Registerföring ska regleras skriftligen, i synnerhet ska det i detalj fastställas: … Den registernasvarige ska hos registerföraren säkerställa efterlevnaden av de tekniska och organisatoriska åtgärder som vidtagits av registerföraren innan behandlingen påbörjas, och därefter med jämna mellanrum. Följande ska säkerställas: …” |
12 |
I 38 § femte stycket BDSG föreskrivs följande: ”För att säkerställa efterlevnaden av denna lag och andra bestämmelser om skydd av uppgifter, får tillsynsmyndigheten besluta om åtgärder för att avhjälpa upptäckta överträdelser vid insamling, behandling och användning av personuppgifter eller tekniska eller organisatoriska brister. Vid allvarliga överträdelser eller brister, i synnerhet då de utgör en särskild risk för intrång i rätten till privatliv kan tillsynsmyndigheten förbjuda insamling, behandling eller användning av vissa förfaranden när överträdelser eller brister inte åtgärdats i god tid, i strid med det föreläggande som anges i första meningen och trots tillämpningen av ett löpande vite. Den kan begära att tillståndet för den registeransvarige återkallas om denne inte har den sakkunskap och trovärdighet som behövs för att utföra sina uppgifter.” |
13 |
I 12 § i Telemediengesetz (telemedialagen) av den 26 februari 2007 (BGBl. I, s. 179) (nedan kallad TMG) anges följande: ”1. Tjänsteleverantören får samla in och behandla personuppgifter för att tillhandahålla elektroniska informations- eller kommunikationstjänster endast om detta är tillåtet enligt denna lag eller annan föreskrift som uttryckligen avser sådana tjänster, eller om användaren har gett sitt samtycke. … 3. Om inte annat föreskrivs ska gällande bestämmelser om skydd av personuppgifter tillämpas även när uppgifterna inte behandlas genom automatisk databehandling.” |
Målet vid den nationella domstolen och tolkningsfrågorna
14 |
Wirtschaftsakademie erbjuder utbildning genom en fanpage som Facebook hyser. |
15 |
Fanpage är användarkonton som kan konfigureras på Facebook av enskilda eller företag. För att göra detta måste den som driver en fanpage registrera sig hos Facebook och kan således använda den plattform som drivs av det företaget för att presentera sig för användarna i detta sociala nätverk och för personer som besöker denna fanpage samt framföra alla slags yttranden på media och opinionsbildningsmarknaden. Administratörerna av en fanpage kan med hjälp av funktionen ”Facebook-Insights”, som tillhandahålls kostnadsfritt av Facebook till fastställda villkor som inte kan ändras, få anonym statistik om användarna av denna fanpage. Uppgifterna ska samlas in med hjälp av så kallade kakor (cookies) som innehåller ett unikt identifieringsnummer, som är aktivt i två år och sparas av Facebook på hårddisken på datorn eller annan utrustning hos den person som har besökt en fanpage. Det identifieringsnummer som kan kopplas till uppkopplingsuppgifterna för de användare som är registrerade på Facebook insamlas och behandlas när en fanpage öppnas. I detta avseende framgår det av begäran om förhandsavgörande att varken Wirtschaftsakademie eller Facebook Ireland Ltd har hänvisat till sparandet av uppgifter och till användningen av denna kaka eller till den därpå följande behandlingen av uppgifter, åtminstone inte under den tidsperiod som är i fråga i det nationella målet. |
16 |
Genom beslut av den 3 november 2011 (nedan kallat det angripna beslutet) förelade ULD, i egenskap av tillsynsmyndighet i den mening som avses i artikel 28 i direktiv 95/46, med ansvar för att övervaka tillämpningen inom Schleswig-Holstein (Tyskland) av de bestämmelser som antagits av Förbundsrepubliken Tyskland med tillämpning av detta direktiv, Wirtschaftsakademie att i enlighet med 38 § femte stycket första meningen i BDSG, avaktivera den fanpage som Wirtschaftsakademie hade skapat på Facebook, med adressen www.facebook.com/wirtschaftsakademie. Föreläggandet förenades med ett vite om det inte skulle följas inom den föreskrivna fristen, och motiverades med att varken Wirtschaftsakademie eller Facebook informerade besökarna på denna fanpage om att denna sida samlade in personuppgifter om besökarna med hjälp av kakor, samt att de därefter behandlade dessa uppgifter. Wirtschaftsakademie begärde omprövning av det beslutet och gjorde gällande att den med hänsyn till den lagstiftning som var tillämplig på skyddet för personuppgifter varken var ansvarig för Facebooks bearbetning av uppgifter eller för de kakor som Facebook skapat. |
