1.

Fashion ID GmbH & Co. KG är en nätbutik som säljer modeartiklar. Butiken har integrerat ett insticksprogram på sin webbplats, nämligen Facebooks ”Gilla”-knapp. Detta gör att användarens IP-adress och webbläsarsträng skickas till Facebook när användaren besöker butikens webbplats. Uppgifterna översänds automatiskt när Fashion ID:s webbplats aktiveras, oavsett om användaren klickar på ”Gilla”-knappen eller inte och oavsett om användaren har ett Facebook-konto eller inte.

2.

Verbraucherzentrale NRW e. V., en tysk konsumentskyddsorganisation, ansökte om föreläggande mot Fashion ID på grund av att det stred mot dataskyddslagstiftningen att använda insticksprogrammet.

3.

Oberlandesgericht Düsseldorf (Regionala överdomstolen i Düsseldorf, Tyskland), som ska pröva målet, har hänskjutit tolkningsfrågor rörande ett antal bestämmelser i direktiv 95/46/EG (nedan kallat direktiv 95/46). ( 2 ) Som en preliminär fråga söker den hänskjutande domstolen klarhet i huruvida nationell lagstiftning som ger en konsumentskyddsorganisation rätt att väcka en sådan talan som i det nationella målet är förenlig med detta direktiv. Med avseende på sakfrågorna, är den centrala frågan huruvida Fashion ID ska betraktas som ”registeransvarig” i fråga om den aktuella uppgiftsbehandlingen och, i så fall, exakt hur de olika förpliktelserna i direktiv 95/46 ska uppfyllas i en sådan situation. Vems berättigade intressen ska beaktas vid den intresseavvägning som ska göras enligt artikel 7 f i direktiv 95/46? Är Fashion ID skyldigt att informera de registrerade om uppgiftsbehandlingen? Och är det i så fall även Fashion ID som ska inhämta informerat samtycke från de registrerade i detta avseende?

4.

Syftet med direktiv 95/46 förklaras i artikel 1. Artikel 1.1 har följande lydelse: ”Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.” Enligt artikel 1.2 får ”[m]edlemsstaterna … varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet”.

5.

Artikel 2 innehåller följande definitioner:

…

…

6.

I artikel 7 anges de principer som gör att uppgiftsbehandlingen kan tillåtas: ”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om

…

7.

I artikel 10 föreskrivs vilken information som i vart fall ska lämnas till den registrerade:

”Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen:

8.

Kapitel III i direktiv 95/46 rör rättslig prövning, ansvar och sanktioner. I artikel 22–24 anges följande:

”Artikel 22

Rättslig prövning

Medlemsstaterna skall – utan att det påverkar möjligheten att utnyttja något administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en rättslig instans – föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.

Artikel 23

Ansvar

1.   Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.

2.   Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.

Artikel 24

Sanktioner

Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.”

9.

I 3 § punkt 1 Gesetz gegen den unlauteren Wettbewerb (lagen mot otillbörlig konkurrens) (nedan kallad UWG) anges att lagstridiga affärsmetoder ska vara förbjudna.

10.

I 8 § punkt 1 och 8 § punkt 3 led 3 UWG anges att en lagstridig affärsmetod kan leda till ett föreläggande om upphörande eller förbudsföreläggande som begärs av ”godkända inrättningar” som förtecknas i Unterlassungsklagengesetz (lagen om förelägganden) eller i Europeiska kommissionens förteckning, som avses i artikel 4.3 i direktiv 2009/22/EG om förbudsföreläggande för att skydda konsumenternas intressen. ( 3 )

11.

I 2 § punkterna 1 och 2 led 11 Unterlassungsklagegesetz (lagen om förelägganden) anges följande:

”1.   Den som åsidosätter de bestämmelser som har till syfte att skydda konsumenter (lagar om konsumentskydd), på annat sätt än vid tillämpning av eller genom rekommendationer om allmänna försäljningsvillkor, kan föreläggas att upphöra med detta, eller förbjudas att fortsätta med detta, till skydd för konsumenterna.

2.   Med ’lagar om konsumentskydd’ menas vid tillämpningen av denna bestämmelse särskilt:

…

12.

I 2 § punkt 1 Telemediengesetz (lagen om elektroniska informations- och kommunikationstjänster) (nedan kallad TMG) föreskrivs följande:

”I denna lag avses med

1.   tjänsteleverantör: en fysisk eller juridisk person som tillhandahåller egna eller andras elektroniska informations- eller kommunikationstjänster för användning eller förmedlar tillträde för användning …”

13.

I 12 § punkt 1 TMG föreskrivs följande: ”Tjänsteleverantören får samla in och använda personuppgifter för att tillhandahålla elektroniska informations- eller kommunikationstjänster endast om detta är tillåtet enligt denna lag eller annan föreskrift som uttryckligen avser sådana tjänster, eller om användaren har gett sitt samtycke.”

14.

I 13 § punkt 1 TMG föreskrivs följande:

”Senast vid sessionens början ska tjänsteleverantören på ett lättbegripligt sätt informera användaren om art, omfattning och syfte vad gäller insamlingen och användningen av personuppgifter samt behandlingen av dennes uppgifter i länder utanför tillämpningsområdet för [direktiv 95/46] om inte användaren redan har informerats om detta. Om processen sker automatiskt och möjliggör senare identifiering av användaren samt inhämtande och användning av personuppgifter ska användaren informeras vid processens början. Användaren ska alltid ha möjlighet att hämta fram denna information.”

15.

I 15 § punkt 1 TMG anges följande:

”Tjänsteleverantören får inhämta och använda en användares personuppgifter endast i den mån det krävs för att möjliggöra och fakturera användningen av de elektroniska informations- eller kommunikationstjänsterna (användningsdata). Med användningsdata avses särskilt

16.

Fashion ID är en nätbutik som säljer modeartiklar på sin webbplats. Fashion ID har integrerat insticksprogrammet ”Gilla” från Facebook Ireland Limited (nedan kallat Facebook Irland) ( 4 ) på sin webbplats. Därmed visas den så kallade Facebooks ”Gilla”-knappen på Fashion ID:s webbplats.

17.

I beslutet om hänskjutande har förklarats hur den (ej synliga) delen av insticksprogrammet fungerar. När en besökare kommer till Fashion ID:s webbplats på vilken Facebooks ”Gilla”-knapp finns skickar besökarens webbläsare automatiskt information om besökarens IP-adress och webbläsarsträng till Facebook Irland. Överföringen sker utan att man faktiskt har klickat på ”Gilla”-knappen. Det verkar också framgå av beslutet om hänskjutande att Facebook Irland placerar olika kakor (cookies) på användarens enhet vid besök på Fashion ID:s webbplats (till exempel sessions-, datr- och fr-kakor).

18.

Verbraucherzentrale NRW (nedan kallad Verbraucherzentrale), en konsumentskyddsorganisation, väckte talan mot Fashion ID vid en Landgericht (regional domstol, Tyskland). Verbraucherzentrale ansökte om föreläggande för Fashion ID att upphöra med att integrera det sociala Gilla-programmet från Facebook på den grunden att Fashion ID

19.

Verbraucherzentrale har hävdat att Facebook Inc. eller Facebook Irland lagrar den översända IP-adressen och webbläsarsträngen och kopplar dem till en viss användare (medlem eller icke-medlem). Fashion ID har förklarat sig inte känna till något om detta. Facebook Irland har gjort gällande att IP-adressen görs om till en generisk IP-adress och endast lagras i denna form och att varken IP-adressen eller webbläsarsträngen kopplas till användarkonton.

20.

Landgericht (regional domstol) biföll Verbraucherzentrales talan på de första tre grunderna. Fashion ID överklagade domen. Verbraucherzentrale ingav ett anslutningsöverklagande avseende den fjärde grunden.

21.

Det är under dessa faktiska och rättsliga omständigheter som Oberlandesgericht Düsseldorf (Regionala överdomstolen i Düsseldorf) har beslutat att hänskjuta följande tolkningsfrågor till domstolen:

För det fall fråga 1 besvaras nekande:

22.

Skriftliga yttranden har inkommit från Verbraucherzentrale, Fashion ID, Facebook Irland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (dataskyddsombudsmannen för delstaten Nordrhein-Westfalen) (nedan kallad LDI NW), de belgiska, tyska, italienska, österrikiska och polska regeringarna samt kommissionen. Verbraucherzentrale, Fashion ID, Facebook Irland, LDI NW, Belgien, Tyskland, Österrike och kommissionen yttrade sig muntligen vid förhandlingen den 6 september 2018.