17 |
Genom beslut av den 16 december 2011 avslog ULD begäran om omprövning med motiveringen att det ansvar som kunde tillskrivas Wirtschaftsakademie i egenskap av tjänsteleverantör hade fastställts i enlighet med 3 § tredje stycket led 4 och 12 § första stycket TMG jämförda med 3 § sjunde stycket BDSG. ULD har anfört att Wirtschaftsakademie, genom att skapa sin fanpage, frivilligt och aktivt bidragit till Facebooks insamling av personuppgifter avseende besökarna till denna fanpage, uppgifter som Wirtschaftsakademie kunde använda sig av genom den statistik som tillhandahålls av Facebook. |
18 |
Wirtschaftsakademie väckte talan mot detta beslut vid Verwaltungsgericht (förvaltningsdomstol, Tyskland) och gjorde gällande att Facebooks behandling av personuppgifter inte kunde tillskrivas Wirtschaftsakademie och att det inte heller gett Facebook i uppdrag, i den mening som avses i 11 § BDSG, att genomföra en behandling av uppgifter som Wirtschaftsakademie kontrollerade eller kunde påverka. Wirtschaftsakademie drog härav slutsatsen att ULD borde ha vänt sig direkt till Facebook och inte ha antagit det angripna beslutet, riktat mot Wirtschaftsakademie. |
19 |
Genom dom av den 9 oktober 2013 upphävde Verwaltungsgericht (förvaltningsdomstol) det angripna beslutet med motiveringen att någon som driver en fanpage på Facebook inte är ett ”ansvarigt organ” i den mening som avses i 3 § sjunde stycket BDSG och att Wirtschaftsakademie därför inte heller kunde vara föremål för en åtgärd enligt 38 § femte stycket BDSG. |
20 |
Oberverwaltungsgericht (förvaltningsöverdomstol, Tyskland) avslog ULD:s överklagande av denna dom såsom ogrundat. Den domstolen fann att förbudet mot behandling av uppgifter, i det angripna beslutet var rättsstridigt, eftersom det i 38 § femte stycket andra meningen i BDSG föreskrivs en gradvis process, där den första fasen endast tillåter antagandet av åtgärder för att avhjälpa de överträdelser som konstaterats vid behandlingen av uppgifter. Ett omedelbart förbud mot behandling av uppgifter kan enbart komma i fråga om ett förfarande för behandling av uppgifter är rättsstridigt i sin helhet och detta endast kan åtgärdas genom att förfarandet upphör. Enligt Oberverwaltungsgericht (överförvaltningsdomstol) förhåller det sig emellertid inte på så sätt i förevarande fall, eftersom Facebook hade möjlighet att få de överträdelser som ULD gjort gällande att upphöra. |
21 |
Oberverwaltungsgericht (överförvaltningsdomstol) har vidare angett att det angripna beslutet även var rättsstridigt på grund av att ett föreläggande enligt 38 § femte stycket BDSG endast kan riktas till det ansvariga organet, i den mening som avses i 3 § sjunde stycket BDSG. Detta organ var inte Wirtschaftsakademie, när det gäller de uppgifter som samlats in av Facebook. Det var nämligen endast Facebook som fastställde mål och metoder i samband med insamling och behandling av personuppgifter som används i samband med Facebook Insight. Wirtschaftsakademie fick endast anonymiserade statistiska uppgifter. |
22 |
ULD överklagade till Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Tyskland), varvid bolaget bland annat gjorde gällande att 38 § femte stycket BDSG hade åsidosatts, liksom flera handläggningsfel avseende det överklagade avgörandet. ULD anser att den överträdelse som Wirtschaftsakademie gjort sig skyldig till består i att den gett en leverantör, i förevarande fall Facebook Ireland, som är olämplig, eftersom leverantören inte följer gällande lagstiftning om skydd av personuppgifter, i uppdrag att upprätta, hysa och sköta en webbplats. Föreläggandet mot Wirtschaftsakademie i det angripna beslutet, att avaktivera dess fanpage syftar således till att avhjälpa denna överträdelse, eftersom Wirtschaftsakademie skulle förbjudas att fortsätta använda Facebooks infrastruktur som teknisk plattform för sin webbplats. |
23 |
Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Tyskland) anser, i likhet med Oberverwaltungsgericht (överförvaltningsdomstol) att Wirtschaftsakademie inte kan betraktas som registeransvarig i den mening som avses i 3 § sjunde stycket BDSG eller artikel 2 d i direktiv 95/46. Den förstnämnda domstolen anser emellertid att detta begrepp i princip ska ges en vid tolkning för att säkerställa ett effektivt skydd för rätten till privatliv, vilket EU-domstolen har angett i sin nyare praxis i frågan. Bundesverwaltungsgericht (Federala förvaltningsdomstolen) hyser även tvivel vad gäller ULD:s befogenheter avseende Facebook Germany, med beaktande av den omständigheten att den som ansvarar för insamling och behandling av personuppgifter inom Facebookkoncernen på unionsnivå är Facebook Ireland. Den hänskjutande domstolen frågar sig slutligen vilken inverkan de bedömningar som görs av den tillsynsmyndighet som utövar tillsyn över Facebook Ireland vad gäller lagenligheten av den aktuella behandlingen av personuppgifter har på utövandet av ULD:s befogenheter. |
24 |
Mot denna bakgrund beslutade Bundesverwaltungsgericht (Federala förvaltningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
|
Prövning av tolkningsfrågorna
Den första och den andra tolkningsfrågan
25 |
Den hänskjutande domstolen har ställt den första och den andra frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 2 d, artikel 17.2, artikel 24 samt artikel 28.3 andra strecksatsen i direktiv 95/46 ska tolkas så att ett organ kan hållas ansvarigt i egenskap av administratör av en fanpage som ett socialt nätverk hyser, för överträdelser av reglerna för skydd av personuppgifter, på grund av valet av detta sociala nätverk för att sprida den information som organet erbjuder. |
26 |
För att besvara dessa frågor erinrar domstolen om att direktiv 95/46, såsom framgår av artikel 1.1 och skäl 10 i direktivet, syftar till att säkerställa en hög skyddsnivå när det gäller fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter (dom av den 11 december 2014, Ryneš,C‑212/13, EU:C:2014:2428, punkt 27 och där angiven rättspraxis). |
27 |
I enlighet med detta syfte, definieras i artikel 2 d i direktivet i vid bemärkelse begreppet ”registeransvarig” som den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandling av personuppgifter. |
28 |
Såsom domstolen redan har konstaterat är syftet med denna bestämmelse att genom en vid definition av begreppet ”ansvarig” säkerställa ett effektivt och komplett skydd för de berörda personerna (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 34). |
29 |
Vidare, eftersom begreppet ”registeransvarig”, såsom uttryckligen framgår av artikel 2 d i direktiv 95/46, avser det organ som ”ensamt eller tillsammans med andra” bestämmer ändamålen och medlen för behandlingen av personuppgifter, avser detta begrepp inte nödvändigtvis en enda enhet och det kan avse flera aktörer som deltar i behandlingen, där var och en av dem omfattas av bestämmelserna om skydd av personuppgifter. |
30 |
I förevarande fall är det i första hand Facebook Inc. och, när det gäller unionen, Facebook Ireland som ska anses bestämma ändamålen och medlen för behandlingen av personuppgifter för användare av Facebook och för personer som besöker en fanpage som Facebook hyser, och omfattas således av begreppet ”registeransvarig” i den mening som avses i artikel 2 d i direktiv 95/46, vilket inte har bestritts i förevarande mål. |
31 |
För att besvara de frågor som ställts, är det nödvändigt att undersöka huruvida och i vilken utsträckning administratören av en fanpage som Facebook hyser, såsom Wirtschaftsakademie, med avseende på denna fanpage tillsammans med Facebook Ireland och Facebook Inc., bidrar till att bestämma ändamålen och medlen för behandlingen av personuppgifter för besökare på denna fanpage och därför kan anses vara ”registeransvarig” i den mening som avses i artikel 2 d i direktiv 95/46. |
32 |
Det förefaller härvidlag som om varje person som önskar skapa en fanpage på Facebook ingår ett särskilt avtal med Facebook Ireland om att öppna en sådan sida, och därmed godkänner användarvillkoren för denna sida, inbegripet den därtill hörande policyn för kakor, vilket det ankommer på den nationella domstolen att kontrollera. |
33 |