23.

I detta förslag till avgörande drar jag slutsatsen att direktiv 95/46 inte utgör hinder för en nationell lagstiftning som ger en konsumentskyddsorganisation (som Verbraucherzentrale) rätt att väcka talan mot någon som påstås ha överträtt dataskyddslagstiftningen (A). Jag anser vidare att Fashion ID är gemensamt registeransvarig med Facebook Irland, men att Fashion ID:s ansvar är begränsat till ett särskilt steg i uppgiftsbehandlingen (B). För det tredje är det min uppfattning att den intresseavvägning som ska göras enligt artikel 7 f i direktiv 95/46 kräver att inte bara Fashion ID:s, utan även Facebook Irlands, intressen beaktas (liksom självfallet även den registrerades intressen) (C). För det fjärde ska den registrerades informerade samtycke lämnas till Fashion ID. Fashion ID är också skyldigt att lämna information till den registrerade (D).

24.

Genom tolkningsfråga 1 söker den hänskjutande domstolen i huvudsak klarhet i huruvida direktiv 95/46 utgör hinder för en nationell bestämmelse som ger konsumentskyddsorganisationer rätt att väcka talan mot en person som påstås ha överträtt dataskyddslagstiftningen. I detta avseende har den hänskjutande domstolen särskilt hänvisat till artiklarna 22–24 i direktiv 95/46 och anmärkt att den ifrågasatta nationella lagstiftningen kan anses utgöra en ”lämplig bestämmelse” i enlighet med artikel 24. Den hänskjutande domstolen har vidare angett att förordning (EU) nr 2016/679 (nedan kallad dataskyddsförordningen), ( 5 ) som har ersatt direktiv 95/46 nu uttryckligen föreskriver en sådan rätt i artikel 80.2. ( 6 )

25.

Fashion ID och Facebook Irland har gjort gällande att direktiv 95/46 inte medger sådana organisationer talerätt, eftersom detta inte uttryckligen har föreskrivits och direktiv 95/46, enligt deras uppfattning, syftar till fullständig harmonisering. Enligt Fashion ID skulle en sådan talerätt utgöra ett hot mot tillsynsmyndigheternas oberoende ställning, eftersom dessa skulle utsättas för tryck från allmänheten.

26.

Verbraucherzentrale, LDI NW och de regeringar som har yttrat sig i förevarande mål anser att direktiv 95/46 inte utgör hinder för den ifrågasatta lagstiftningen.

27.

Jag delar det senare synsättet. ( 7 )

28.

För mig är det viktigt att redan från början erinra om den konstitutionella (huvud-)regel som finns i tredje meningen i artikel 288 FEUF, som innebär att ett ”direktiv ska med avseende på det resultat som ska uppnås vara bindande för varje medlemsstat till vilken det är riktat, men ska överlåta åt de nationella myndigheterna att bestämma form och tillvägagångssätt för genomförandet”. ( 8 )

29.

Detta innebär att medlemsstaterna har rätt, i syfte att genomföra skyldigheter i ett direktiv, att anta alla bestämmelser de anser lämpliga, så länge dessa inte uttryckligen har uteslutits i direktivet självt eller strider mot dess syften.

30.

Texten i direktiv 95/46 utesluter inte uttryckligen möjligheten att man i nationell rätt ger konsumentskyddsorganisationer talerätt.

31.

Om man beaktar de mål som eftersträvas med direktiv 95/46 inbegriper dessa att ”skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter”. ( 9 ) Vidare anges i skäl 10 i direktiv 95/46 att ”tillnärmningen av de nationella lagstiftningar som är tillämpliga på området inte får medföra någon inskränkning i det skydd de ger, utan i stället skall syfta till att garantera en hög skyddsnivå inom gemenskapen”. ( 10 )

32.

Det framgår av beslutet om hänskjutande att Tyskland har beviljat organisationer som Verbraucherzentrale talerätt i syfte att väcka talan mot vad dessa organisationer anser vara en olaglig arbetsmetod eller en arbetsmetod som strider mot konsumentskyddslagstiftning, inbegripet dataskyddslagstiftningen.

33.

I detta sammanhang kan jag inte se hur ett beviljande av sådan talerätt på något sätt skulle strida mot syftena med direktiv 95/46 eller göra det mindre sannolikt att dessa mål skulle uppnås. Tvärtom verkar det faktum att sådana organisationer ges talerätt öka möjligheterna att uppnå lagstiftningens syften och genomföra direktivet, eftersom det bidrar till att stärka den registrerades rättigheter genom att tillåta grupptalan. ( 11 )

34.

Enligt min uppfattning finns det därför inget som hindrar att medlemsstaterna inför en bestämmelse om talerätt för organisationer, såsom den som ger Verbraucherzentrale rätt att väcka talan vid den nationella domstolen i förevarande mål.

35.

Mot bakgrund av detta svar anser jag att den diskussion som ägde rum under detta förfarande, som särskilt avsåg huruvida den ifrågasatta nationella lagstiftningen kunde vara en ”lämplig bestämmelse” i den mening som avses i artikel 24 i direktiv 95/46 eller om den i stället skulle omfattas av artikel 22, var något av ett sidospår. Om det är meningen att medlemsstaterna ska genomföra direktiv på det sätt de anser lämpligt, och det särskilda sättet att genomföra ett visst direktiv inte utesluts enligt direktivets ordalydelse eller syfte, så är det av sekundär betydelse vilken särskild artikel i direktivet en viss nationell bestämmelse ska hänföras till. ( 12 ) Trots det sagda kan, för vad det nu är värt, ”lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt” enligt artikel 24 absolut tolkas så, att det omfattar nationella bestämmelser av det slag som är aktuellt i förevarande mål.

36.

Jag tror inte att denna allmänna slutsats på något sätt undergrävs av följande hänsyn, som diskuterades under förfarandet.

37.

För det första är det riktigt att direktiv 95/46 inte anges i förteckningen i bilaga I till direktiv 2009/22. Sistnämnda direktiv reglerar åtgärder för förbudsföreläggande som kan godtas av ”godkända inrättningar” i syfte att stärka skyddet för konsumenternas kollektiva intressen. ( 13 ) Flera direktiv räknas upp i förteckningen i bilaga I, men direktiv 95/46 är inte ett av dessa.

38.

Emellertid kan förteckningen i bilaga I till direktiv 2009/22, såsom den tyska regeringen har gjort gällande, inte ses som en uttömmande lista såtillvida att den skulle utgöra ett hinder för nationell lagstiftning om förelägganden avseende bestämmelser i andra direktiv än de som anges i förteckningen i bilaga I till direktiv 2009/22. Det skulle till och med vara mycket förvånande om en sådan belysande förteckning i sekundär lagstiftning helt plötsligt skulle tolkas så, att den fråntar medlemsstaterna rätten att välja hur de ska genomföra ett direktiv, som garanteras enligt fördraget.

39.

För det andra vill jag betona det argument som Fashion ID och Facebook Irland har gjort gällande angående fullständig harmonisering genom direktiv 95/46, som de anser skulle utesluta åtgärder som inte har reglerats explicit.

40.

Det är riktigt att det följer av domstolens fasta praxis att den harmonisering som grundar sig på direktiv 95/46 inte inskränker sig till en minimiharmonisering, utan leder till en i princip ”fullständig harmonisering”. ( 14 ) Samtidigt har det också angetts att medlemsstaterna i samma direktiv ”tillerkänns ett handlingsutrymme på vissa områden”, förutsatt att direktivet följs. ( 15 )

41.

Såsom jag har föreslagit i ett annat mål, ( 16 ) kan frågan huruvida unionslagstiftningen är ”fullständigt harmoniserad” (i den bemärkelse att medlemsstaterna därmed förhindras att anta lagstiftningsåtgärder av något slag) inte besvaras i allmänhet genom en slags områdesanalys som omfattar hela rättsområdet eller innehållet i ett specifikt direktiv. Istället ska bedömningen göras med hänsyn till en specifik bestämmelse i (en särskild princip i eller en viss aspekt av) direktivet i fråga.

42.