Såsom framgår av de handlingar som ingetts till domstolen, sker den i det nationella målet aktuella behandlingen av personuppgifter genom att Facebook på datorn eller annan utrustning hos personer som besöker sidan placerar kakor för att spara information i webbläsarna och som är aktiva i två år, om de inte raderas. Det framgår även att Facebook i praktiken mottar, registrerar och behandlar de uppgifter som lagras i kakorna, bland annat när en person besöker ”Facebooks tjänster, tjänster som tillhandahålls av andra Facebookföretag och tjänster som tillhandahållas av andra företag som använder Facebooks tjänster”. Dessutom kan andra enheter, såsom Facebooks partners eller till och med tredje parter, ”använda kakor på Facebooks tjänster för [att föreslå tjänster direkt till detta sociala nätverk] liksom till företag som gör reklam på Facebook”. |
34 |
Denna behandling av personuppgifter syftar särskilt till att göra det möjligt dels för Facebook att förbättra företagets system för reklam som det distribuerar genom sitt nätverk, dels för administratören av denna fanpage att erhålla statistik som sammanställts av Facebook från besök på sidan för att kunna styra marknadsföringen av dess verksamhet, vilket gör det möjligt för denne att fastställa till exempel de besökares profil som gillar dess fanpage eller som använder sidans applikationer, i syfte att erbjuda besökarna ett mer relevant innehåll och utveckla fler funktioner som kan vara av större intresse för dem. |
35 |
Enbart den omständigheten att någon använder sig av ett socialt nätverk som Facebook innebär inte att en användare blir medansvarig för detta nätverks behandling av personuppgifter. Däremot ska det påpekas att en administratör av en fanpage som Facebook hyser, genom att skapa denna sida, ger Facebook möjlighet att placera kakor i datorn eller annan utrustning hos den person som besöker nämnda fanpage, oavsett om denne har ett konto hos Facebook eller ej. |
36 |
I detta sammanhang framgår det av de uppgifter som lämnats till domstolen att skapandet av en fanpage på Facebook, från administratörens sida innebär en åtgärd för konfiguration, bland annat mot bakgrund av dess målgrupp liksom styrningen av marknadsföringen av dess verksamhet, vilket inverkar på behandlingen av personuppgifter för ändamålet att upprätta statistik med utgångspunkt i besöken på nämnda fanpage. Administratören kan, med hjälp av de filter som ställs till dennes förfogande av Facebook, fastställa de kriterier på grundval av vilka denna statistik upprättas och även bestämma de kategorier av personer, vilkas personuppgifter kommer att användas av Facebook. Följaktligen bidrar administratören av en fanpage som Facebook hyser till behandlingen av personuppgifterna för de personer som besöker sidan. |
37 |
Administratören av en fanpage får begära att erhålla demografiska uppgifter om målgruppen – uppgifter som således behandlas – särskilt tendenser vad gäller ålder, kön, yrke och relationer, livsstil och intressen hos målgruppen samt uppgifter om inköp och köpmönster online för besökare på sidan, de kategorier av varor eller tjänster som är av störst intresse för dem, liksom geografiska uppgifter som gör det möjligt för administratören att genomföra särskilda reklamkampanjer eller anordna evenemang och mer generellt bättre rikta den information som erbjuds. |
38 |
Visserligen skickas den statistik om besökarna som upprättas av Facebook till administratören av en fanpage endast i anonymiserad form. Sammanställningen av denna statistik bygger emellertid på den föregående insamling via kakor som placerats i datorn eller annan utrustning hos personer som besökt denna sida, och på behandling av besökarnas personuppgifter för statistiska ändamål. Under alla omständigheter krävs inte enligt direktiv 95/46, när flera aktörer har ett gemensamt ansvar för samma behandling, att var och en av dessa har tillgång till de berörda personuppgifterna. |
39 |
Under dessa omständigheter konstaterar domstolen att administratören av en fanpage som Facebook hyser, såsom Wirtschaftsakademie, genom sin konfiguration, särskilt mot bakgrund av målgrupp och syftena med styrningen av marknadsföringen av dess verksamhet, medverkar till att fastställa ändamålen och medlen för behandlingen av personuppgifter från besökarna på nämnda fanpage. På grund av detta ska administratören betraktas som ansvarig i unionen, tillsammans med Facebook Ireland, för denna behandling, i den mening som avses i artikel 2 d i direktiv 95/46. |
40 |
Det faktum att en administratör för en fanpage använder den plattform som tillhandahålls av Facebook för att dra nytta av de tjänster som är knutna till denna, innebär nämligen inte att denne kan undgå sina skyldigheter i fråga om skydd av personuppgifter. |