Om man tittar på de särskilda ”processuella” bestämmelser i direktiv 95/46 som har ifrågasatts i detta mål, nämligen artiklarna 22–24, har dessa uttryckts i mycket allmänna ordalag. ( 17 ) Med hänsyn till att bestämmelsernas allmänna och abstrakta utformning skulle det sannerligen vara påfallande om dessa bestämmelser skulle påstås utgöra en uttömmande reglering som utgör hinder för alla åtgärder som skulle kunna vidtas av medlemsstaterna, men som inte uttrycks explicit i dessa artiklar. ( 18 )

43.

För det tredje har Fashion ID gjort gällande ett argument om ett hot mot tillsynsmyndigheternas oberoende. ( 19 ) Fashion ID menar i princip att om konsumentskyddsorganisationer gavs talerätt, skulle de väcka talan parallellt med och/eller i stället för tillsynsmyndigheterna, vilket skulle leda till påtryckningar från allmänheten och partiskhet hos tillsynsmyndigheten och i slutänden skulle kunna strida mot kravet på fullständigt oberoende i artikel 28.1 i direktivet.

44.

Detta argument ska inte tillmätas någon betydelse. Förutsatt att en sådan tillsynsmyndighet faktiskt var verkligt oberoende, ( 20 ) kan jag, i likhet med den tyska regeringen, inte se hur en talan som den i målet vid den nationella domstolen, skulle kunna hota dess oberoende. En organisation kan inte verkställa lagstiftning, såtillvida att dess uppfattning blir bindande för tillsynsmyndigheterna. Endast domstolarna har en sådan möjlighet. En konsumentorganisation kan endast, i detta avseende precis som vilken annan enskild konsument som helst, väcka talan. Argumentet att en (enskild) talan som väckts av en privatperson eller konsumentorganisation alltid utgör en påtryckning på de (offentligt) verkställande organen och därför inte kan tillåtas existera parallellt med systemet för offentlig verkställighet är så underligt att det inte finns anledning att diskutera det ytterligare. ( 21 )

45.

För det fjärde och slutligen ska jag ta upp argumentet att artikel 80.2 i dataskyddsförordningen ska tolkas så, att den ändrar (och vänder på) den tidigare situationen genom att tillåta något (talerätt för organisationer) som inte tidigare var tillåtet.

46.

Detta argument är inte övertygande.

47.

Det är viktigt att erinra sig att det faktum att direktiv 95/46 har ersatts av dataskyddsförordningen innebär att det rättsinstrument som innehåller regleringen inte längre är ett direktiv utan en förordning. Denna ändring fick också till följd att i motsats till vad som är fallet i fråga om direktiv, där medlemsstaterna har frihet att välja hur de ska genomföra innehållet i rättsakten, kan nationella bestämmelser som genomför en förordning endast antas när det uttryckligen är tillåtet.

48.

Sett ur detta perspektiv är det tveksamt om det är riktigt att det faktum att organisationer har getts uttrycklig talerätt i dataskyddsförordningen innebär att de inte hade en sådan rätt enligt direktiv 95/46. Om det är möjligt att formulera ett argument utifrån ett sådant motsatsförhållande, ( 22 ) så skulle snarare motsatsen gälla: Om nämnda direktiv inte hindrade bestämmelser som tillät talerätt för organisationer (baserat på de argument jag angett ovan) skulle det faktum att den rättsliga formen ändrats från direktiv till förordning motivera att bestämmelsen i fråga intogs förordningen i syfte att klargöra att en sådan möjlighet fortfarande finns.

49.

Således är min slutsats i denna första del, mot bakgrund av det föregående, att direktiv 95/46 inte utgör hinder för nationell lagstiftning som ger allmännyttiga organisationer rätt att väcka talan mot någon som påstås ha överträtt dataskyddslagstiftningen i syfte att skydda konsumenternas intressen.

50.

Den hänskjutande domstolen har ställt fråga 2 för att få klarhet i huruvida Fashion ID, då denne har integrerat ett insticksprogram på sin webbplats som gör att användarens webbläsare begär innehåll från en tredje part och skickar personuppgifter till denna tredje part, ska betraktas som ”registeransvarig” i den mening som avses i artikel 2 d i direktiv 95/46, även om Fashion ID inte kan påverka uppgiftsbehandlingen.

51.

Såvitt jag har förstått avser det faktum att Fashion ID inte har möjlighet att påverka uppgiftsbehandlingen, som den hänskjutande domstolen har hänvisat till i sin fråga, inom ramen för förevarande mål inte själva orsakandet av översändandet av uppgifterna (och rent faktiskt har Fashion ID uppenbart inflytande över detta, eftersom Fashion ID har integrerat det aktuella insticksprogrammet). Det verkar i stället ha att göra med Facebook Irlands efterföljande behandling av uppgifterna.

52.

Såsom den hänskjutande domstolen har anmärkt, har svaret på fråga 2 en räckvidd som är avsevärt vidare än förevarande mål och Facebook Irlands sociala nätverk. Många webbplatser integrerar olika slags externt innehåll på sina webbplatser. Om en person som Fashion ID skulle betraktas som ”registeransvarig” och (med-)ansvarig för all (efterföljande) behandling som äger rum av de insamlade uppgifterna, till följd av att webbplatsoperatören integrerar innehåll från tredje part som gör det möjligt att översända uppgifterna, så skulle detta sannerligen få stora konsekvenser för hur externt innehåll hanteras.

53.

Inom ramen för förevarande mål är fråga 2 också den centrala frågan som utgör själva kärnan i problematiken i detta mål. Vem är det som har en förpliktelse när externt innehåll integreras på en webbplats och exakt vad inbegriper denna förpliktelse? Precisionen (eller den bristande precisionen) i svaret på denna fråga kommer även att påverka svaren på de efterföljande frågorna om berättigat intresse, samtycke och informationsplikt.

54.

I detta avsnitt ska jag först göra några inledande anmärkningar angående begreppet personuppgifter som har betydelse för förevarande mål (1). Sedan kommer jag att ta upp domstolens praxis och lämna ett förslag på hur fråga 2 skulle kunna besvaras, om domstolens tidigare praxis ska anammas utan betänkligheter (2). Därefter kommer jag att förklara varför det kan vara nödvändigt att ställa fler frågor och, inom ramen för förevarande mål, precisera bedömningen något (3). Till sist kommer jag att betona hur viktigt det är, för definitionen av begreppet (gemensam) kontroll, att det råder samstämmighet avseende ”ändamål och medel” bland (gemensamma) registeransvariga avseende de olika stegen i personuppgiftsbehandlingen i fråga (4).

55.

Det ska erinras om att begreppet ”personuppgifter” i artikel 2 a i direktiv 95/46 har definierats som ”varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade)”. I skäl 26 i samma direktiv förklaras i detta avseende att ”[f]ör att avgöra om en person är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av någon annan person”.

56.

Domstolen har redan klargjort att en IP-adress, under vissa förhållanden, kan utgöra personuppgifter. ( 23 ) Domstolen har vidare angett att det i detta syfte, för att det ska finnas en ”identifierbar person” i den mening som avses i artikel 2 a i direktiv 95/46, ”inte är nödvändigt att upplysningen i sig gör det möjligt att identifiera den aktuella personen” utan att det kan behövas ytterligare uppgifter. Den har också angett att ”det inte krävs att en enda person innehar alla upplysningar som är nödvändiga för att identifiera den aktuella personen” i den utsträckning möjligheten att kombinera de olika uppgifterna ”utgör ett hjälpmedel som rimligen kan komma att användas för att identifiera den aktuella personen”. ( 24 )

57.

Den hänskjutande domstolen har inte diskuterat huruvida IP-adressen, ensam eller i kombination med webbläsarsträngen som den översänds med, utgör personuppgifter i den bemärkelse som avses enligt dessa kriterier. Facebook Irland verkar anse att IP-adressen inte ska anses utgöra personuppgifter. ( 25 )

58.

Det är uppenbart att det är den nationella domstolen som ska göra denna bedömning. Med avseende på integrerade insticksprogram eller annat innehåll från tredje part är det i allmänhet avgörande för att uppgifter ska klassas som personuppgifter att de gör det möjligt att identifiera den registrerade (direkt eller indirekt). Med avseende på förevarande mål kommer jag att utgå från att IP-adressen och webbläsarsträngen, såsom verkar följa av tolkningsfrågorna, i de omständigheter som är aktuella i det nationella målet faktiskt utgör personuppgifter och uppfyller kriterierna i artikel 2 a i direktiv 95/46 såsom dessa har klargjorts av domstolen.