41 |
Det ska för övrigt påpekas att de olika fanpages som Facebook hyser även kan besökas av personer som inte är Facebookanvändare och som således inte har ett konto hos detta sociala nätverk. I detta fall framstår det ansvar för behandlingen av dessa personers personuppgifter som åvilar administratören av denna fanpage som än mer betydande, eftersom endast ett besök på denna sida med automatik medför en behandling av personuppgifter. |
42 |
Under dessa omständigheter bidrar ett gemensamt ansvar för operatören av ett socialt nätverk och administratören av en fanpage som detta nätverk hyser för behandlingen av personuppgifterna för besökarna på nämnda fanpage till att säkerställa ett mer komplett skydd av de rättigheter som besökarna på en fanpage har, i enlighet med kraven i direktiv 95/46. |
43 |
Det ska emellertid, i likhet med vad generaladvokaten har angett i punkterna 75 och 76 i sitt förslag till avgörande, preciseras att den omständigheten att det finns ett gemensamt ansvar inte nödvändigtvis behöver innebära att de olika aktörer som medverkar vid behandlingen av personuppgifter har likvärdigt ansvar. Tvärtom kan dessa aktörer vara involverade i olika skeden av behandlingen och i olika utsträckning, så att ansvaret för var och en av dem ska bedömas med beaktande av alla relevanta omständigheter i fråga. |
44 |
Mot bakgrund av det ovan anförda ska den första och den andra frågan besvaras på så sätt att artikel 2 d i direktiv 95/46 ska tolkas så, att begreppet registeransvarig, i den mening som avses i denna bestämmelse, omfattar administratören av en fanpage som ett socialt nätverk hyser. |
Den tredje och den fjärde frågan
45 |
Den hänskjutande domstolen har ställt den tredje och den fjärde frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artiklarna 4 och 28 i direktiv 95/46 ska tolkas så, att när ett företag som är etablerat utanför unionen har flera etableringsställen i olika medlemsstater, tillsynsmyndigheten i en medlemsstat har rätt att utöva de befogenheter som den tilldelas genom artikel 28.3 i direktivet, i förhållande till ett etableringsställe som är beläget i den medelemsstaten, trots att enligt fördelningen av uppgifterna inom koncernen, detta etableringsställe endast ansvarar för försäljning av reklamplats och annan marknadsföring på den medlemsstatens territorium och ansvaret för insamling och behandling av personuppgifter inom hela unionen uteslutande ankommer på ett etableringsställe beläget i en annan medlemsstat, eller om det ankommer på tillsynsmyndigheten i den medlemsstaten att utöva dessa befogenheter i fråga om det andra etableringsstället. |
46 |
ULD och den italienska regeringen har uttryckt tvivel om huruvida tolkningsfrågorna kan tas upp till prövning på grund av att de inte är relevanta för utgången i det nationella målet. Det angripna beslutet riktar sig nämligen till Wirtschaftsakademie, och inte till Facebook Inc. eller något av dess dotterbolag som är etablerade i unionen. |
47 |
Domstolen erinrar om att det inom ramen för det samarbete mellan EU-domstolen och de nationella domstolarna som har införts genom artikel 267 FEUF uteslutande ankommer på den nationella domstolen, vid vilken målet anhängiggjorts och som har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen av unionsrätten (dom av den 6 september 2016, Petruhhin, C‑182/15, EU:C:2016:630, punkt 19 och där angiven rättspraxis). |
48 |
I förevarande fall räcker det att konstatera att den hänskjutande domstolen har gjort gällande att domstolens svar på den tredje och den fjärde tolkningsfrågan är nödvändigt för att avgöra det nationella målet. Den domstolen har förklarat att om det skulle konstateras att ULD mot bakgrund av detta svar kunde komma till rätta med de påstådda åsidosättandena av rätten till skydd av personuppgifter genom att vidta en åtgärd mot Facebook Germany, skulle denna omständighet kunna visa att det föreligger en oriktig bedömning i beslutet genom att det felaktigt riktades till Wirtschaftsakademie. |
49 |
Under dessa förhållanden kan den tredje och den fjärde frågan prövas. |
50 |