59.

Med avseende på fråga 2 har Fashion ID och Facebook Irland gjort gällande att Fashion ID inte kan betraktas som registeransvarig, då den inte har inflytande över de personuppgifter som kommer att behandlas. Således kan endast Facebook Irland betraktas som registeransvarig. I andra hand har Facebook Irland gjort gällande att Fashion ID agerar tillsammans med Facebook Irland, som gemensam registeransvarig, men att en person som Fashion ID endast har ett ansvar som är begränsat till det område som den faktiskt har ett inflytande över.

60.

Verbraucherzentrale, LDI NW, samtliga regeringar som har yttrat sig i målet och kommissionen delar i stort sett uppfattningen att begreppet ”registeransvarig” har en vid betydelse som omfattar Fashion ID. Deras uppfattningar som de har gjort gällande i sina yttranden skiljer sig dock avsevärt åt i fråga om den exakta omfattningen av Fashion ID:s ansvar. Skillnaderna rör frågan huruvida Fashion ID och Facebook Irland ska ha gemensamt ansvar eller inte, huruvida detta gemensamma ansvar ska vara begränsat till den del av uppgiftsbehandlingen som Fashion ID faktiskt är inblandad i och huruvida det bör göras åtskillnad i detta avseende mellan besökare på Fashion ID:s webbplats som har ett Facebook-konto och besökare som inte har ett sådant konto.

61.

Till att börja med står det klart att begreppet ”registeransvarig” enligt artikel 2 d i direktiv 95/46 avser den fysiska eller juridiska person som ”[ensam] eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”. ( 26 ) Begreppet registeransvarig kan alltså avse flera olika aktörer som är involverade i personuppgiftsbehandlingen ( 27 ) och bör tolkas extensivt. ( 28 )

62.

Frågan om gemensam kontroll behandlades nyligen av domstolen i målet Wirtschaftsakademie Schleswig-Holstein. ( 29 ) Med avseende på rollen som administratör av en Facebook-sida (fanpage) fann domstolen att administratören skulle betraktas som registeransvarig, tillsammans med Facebook Irland, i den mening som avses i artikel 2 d i direktiv 95/46. Detta var fallet, eftersom administratören medverkade till att fastställa ändamålen och medlen för behandlingen av personuppgifter från besökarna på ifrågavarande fanpage. ( 30 )

63.

Mer precist fann domstolen att administratören, genom att skapa ifrågavarande fanpage, gav Facebook Irland ”möjlighet att placera kakor i datorn eller annan utrustning hos den person som besöker nämnda fanpage” och således att behandla personuppgifter. ( 31 ) Domstolen anmärkte att ”skapandet av en fanpage på Facebook, från administratörens sida innebär en åtgärd för konfiguration, bland annat mot bakgrund av dess målgrupp liksom styrningen av marknadsföringen av dess verksamhet, vilket inverkar på behandlingen av personuppgifter för ändamålet att upprätta statistik med utgångspunkt i besöken på nämnda fanpage”. ( 32 ) Denna behandling av personuppgifter gjorde det möjligt för Facebook Irland att ”förbättra företagets system för reklam”, samtidigt som det gav administratören möjlighet att genom anonymiserad statistik styra marknadsföringen av sin egen verksamhet bättre. ( 33 )

64.

Domstolen drog slutsatsen att den berörda administratören, genom ”sin konfiguration” medverkade till att fastställa ändamålen och medlen för behandlingen av personuppgifter från besökarna på dess fanpage. På grund av detta skulle administratören betraktas som ansvarig, tillsammans med Facebook Irland, för denna behandling (vilket ansvar framstod som ”än mer betydande” i förhållande till personer som inte använde Facebook Irland). ( 34 )

65.

I domen i målet Jehovan todistajat betonade domstolen ett annat viktigt förtydligande avseende begreppet gemensamma registeransvariga: Det är inte nödvändigt att var och en av de registeransvariga ska ha tillgång till (alla) personuppgifterna i fråga, för att det ska vara fråga om gemensam kontroll och gemensamt ansvar. Ett religiöst samfund kunde alltså vara en gemensam registeransvarig i fall där samfundet självt inte hade tillgång till de insamlade uppgifterna. I det målet var det de enskilda medlemmarna i samfundet Jehovas vittnen som fysiskt hade besittningen över personuppgifterna. Det räckte att det predikoarbete som medlemmarna utförde och där personuppgifterna samlades in, organiserades, samordnades och uppmuntrades av samfundet. ( 35 )

66.

Om man bedömer frågan mer teoretiskt och endast fokuserar på begreppet gemensam kontroll är jag böjd att hålla med om att det mot bakgrund av sådana aktuella uttalanden av domstolen, måste fastställas att Fashion ID ska betraktas som registeransvarig och är gemensamt ansvarig för uppgiftsbehandling tillsammans med Facebook Irland. ( 36 )

67.

För det första verkar det som om Fashion ID gjorde det möjligt för Facebook Irland att samla in personuppgifter angående besökarna på Fashion ID:s webbplats med hjälp av det omtvistade insticksprogrammet.

68.

För det andra är det riktigt att Fashion ID, till skillnad från den administratör det var fråga om i målet Wirtschaftsakademie Schleswig-Holstein, inte verkar bestämma konfigurationen av några uppgifter om besökarna på dess webbplats vilka återsänds till Fashion ID i anonymiserad eller annan form. Den eftersträvade ”förmånen” verkar vara gratis reklam för dess produkter som tydligen äger rum när webbplatsanvändaren beslutar att klicka på Facebooks ”Gilla”-knapp för att, med hjälp av sitt Facebook-konto, sprida sin åsikt om, exempelvis, en svart cocktailklänning. Följaktligen, och med förbehåll för den hänskjutande domstolens kontroll av de faktiska omständigheterna, gör insticksprogrammet att Fashion ID kan optimera reklamen för sina produkter genom att göra dem synliga på Facebook.

69.

Alternativt skulle Fashion ID, sett ur ett annat perspektiv, kunna sägas gemensamt bestämma konfigurationen av de insamlade uppgifterna enbart genom att integrera insticksprogrammet på sin webbplats. Det är insticksprogrammet i sig som bestämmer konfigurationen på de personuppgifter som ska samlas in. Följaktligen bestämmer Fashion ID, genom att frivilligt integrera detta verktyg på sin webbplats, denna konfiguration med avseende på besökarna på dess webbplats.

70.

För det tredje och i alla händelser kan en gemensam registeransvarig, mot bakgrund av domen i målet Jehovan todistajat, fortfarande betraktas som en sådan även utan att ha tillgång till ”resultatet av det gemensamma arbetet”. Det faktum att Fashion ID inte har tillgång till de uppgifter som skickas vidare till Facebook eller att Fashion ID i sin tur inte verkar motta några anpassade eller samlade statistiska uppgifter verkar inte vara avgörande.

71.

Skulle ett effektivt skydd förbättras genom att alla och envar tvingas ansvara för att säkerställa det?

72.

Detta är i ett nötskal den vidare etiska och praktiska fråga som förevarande mål ger upphov till och som juridiskt kommer till uttryck i räckvidden för definitionen av (gemensam) registeransvarig. I samband med en förståelig önskan att säkerställa ett effektivt skydd för personuppgifter har domstolen i sin aktuella praxis valt att tillämpa ett mycket extensivt tillvägagångssätt när det gäller att, på ett eller annat sätt, definiera begreppet (gemensam) registeransvarig. Än så länge har domstolen emellertid inte behövt hantera de praktiska konsekvenserna av en sådan extensiv definition med avseende på de exakta förpliktelser och det exakta ansvar som uppkommer för parterna i de efterföljande stegen, när dessa anses vara gemensamt registeransvariga. Eftersom förevarande mål innebär just en sådan möjlighet skulle jag föreslå att domstolen tar tillfället i akt att ytterligare precisera den definition som bör finnas av begreppet (gemensamma) registeransvariga.

73.