För att besvara frågorna ska det inledningsvis erinras om att det framgår av artikel 28.1 och 28.3 i direktiv 95/46 att respektive tillsynsmyndighet ska utöva samtliga de befogenheter som tilldelats den enligt nationell rätt i den medlemsstat som den tillhör för att säkerställa att reglerna om uppgiftsskydd iakttas inom det området (se, för ett liknande resonemang, dom av den 1 oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, punkt 51). |
51 |
Frågan om vilken nationell rätt som ska tillämpas på behandling av personuppgifter regleras i artikel 4 i direktiv 95/46. Enligt artikel 4.1 a i direktivet ska varje medlemsstat tillämpa de nationella bestämmelser som den för genomförandet av det direktivet antar för behandlingen av personuppgifter när behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier, preciseras i bestämmelsen att denne ska vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen. |
52 |
Det följer även av ovannämnda bestämmelse, jämförd punkterna 1 och 3 i artikel 28 i direktiv 95/46, att om den nationella lagstiftningen i tillsynsmyndighetens medlemsstat är tillämplig enligt artikel 4.1 a i direktivet på grund av att behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium där den registeransvarige är etablerad, kan tillsynsmyndigheten utöva samtliga de befogenheter som den ges enligt nationell rätt, oberoende av huruvida den registeransvarige även har etableringsställen i andra medlemsstater. |
53 |
För att avgöra om en tillsynsmyndighet, under sådana omständigheter som dem i målet vid den nationella domstolen, har rätt att i den medlemsstat som denna myndighet tillhör utöva de befogenheter som den ges enligt nationell rätt, ska det prövas huruvida de båda villkoren i artikel 4.1 a i direktiv 95/46 är uppfyllda, nämligen, för det första, huruvida ”den registeransvarige är etablerad” i den mening som avses i bestämmelsen, för det andra om behandlingen ”utförs som ett led i verksamheten” vid etableringsstället i den mening som avses i samma bestämmelse. |
54 |
Vad för det första gäller kravet att den registeransvarige för personuppgifterna måste vara etablerad i den medlemsstat som den berörda tillsynsmyndigheten tillhör, ska det erinras om att enligt skäl 19 i direktiv 95/46 förutsätter etablering på en medlemsstats territorium effektiv och faktisk verksamhet med hjälp av en stabil struktur och den berörda verksamhetens rättsliga form har inte avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person (dom av den 1 oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, punkt 28 och där angiven rättspraxis). |
55 |
I förevarande mål är det ostridigt att Facebook Inc., i egenskap av registeransvarig för personuppgifter, tillsammans med Facebook Ireland, har ett fast etableringsställe i Tyskland, nämligen Facebook Germany beläget i Hamburg och att detta bolag bedriver verklig och faktisk verksamhet i den medlemsstaten. Detta innebär följaktligen att det föreligger etablering i den mening som avses i artikel 4.1 a i direktiv 95/46. |
56 |
Vad för det andra gäller villkoret att behandlingen av personuppgifter utförs ”som ett led i verksamheten” vid etableringsstället i fråga, ska det till att börja med erinras om att, med beaktande av syftet med direktiv 95/46, nämligen att säkerställa ett effektivt och fullständigt skydd för enskilda personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, kan uttrycket ”som ett led i verksamhet vid etableringsstället” inte ges en restriktiv tolkning (dom av den 1 oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, punkt 25 och där angiven rättspraxis). |
57 |
Vidare ska det påpekas att enligt artikel 4.1 a i direktiv 95/46 krävs det inte att behandlingen av personuppgifter utförs ”av” det berörda etableringsstället självt, utan endast att den utförs ”som ett led i verksamhet” vid etableringsstället (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 52). |
58 |
I förevarande fall framgår det av begäran om förhandsavgörande och de skriftliga yttranden som ingetts av Facebook Ireland att Facebook Germany ansvarar för marknadsföring och försäljning av reklamplats och ägnar sig åt verksamheter som riktas till personer som är bosatta i Tyskland. |
59 |
Såsom har påpekats i punkterna 33 och 34 i förevarande dom, har den i det nationella målet aktuella behandlingen av personuppgifter som utförs av Facebook Inc. gemensamt med Facebook Ireland och som består i insamling av sådana uppgifter med hjälp av kakor som installeras i datorer eller annan utrustning hos besökare av en fanpage som Facebook hyser, bland annat till syfte att möjliggöra för detta sociala nätverk att förbättra sitt reklamsystem för att bättre kunna rikta de meddelanden som det sprider. |
60 |
Såsom generaladvokaten har påpekat i punkt 94 i sitt förslag till avgörande ska, eftersom ett socialt nätverk såsom Facebook dels får en betydande del av sina intäkter från bland annat reklam på webbplatser som användarna skapar och besöker, dels att etableringen av Facebook i Tyskland är avsedd att säkerställa marknadsföring och försäljning av reklamplats i den medlemsstaten, som tjänar till att göra de tjänster som erbjuds av Facebook lönsamma, detta etableringsställes verksamhet anses vara oupplösligt förenad med den behandling av personuppgifter som är aktuell i det nationella målet, för vilken Facebook Inc. är gemensamt ansvarigt med Facebook Ireland. En sådan behandling ska därför anses utföras som ett led i en registeransvarigs verksamhet, i den mening som avses i artikel 4.1 a i direktiv 95/46 (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkterna 55 och 56). |
61 |
Härav följer att, eftersom tysk lagstiftning enligt artikel 4.1 a i direktiv 95/46 är tillämplig på den behandling av personuppgifter som är aktuella i det nationella målet, är den tyska tillsynsmyndigheten enligt artikel 28.1 i det direktivet behörig att tillämpa tysk lagstiftning på nämnda behandling. |
62 |
Denna tillsynsmyndighet är således, i syfte att säkerställa efterlevnaden av reglerna om skydd av personuppgifter i Tyskland, behörig att med avseende på Facebook Germany utöva samtliga de befogenheter som myndigheten har enligt de nationella bestämmelser som införlivar artikel 28.3 i direktiv 95/46. |
63 |
Det ska även preciseras att den omständigheten, som lyfts fram av den hänskjutande domstolen i den tredje frågan, att beslutsfattande avseende strategier i fråga om insamling och behandling av personuppgifter om personer som är bosatta i unionen fattas av ett moderbolag med hemvist i tredje land, såsom i detta fall Facebook Inc., inte påverkar den nationella tillsynsmyndighetens behörighet enligt lagstiftningen i en medlemsstat med avseende på den i denna stat etablerade registeransvarige. |
64 |
Mot bakgrund av det ovan anförda ska den tredje och den fjärde frågan besvaras på så sätt att artiklarna 4 och 28 i direktiv 95/46 ska tolkas så, att när ett företag som är etablerat utanför unionen har flera etableringsställen i olika medlemsstater, har tillsynsmyndigheten i en medlemsstat rätt att utöva de befogenheter som den tilldelas genom artikel 28.3 i direktivet, i förhållande till ett av företagets etableringsställen som är beläget i den medlemsstaten, trots att enligt fördelningen av uppgifterna inom koncernen, detta etableringsställe endast ansvarar för försäljning av reklamplats och annan marknadsföring på den medlemsstatens territorium och ansvaret för insamling och behandling av personuppgifter inom hela unionen uteslutande ankommer på ett etableringsställe beläget i en annan medlemsstat. |
Den femte och den sjätte frågan
65 |
Den hänskjutande domstolen har ställt den femte och den sjätte frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 4.1 a och artikel 28.3 och 28.6 i direktiv 95/46 ska tolkas så, att när tillsynsmyndigheten i en medlemsstat har för avsikt att med avseende på ett organ etablerat i denna medlemsstat utöva de befogenheter att ingripa som avses i artikel 28.3 i detta direktiv på grund av överträdelser av reglerna om skydd av personuppgifter som begåtts av en tredje part som är ansvarig för behandlingen av uppgifterna och som har sitt säte i en annan medlemsstat, ska denna myndighet vara behörig att fristående från tillsynsmyndigheten i den sistnämnda medlemsstaten bedöma lagenligheten av en sådan behandling av uppgifter och får denna myndighet utöva sina befogenheter att ingripa mot det organ som är etablerat på dess territorium utan att dessförinnan anmoda tillsynsmyndigheten i den andra medlemsstaten att ingripa. |
66 |
För att kunna besvara dessa frågor ska det erinras om att, såsom framgår av svaret på den första och den andra tolkningsfrågan, artikel 2 d i direktiv 95/46 ska tolkas så, att under sådana omständigheter som dem i det nationella målet, kan ett organ såsom Wirtschaftsakademie, i sin egenskap av administratör av en fanpage som Facebook hyser, i händelse av överträdelse av bestämmelserna om skydd av personuppgifter, hållas ansvarig för denna överträdelse. |