Om man betraktar de tillämpliga kriterierna för att identifiera en ”gemensam registeransvarig” kritiskt verkar det avgörande kriteriet, till följd av domarna i målen Wirtschaftsakademie Schleswig-Holstein och Jehovan todistajat, vara att personen i fråga ska ha ”gjort det möjligt” att samla in och översända personuppgifter, eventuellt tillsammans med ett visst inflytande som denna gemensamt registeransvariga har över konfigurationen (eller åtminstone när denna har erkänts implicit). ( 37 ) Om detta verkligen är fallet så är det svårt att se, trots en uttrycklig avsikt att utesluta detta i domen i målet Wirtschaftsakademie Schleswig-Holstein, ( 38 ) hur man skulle undvika att normala användare av en nät(baserad) applikation, vare sig detta är ett socialt nätverk, en annan samarbetsplattform eller något annat program, ( 39 ) också blir gemensamt registeransvariga. En användare registrerar normalt sett ett konto, ger administratören parametrar för hur kontot ska vara konfigurerat och anger vilken information han eller hon vill ha, och om vilka ämnen och från vem. Användaren bjuder också in vänner, kollegor och andra att dela information i form av (ofta relativt känsliga) personuppgifter genom applikationen, och tillhandahåller inte bara uppgifter om dessa personer utan bjuder också in dem att delta själva, vilket uppenbart bidrar till insamlingen och behandlingen av personuppgifter om dessa personer.

74.

Och vad gäller sedan i fråga om de andra parterna i ”personuppgiftskedjan”? Om man drar det till sin ytterlighet och det enda relevanta kriteriet för gemensam kontroll är att parten ska ha gjort det möjligt att behandla uppgifterna och således i praktiken har medverkat till behandlingen i något steg, skulle det inte i sådana fall innebära att internetleverantören, som gör det möjligt att behandla uppgifterna genom att ge tillgång till internet, eller till och med elbolaget, eventuellt också är gemensamt registeransvariga och har gemensamt ansvar för personuppgiftsbehandlingen?

75.

Rent intuitivt är svaret på denna fråga självklart ”nej”. Problemet är att avgränsningen av ansvaret hittills inte kan fastställas utifrån den vida definitionen av en registeransvarig. Risken med att göra denna definition alltför vid är att det skulle leda till att flera olika personer blir medansvariga för personuppgiftsbehandlingen.

76.

Till skillnad från de mål som beskrevs i föregående avsnitt har den hänskjutande domstolen i sina tolkningsfrågor i förevarande mål emellertid inte stannat vid frågan hur en ”registeransvarig” ska definieras. Frågorna tar upp och går vidare med närbesläktade frågor i rörande fördelningen av de verkliga förpliktelser som följer av direktiv 95/46. Dessa frågor visar i sig på de problem som är förknippade med en alltför omfattande definition av termen registeransvarig, särskilt när den kombineras med en avsaknad av en precis bestämmelse rörande exakt vilka särskilda skyldigheter och vilket exakt ansvar registeransvariga har enligt direktiv 95/46. De berörda parternas yttranden i förhållande till frågorna 5 och 6, som rör den exakta ansvarsfördelningen enligt direktivet, belyser detta väl.

77.

Genom fråga 5 har den hänskjutande domstolen i princip frågat vem som ska inhämta samtycke från den registrerade och för vilket syfte. De svar som har föreslagits på denna fråga varierar rejält.

78.

Verbraucherzentrale och LDI NRW anser att det är Fashion ID, som valt att integrera det aktuella insticksprogrammet, som är skyldig att inhämta informerat samtycke från den registrerade. Enligt Verbraucherzentrale är detta ännu viktigare i fråga om personer som inte är Facebook-användare och inte har godkänt Facebooks allmänna villkor. Fashion ID:s uppfattning är att samtycket ska lämnas till den tredje part som tillhandahåller det integrerade innehållet, nämligen Facebook Irland. Facebook Irland har anfört att samtycket inte måste lämnas till en viss särskild mottagare, eftersom det i direktiv 95/46 endast anges att samtycke måste vara frivilligt, särskilt och informerat.

79.

Österrike, Tyskland och Polen har gjort gällande att samtycket ska ha lämnats innan uppgiftsbehandlingen äger rum och, enligt Österrike, måste avse såväl insamlingen som det eventuella översändandet av uppgifter. Polen har betonat att samtycket måste lämnas till Fashion ID. Tyskland menar att det ska lämnas till Fashion ID eller den tredje part som tillhandahåller det integrerade innehållet (Facebook Irland), eftersom båda dessa parter är medansvariga för uppgiftsbehandlingen. Fashion ID måste bara motta samtycke för översändandet av uppgifterna till den tredje parten, eftersom den inte är registeransvarig för någon annan behandling och användning av de insamlade uppgifterna. Detta utesluter dock inte möjligheten att webbplatsoperatören kan motta samtycke angående den behandling som genomförs av den tredje parten, vilket kan regleras genom ett avtal mellan dessa parter. Italien har gjort gällande att samtycket ska ha lämnats till alla som deltar i behandlingen av personuppgifter, nämligen Fashion ID och Facebook Irland. Belgien och kommissionen har anmärkt att direktiv 95/46 inte anger vem samtycket ska lämnas till.

80.

En lika stor skillnad i åsikter finns beträffande vem som har informationsplikt enligt artikel 10 i direktiv 95/46 och exakt vad informationsplikten avser, vilket den hänskjutande domstolen har tagit upp i fråga 6.

81.

Enligt Verbraucherzentrale är webbplatsoperatören skyldig att lämna nödvändig information till den registrerade. Fashion ID har gjort gällande det motsatta och anfört att det är Facebook Irland som ska tillhandahålla informationen, eftersom Fashion ID inte har exakt kunskap om den. På liknande sätt har Facebook Irland gjort gällande att informationsplikten vilar på denne, eftersom skyldigheten riktar sig enbart mot den registeransvarige (eller dess företrädare). Facebook Irland har anmärkt att svaret på fråga 6 är nära kopplat till frågan huruvida webbplatsoperatören ska betraktas som registeransvarig. Av artikel 10 framgår att det är olämpligt att klassificera webbplatsoperatören som registeransvarig, eftersom webbplatsoperatören inte har möjlighet att tillhandahålla denna information. LDI NW anser att det är webbplatsoperatören som ska tillhandahålla informationen, men medger att det är svårt att avgöra vilken information som ska tillhandahållas, eftersom Fashion ID inte har något inflytande över Facebook Irlands uppgiftsbehandling. Då ändamålen med behandlingen är sammanflätade bör webbplatsoperatören vara medansvarig för den uppgiftsbehandling den har möjliggjort.

82.

Belgien, Italien och Polen har gjort gällande att informationsplikten också är tillämplig på webbplatsoperatörer som den i förevarande mål, eftersom den ska betraktas som registeransvarig. Belgien har lagt till att webbplatsoperatören också kan ha en skyldighet att kontrollera ändamålet med den efterföljande databehandlingen och vidta lämpliga åtgärder för att garantera skyddet för fysiska personer. Den tyska regeringen har gjort gällande att informationsplikten gäller webbplatsoperatörer i den utsträckning de ansvarar för uppgiftsbehandlingen, nämligen med avseende på översändandet av uppgifter till den externa leverantören av det integrerade innehållet, men inte med avseende på alla efterföljande steg i uppgiftsbehandlingen, vilka den externa leverantören ansvarar för. Österrike och kommissionen är av uppfattningen att såväl webbplatsoperatören som den externa leverantören omfattas av informationsplikten i artikel 10 i direktiv 95/46.

83.

Förutom de spörsmål som tagits upp i frågorna 5 och 6 kan det tilläggas att liknande begreppsmässiga svårigheter också sannolikt skulle uppkomma i samband med andra skyldigheter som definieras i direktiv 95/46, såsom rätten till insyn i artikel 12 däri. Det är riktigt att domstolen, i domen i målet Wirtschaftsakademie Schleswig-Holstein angav att det inte ”krävs enligt direktiv 95/46 …, när flera aktörer har ett gemensamt ansvar för samma behandling, att var och en av dessa har tillgång till de berörda personuppgifterna”. ( 40 ) Det är dock logiskt att en registeransvarig som inte själv har tillgång till de uppgifter för vilka den ändå anses utgöra en (gemensam) registeransvarig, inte kan ge den registrerade sådan insyn (för att inte nämna andra åtgärder som rättning eller utplåning).

84.

Den begreppsmässiga oklarheten ”uppströms” (vem som är registeransvarig och med avseende exakt på vad) som i vissa fall kan medföra en oklarhet ”nedströms” (vem som omfattas av vilken skyldighet) kan följaktligen innebära att det för en eventuell gemensam registeransvarig blir helt omöjligt att uppfylla giltig lagstiftning.

85.

Det är riktigt att det kan hävdas att man bör ingå avtal rörande den exakta ansvarsfördelningen mellan de (eventuellt ganska många gemensamma) registeransvariga. Detta skulle inte bara reglera ansvarsfördelningen, utan också identifiera vilken part som förväntas uppfylla var och en av de skyldigheter som direktivet föreskriver, inbegripet de som fysiskt sett endast kan utövas av en enda part.

86.

Jag finner ett sådant resonemang mycket problematiskt. För det första är det helt orealistiskt, med tanke på den stora mängd formella standardavtal som skulle behöva ingås av alla slags parter, inbegripet, med största sannolikhet, många normala användare. ( 41 ) För det andra skulle tillämpningen av giltig lagstiftning och den ansvarsfördelning som föreskrivs i lagstiftningen göras beroende av privata avtal som de tredje parter som söker göra sina rättigheter gällande kanske inte har tillgång till.

87.

För det tredje verkar dataskyddsförordningen, som kanske till viss del föregriper några av dessa problem, införa ett nytt system med gemensamt ansvar i artikel 26 i denna förordning. Det är riktigt att dataskyddsförordningen inte var tillämplig i tiden (ratione temporis) i de mål som har diskuterats i detta avsnitt, eller i förevarande mål. Om denna nya lagstiftning inte innehåller ett särskilt eller systematiskt undantag i fråga om de relevanta definitionerna, vilket inte verkar vara fallet, eftersom artikel 4 i dataskyddsförordningen i princip har behållit de centrala begrepp som fanns artikel 2 i direktiv 95/46 (samtidigt som några nya har lagts till), skulle det emellertid vara ganska förvånande om tolkningen av dessa centrala begrepp, inbegripet begreppen registeransvarig, behandling eller personuppgifter, skulle skilja sig avsevärt från befintlig rättspraxis (utan mycket goda skäl).

88.

Om detta var fallet så skulle något som framstår som ett system med gemensamt ansvar för gemensamt registeransvariga, vilket har införts genom artikel 26.3 i dataskyddsförordningen, kunna bli ett stort problem. Å ena sidan innebär artikel 26.1 i dataskyddsförordningen att gemensamt registeransvariga kan ”fastställa sitt respektive ansvar för att fullgöra skyldigheterna”. Å andra sidan framgår det av artikel 26.3 i dataskyddsförordningen att ”den registrerade [får] utöva sina rättigheter” avseende och mot var och en av de registeransvariga, oavsett om det finns ett sådant arrangemang. Var och en av de gemensamt registeransvariga kan alltså anses ansvariga för uppgiftsbehandlingen i fråga.

89.

För länge sedan (de som gillar science fiction kanske skulle vilja tillägga ”i en galax långt, långt borta”) var det coolt att medverka i ett socialt nätverk. Sedan blev det undan för undan coolt att inte medverka i ett sådant nätverk. Nu för tiden verkar det vara ett brott att medverka på ett socialt nätverk (för vilket olika nya former av ansvar för annans handlande måste införas).

90.

Det går inte att förneka att domstolarnas beslutsfattande äger rum i en social miljö som är i utveckling. Domstolarna måste naturligtvis beakta detta vid sitt beslutsfattande, men får inte låta sig kontrolleras av det. Ett socialt nätverk är, precis som vilken annan applikation eller vilket annat program som helst, ett verktyg. På samma sätt som en kniv eller bil kan det användas på olika sätt. Det är också klart att om detta verktyg används i fel syften, så måste denna användning beivras. Emellertid är den bästa lösningen kanske inte att bestraffa alla som någonsin har använt en kniv. I normala fall är det den eller de personer som kontrollerade kniven när den orsakade skada som åtalas.

91.

Det bör därför finnas, kanske inte alltid exakt överensstämmelse, men åtminstone ett skäligt samband mellan makt, kontroll och ansvar. I modern lagstiftning finns exempel på olika former av objektivt ansvar, som utlöses enbart till följd av att vissa omständigheter uppkommer. Denna typ av ansvar brukar dock oftast vara motiverade undantag. Om ansvar tillskrevs någon som inte hade kontroll över uppkomsten av vissa omständigheter, utan att det gavs en motiverad förklaring, så skulle detta ansvar i allmänhet uppfattas som oskäligt eller orättvist. ( 42 )

92.

Vidare skulle en skeptisk person från de östra delarna av Europeiska unionen, mot bakgrund av sina historiska erfarenheter, kanske göra gällande, som svar på den fråga som ställdes i inledningen till detta avsnitt (punkt 71), att ett effektivt skydd för något har en tendens att minska betydligt om alla görs ansvariga för det. Att göra alla ansvariga innebär i praktiken att ingen är ansvarig. Eller snarare att den som borde ha hållits ansvarig för ett visst händelseförlopp, nämligen den som utövar den faktiska kontrollen, sannolikt skulle gömma sig bakom alla dessa andra, som endast är medansvariga i namn, varvid det effektiva skyddet sannolikt skulle undergrävas rejält.

93.

Slutligen bör ingen bra (tolkning av) lagstiftning leda till ett resultat som innebär att de förpliktelser som föreskrivs i lagstiftningen faktiskt inte kan uppfyllas av de som lagen riktar sig till. Detta innebär därför att det är nödvändigt – för att den välformulerade definitionen av (gemensam) kontroll inte ska övergå i ett krav, stött av domstolarna, på att alla aktörer att koppla ned sig och slutar att använda sociala nätverk, insticksprogram och annat externt innehåll – att ta hänsyn till hur verkligheten ser ut när förpliktelserna och ansvaret definieras, varvid även i detta fall frågor om kunskap och verklig förhandlingsmakt samt möjlighet att påverka någon av de tillskrivna aktiviteterna måste beaktas. ( 43 )

94.

Även om domstolen var relativt robust i sin definition av gemensam kontroll i målet Wirtschaftsakademie Schleswig-Holstein, antydde den också att det fanns ett behov att begränsa ansvaret för en (gemensam) registeransvarig. Närmare bestämt angav domstolen ”att den omständigheten att det finns ett gemensamt ansvar inte nödvändigtvis behöver innebära att de olika aktörer som medverkar vid behandlingen av personuppgifter har likvärdigt ansvar. … dessa aktörer [kan] vara involverade i olika skeden av behandlingen och i olika utsträckning, så att ansvaret för var och en av dem ska bedömas med beaktande av alla relevanta omständigheter i fråga”. ( 44 )

95.

Medan det i målet Wirtschaftsakademie Schleswig-Holstein inte fanns något behov att bedöma denna särskilda fråga, krävs en sådan bedömning i förevarande mål, där den hänskjutande domstolen direkt har bett EU-domstolen fastställa vilka eventuella förpliktelser Fashion ID har till följd av sin ställning som registeransvarig.

96.

Mot bakgrund av det nya systemet med gemensamt skadeståndsansvar som införts genom artikel 26 i dataskyddsförordningen kan det vara svårt att se hur ett gemensamt ansvar skulle kunna innebära, med avseende på samma resultat i fråga om potentiellt (o-)laglig behandling av personuppgifter, ett ansvar som inte är likvärdigt. Detta gäller särskilt mot bakgrund av artikel 26.3 i dataskyddsförordningen som verkar inriktad på ett gemensamt (solidariskt) ansvar. ( 45 )

97.

Enligt min uppfattning är dock den andra delen av domstolens uttalande den viktigaste, nämligen att ”aktörer [kan] vara involverade i olika skeden av behandlingen och i olika utsträckning”. Min uppfattning i detta avseende stöds av definitionerna i direktiv 95/46, särskilt definitionen av i) begreppet behandling i artikel 2 b och ii) begreppet registeransvarig i artikel 2 d i direktiv 95/46.

98.

För det första avses med begreppet behandling av personuppgifter ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”.

99.