67 |
Härav följer att enligt artikel 4.1 a och artikel 28.1 och 28.3 i direktiv 95/46, är tillsynsmyndigheten i den medlemsstat på vars territorium organet är etablerat behörig att tillämpa sin nationella lagstiftning och kan därmed mot detta organ utöva samtliga befogenheter som den tilldelas genom nationell lagstiftning i enlighet med artikel 28.3 i direktivet. |
68 |
Såsom det föreskrivs i artikel 28.1 andra stycket i direktiv 95/46 ska tillsynsmyndigheterna, i de medlemsstater de tillhör, övervaka tillämpningen av de bestämmelser som medlemsstaterna har antagit till följd av direktivet och fullständigt oberoende utöva de uppgifter som åläggs dem. Detta krav följer även av unionens primärrätt, bland annat artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16.2 FEUF (se, för ett likande resonemang, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 40). |
69 |
Enligt artikel 28.6 andra stycket i direktiv 95/46 ska visserligen tillsynsmyndigheterna i den utsträckning som krävs samarbeta med varandra, särskilt genom att utbyta användbar information. Det föreskrivs emellertid inte i direktivet något kriterium som reglerar prioriteten mellan de olika tillsynsmyndigheternas ingripanden och inte heller någon skyldighet för en tillsynsmyndighet i en medlemsstat att inta den ståndpunkt som en tillsynsmyndighet i en annan medlemsstat, i förekommande fall, gett utryck för. |
70 |
En tillsynsmyndighet vars behörighet erkänts i enlighet med nationell rätt är således inte skyldig att följa den lösning som valts av en annan tillsynsmyndighet i en liknande situation. |
71 |
Enligt artikel 8.3 i stadgan om de grundläggande rättigheterna och artikel 28 i direktiv 95/46 är de nationella tillsynsmyndigheterna ansvariga för kontrollen av efterlevnaden av unionsbestämmelserna om skyddet för enskilda personer med avseende på behandlingen av personuppgifter. Respektive tillsynsmyndighet är således behörig att kontrollera huruvida en behandling av personuppgifter i den medlemsstat som myndigheten tillhör uppfyller de krav som följer av direktiv 95/46 (se, för ett liknande resonemang, dom av den 6 oktober 2015, Schrems, EU:C:2015:650, punkt 47). |
72 |
Artikel 28 i direktiv 95/46 är till sin beskaffenhet tillämplig på all behandling av personuppgifter, även om det föreligger ett beslut av en tillsynsmyndighet i en annan medlemsstat. En tillsynsmyndighet måste därför, då den fått en anmälan från en person avseende skyddet för vederbörandes fri- och rättigheter i samband med behandlingen av personuppgifter som rör personen i fråga, fullständigt oberoende granska om behandlingen uppfyller de krav som följer av direktivet (se, för ett liknande resonemang, dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punkt 57). |
73 |
Härav följer i föreliggande fall att ULD enligt det system som inrättats genom direktiv 95/46 hade befogenhet att, fristående från de bedömningar som gjorts av den irländska tillsynsmyndigheten, bedöma lagenligheten av den behandling av personuppgifter som är aktuell i det nationella målet. |
74 |
Följaktligen ska den femte och den sjätte frågan besvaras enligt följande: Artikel 4.1 a och artikel 28.3 och 28.6 i direktiv 95/46 ska tolkas så, att när tillsynsmyndigheten i en medlemsstat har för avsikt att med avseende på ett organ etablerat i denna medlemsstat utöva de befogenheter att ingripa som avses i artikel 28.3 i detta direktiv på grund av överträdelser av reglerna om skydd av personuppgifter som begåtts av en tredje part som är ansvarig för behandlingen av uppgifterna och som har sitt säte i en annan medlemsstat, ska denna myndighet vara behörig att fristående från tillsynsmyndigheten i den sistnämnda medlemsstaten bedöma lagenligheten av en sådan behandling av uppgifter och, får denna myndighet utöva sina befogenheter att ingripa mot det organ som är etablerat på dess territorium utan att dessförinnan anmoda tillsynsmyndigheten i den andra medlemsstaten att ingripa. |
Rättegångskostnader
75 |
Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla. |
Mot denna bakgrund beslutar domstolen (stora avdelningen) följande: |
|
|
|
Underskrifter |
( *1 ) Rättegångsspråk: tyska.