Även om begreppet behandling, i likhet med begreppet registeransvarig, är relativt brett, ( 46 ) är det uppenbart att det riktar sig mot ett steg i behandlingen, nämligen en åtgärd eller serie av åtgärder, och det följs upp av en exemplifierande lista på vad dessa åtgärder kan vara. Det är därför logiskt att frågan om kontroll bedöms utifrån den särskilda åtgärden i fråga, och inte utifrån en diffus blandning som utgörs av allt som kan kallas behandling. ( 47 )

100.

För det andra definieras inte uttrycket gemensam kontroll specifikt i direktiv 95/46. Det är dock logiskt att begreppet bygger på begreppet registeransvarig i artikel 2 d. Gemensam kontroll verkar föreligga när två eller fler personer tillsammans bestämmer medlen och ändamålen för behandlingen av personuppgifter. ( 48 ) För att två (eller flera) personer ska anses vara gemensamt registeransvariga måste de med andra ord ha samma ändamål och medel för behandlingen av personuppgifter.

101.

Det är kombinationen av dessa två definitioner som enligt min uppfattning bör avgränsa skyldigheterna och det eventuella ansvaret för gemensamt registeransvariga. Såvitt avser en viss behandlingsåtgärd ansvarar en (gemensam) registeransvarig för en åtgärd eller serie av åtgärder som den delar eller gemensamt fastställer ändamålen och medlen för. Däremot kan denna person inte hållas ansvarig för de tidigare eller senare stadierna i den övergripande behandlingskedjan, som den inte hade möjlighet att fastställa vare sig ändamålen eller medlen för.

102.

I förevarande mål motsvarar det relevanta stadiet (de relevanta åtgärderna) för behandlingen insamlingen och översändandet av personuppgifter som sker genom Facebooks ”Gilla”-knapp.

103.

För det första, såvitt avser medlen för dessa uppgiftsbehandlingar, verkar det vara klarlagt, såsom har angetts av Verbraucherzentrale, LDI NRW och den tyska regeringen, att Fashion ID beslutar om användningen av det ifrågasatta insticksprogrammet, som är ett verktyg för insamling och översändande av personuppgifter. Insamlingen och översändandet äger rum när någon besöker Fashion ID:s webbplats. Det var Facebook Irland som tillhandahöll Fashion ID insticksprogrammet. Såväl Facebook Irland som Fashion ID verkar alltså frivilligt ha orsakat det stadium i uppgiftsbehandlingen som utgörs av insamling och översändande av uppgifter. Det kvarstår dock för den nationella domstolen att genomföra den faktiska kontrollen av detta.

104.

För det andra, om man betraktar ändamålen för uppgiftsbehandlingen, så anges inte i beslutet om hänskjutande skälen till varför Fashion ID beslutade att integrera Facebooks ”Gilla”-knapp på sin webbplats. Man kan dock gissa, med förbehåll för den hänskjutande domstolens kontroll av de faktiska omständigheterna, att beslutet inspirerades av en önskan att öka synligheten för Fashion ID:s produkter genom det sociala nätverket. Samtidigt verkar de uppgifter som översänds till Facebook Irland användas för sistnämnda bolags egna kommersiella ändamål.

105.

Även om den särskilda kommersiella användningen av uppgifterna generellt inte är densamma, verkar såväl Fashion ID som Facebook Irland eftersträva övergripande kommersiella ändamål på ett sätt som framstår som ömsesidigt kompletterande. På detta sätt råder samstämmighet i ändamålet, om än inte identitet, eftersom det finns ett kommersiellt och reklammässigt ändamål.

106.

Mot bakgrund av de faktiska omständigheterna i förevarande mål verkar det således vara så att Fashion ID och Facebook Irland gemensamt beslutar om medlen och ändamålen för uppgiftsbehandlingen vid stadiet för insamling och översändande av de ifrågavarande personuppgifterna. I denna utsträckning agerar Fashion ID som registeransvarig och dess ansvar är, i samma utsträckning, gemensamt med Facebook Irlands ansvar.

107.

Samtidigt anser jag att detta ansvar måste vara begränsat till det steg i uppgiftsbehandlingen som Fashion ID medverkar i och inte kan spilla över på andra eventuellt efterkommande stadier i uppgiftsbehandlingen, om denna behandling sker utanför Fashion ID:s kontroll och, som det verkar, vetskap.

108.

Mot bakgrund av ovanstående är min andra preliminära slutsats därför att en person som Fashion ID, som har integrerat ett insticksprogram från en tredje part på sin webbplats, som gör att användarens personuppgifter samlas in och översänds (och denna tredje part har tillhandahållit insticksprogrammet), ska anses vara en registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46. Denna registeransvariges (gemensamma) ansvar är dock begränsat till åtgärder där denne effektivt gemensamt beslutar om medlen och ändamålen för behandlingen av personuppgifter.

109.

Det bör tilläggas att denna slutsats också besvarar fråga 3. Den hänskjutande domstolen har ställt fråga 3 i princip för att få klarhet i huruvida direktiv 95/46 utgör hinder för att tillämpa det nationella rättsinstitutet ”Störer” (någon som blandar sig i) på Fashion ID om det skulle fastställas att Fashion ID inte kan betraktas som registeransvarig. Enligt beslutet om hänskjutande krävs enligt rättsinstitutet ”Störer” att den person som inte har gjort intrång i en rättighet, men som har skapat en risk eller ökat risken för att en tredje part ska göra sig skyldig till ett sådant intrång, ska vidta alla rimliga åtgärder som står i dess makt för att förhindra intrånget. Om Fashion ID inte kan anses vara en registeransvarig har den hänskjutande domstolen gjort gällande att rekvisiten för att tillämpa rättsinstitutet ”Störer” är uppfyllda, eftersom Fashion ID, genom att integrera insticksprogrammet för Facebooks ”Gilla”-knapp, åtminstone har skapat en risk för att Facebook gör intrång.

110.

Mot bakgrund av det svar jag har föreslagit på fråga 2 från den hänskjutande domstolen finns ingen anledning att besvara fråga 3. När det väl har fastställts att en viss person ska betraktas som registeransvarig inom ramen för direktiv 95/46, måste dess skyldigheter som registeransvarig bedömas mot bakgrund av de skyldigheter som anges i detta direktiv. En annan slutsats skulle leda till att registeransvariga har olika ansvar för en viss överträdelse beroende på vilken medlemsstat det gäller. I denna bemärkelse, och med avseende på definitionen av registeransvarig, uppnår direktiv 95/46 verkligen fullständig harmonisering när det gäller de parter som de definierade förpliktelserna riktar sig mot. ( 49 )

111.

Fråga 4 i detta förslag till avgörande rör frågan när uppgiftsbehandling kan tillåtas utan samtycke från den registrerade, i den mening som avses i artikel 7 a i direktiv 95/46.

112.

I detta avseende har den hänskjutande domstolen hänvisat till artikel 7 f i direktiv 95/46, som anger att personuppgifter får behandlas om ”behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter …”. Mer specifikt söker den hänskjutande domstolen klarhet i vems berättigade intressen det är som ska beaktas inom ramen för förevarande mål – är det intressena hos Fashion ID som har integrerat innehållet från tredje man eller är det intressena hos den tredje parten (nämligen Facebook Irland)? ( 50 )

113.

En preliminär fråga som bör uppmärksammas är att fråga 4, enligt kommissionen, saknar betydelse, eftersom det in casu ändå krävs samtycke från användaren, till följd av en tillämpning av direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (nedan kallat e‑integritetsdirektivet). ( 51 )

114.

Jag delar kommissionens uppfattning att e-integritetsdirektivet (som enligt artikel 1.2 preciserar och kompletterar direktiv 95/46 med avseende på sektorn för elektronisk kommunikation) ( 52 ) verkar vara tillämpligt i förevarande situation, i den utsträckning kakor placeras på användarens enhet. ( 53 ) I artikel 2 f och skäl 17 i e-integritetsdirektivet definieras vidare samtycket med hänvisning till begreppet samtycke i direktiv 95/46/EC.

115.

Frågan huruvida kakor hade placerats i förevarande fall var mycket omdebatterad vid förhandlingen. Det ankommer på den nationella domstolen att klargöra de faktiska omständigheterna avseende denna fråga. Emellertid och i alla händelser anser den hänskjutande domstolen, såsom beskrivits i beslutet om hänskjutande, att de uppgifter som översänds utgör personuppgifter. ( 54 ) Frågan om kakor verkar därför inte ge svar på alla de frågor som i förevarande mål uppkommer med avseende på uppgiftsbehandling. ( 55 )

116.

Min uppfattning är därför att fråga 4 måste övervägas ytterligare.

117.

Verbraucherzentrale har gjort gällande att det är Fashion ID:s berättigade intresse som ska beaktas. Verbraucherzentrale har lagt till att varken Fashion ID eller Facebook Irland kan påstå att de har ett berättigat intresse i förevarande mål.

118.

Fashion ID och Facebook Irland har i huvudsak gjort gällande att de berättigade intressen som ska beaktas är intresset hos den som integrerar innehållet från tredje part samt intressent hos den tredje parten, samtidigt som man ska ta hänsyn till intresset hos de personer som besöker webbplatsen, vars grundläggande rättigheter kan ha påverkats.

119.

LDI NRW, Polen, Tyskland och Italien har gjort gällande att såväl Fashion ID:s som Facebook Irlands berättigade intressen ska beaktas, eftersom båda dessa parter har gjort den aktuella behandlingen möjlig. Österrike har en liknande uppfattning. På liknande sätt, och med hänvisning till domstolens dom i målet Google Spain har Belgien betonat att de berättigade intressen som ska beaktas är de som tillkommer den registeransvarige samt de tredje parter som de relevanta personuppgifterna har översänts till.

120.

Det ska redan inledningsvis erinras om att all behandling av personuppgifter i princip ska uppfylla flera olika villkor, inbegripet, något av de kriterier som gör att uppgiftsbehandlingen kan tillåtas enligt artikel 7 i direktiv 95/46. ( 56 )

121.

Särskilt i fråga om artikel 7 f har domstolen erinrat om att det i denna bestämmelse ”föreskrivs tre kumulativa villkor för att en behandling av personuppgifter ska vara tillåten, nämligen för det första förekomsten av ett berättigat intresse hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna lämnas ut, för det andra att behandlingen av personuppgifter är nödvändig för det berättigade intresse som eftersträvas och för det tredje att den berörda personens grundläggande fri- och rättigheter inte ska ges företräde”. ( 57 )

122.

Direktiv 95/46 definierar inte och räknar inte heller upp vad som utgör ”berättigade intressen”. Begreppet verkar vara relativt elastiskt och öppet. ( 58 ) Det finns inget intresse som utesluts som sådant, självklart förutsatt att det i sig är lagligt. Såsom i huvudsak diskuterades vid förhandlingen och har nämnts ovan, ( 59 ) verkar vad som har ifrågasatts i förevarande mål vara insamlingen och översändandet av personuppgifter för reklamoptimering, även om Fashion ID:s och Facebook Irlands precisa slutliga kommersiella mål inte är exakt identiska.

123.

Med dessa överväganden i åtanke är jag benägen att hålla med om att marknadsföring eller reklam, i sig, kan utgöra ett sådant berättigat intresse. ( 60 ) Det är ganska svårt att sträcka sig längre än till det uttalandet inom ramen för förevarande mål, eftersom det inte finns några mer specifika upplysningar rörande den exakta användningen av de uppgifter som samlades in och översändes, annat än i den utsträckning som anges i dessa allmänna uttalanden.

124.

Med detta sagt har den hänskjutande domstolen inte tagit upp, eller sökt klarhet beträffande, bedömningen av de berättigade intressen som gjorts gällande i det nationella målet. Genom fråga 4 söker den hänskjutande domstolen endast klarhet i vems berättigade intressen som ska beaktas för att kunna genomföra intresseavvägningen i artikel 7 f i direktiv 95/46.

125.

Mot bakgrund av det svar jag har föreslagit på fråga 2 ovan, anser jag att såväl Fashion ID:s som Facebook Irlands berättigade intressen ska beaktas, eftersom bägge är gemensamt registeransvariga för respektive behandling av personuppgifterna.

126.

Då deras ställning som gemensamt registeransvariga också antyder att de har samma ändamål med personuppgiftsbehandlingen måste det fastställas att det finns ett berättigat intresse hos båda dessa parter, åtminstone på den allmänna nivå som förklarades ovan. Detta intresse måste sedan vägas mot den registrerades rättigheter såsom anges i slutet av artikel 7 f i direktiv 95/46, ( 61 ) varvid avvägningen ”i princip är beroende av de konkreta omständigheterna i det enskilda fallet”. ( 62 ) Det ska erinras om att behandlingen under dessa förhållanden också ska vara nödvändig. ( 63 )

127.

Mot bakgrund av ovanstående är min tredje preliminära slutsats att båda de gemensamt registeransvarigas intressen ska beaktas och vägas mot den registrerades rättigheter vid bedömningen av om det är tillåtet att behandla personuppgifter enligt artikel 7 f i direktiv 95/46.

128.

Den hänskjutande domstolen har ställt fråga 5 för att få klarhet i vem som ska lämna det samtycke som krävs enligt artiklarna 7 a och 2 h i direktiv 95/46 i en situation som den aktuella.

129.

Genom fråga 6 har den hänskjutande domstolen frågat huruvida informationsplikten i artikel 10 i direktiv 95/46, i förevarande situation, ska tillämpas på en webbplatsoperatör (såsom Fashion ID), som har integrerat innehåll från en tredje part och därmed har orsakat den tredje partens behandling av personuppgifter.

130.

Såsom framgår ovan ( 64 ) finns det flera olika förslag på hur dessa frågor ska besvaras. När de exakta egenskaperna för förpliktelsen i fråga 2 väl har fastställts, såväl med avseende på vem den riktar sig mot och vad den består i, och denna fråga därmed har klarlagts ”uppströms”, så blir svaren på frågorna 5 och 6, som gäller vissa skyldigheter ”nedströms”, lättare att urskilja.

131.

För det första anser jag att både samtycket och informationen som lämnas måste avse alla aspekter av den eller de uppgiftsbehandlingar som de gemensamt registeransvariga är gemensamt ansvariga för, nämligen insamlandet och översändandet. På omvänt sätt sträcker sig dessa skyldigheter i fråga om samtycke och information inte till efterföljande steg i uppgiftsbehandlingen som Fashion ID inte medverkar i och för vilka Fashion ID rent logiskt inte fastställer vare sig medlen eller ändamålen.

132.

För det andra skulle man kunna göra gällande att samtycket, under sådana förhållanden, kan lämnas till vilken som helst av de gemensamt registeransvariga. Vad gäller den aktuella situationen måste samtycket emellertid lämnas till Fashion ID, eftersom det är när webbplatsen faktiskt besöks som behandlingen äger rum. Det skulle uppenbart inte vara förenligt med ett effektivt och omedelbart skydd för registrerades rättigheter om samtycket endast skulle lämnas till den gemensamt registeransvarige som är inblandad senare (om den över huvud taget är inblandad), när uppgifterna redan har samlats in och översänts.

133.

När det gäller Fashion ID:s informationsplikt enligt artikel 10 i direktiv 95/46 är svaret liknande. Artikel 10 innehåller en lista på information som den registeransvarige (eller dess företrädare) ska lämna till den registrerade. Listan innehåller följande moment: Den registeransvariges (eller dennes företrädares) identitet, ändamålen med den behandling för vilken uppgifterna är avsedda och all ytterligare information i den utsträckning denna är ”nödvändig för att tillförsäkra den registrerade en korrekt behandling”. I artikel 10 ges exempel på vad denna ytterligare information kan omfatta, inbegripet, under de omständigheter som kan vara relevanta i förevarande mål, information om mottagarna av uppgifterna eller om förekomsten av rättigheter att få tillgång till eller erhålla rättelse av uppgifter rörande den registrerade.

134.

Med hänsyn till denna lista verkar Fashion ID helt klart ha en ställning som gör att denne kan tillhandahålla information om de gemensamt registeransvarigas identitet, om ändamålet med de respektive stegen av behandlingen (den eller de behandlingar den är medansvarig för) och även om omständigheten att uppgifterna kommer att översändas.

135.

Vad däremot avser rätten att få tillgång till och rättelse av uppgifter är det min förståelse att Fashion ID inte självt har sådan tillgång till de uppgifter som översänds till Facebook Irland, eftersom Fashion ID inte på något sätt är inblandat i lagringen av uppgifter. Det skulle således kunna göras gällande att det skulle vara nödvändigt att behandla den frågan i ett avtal med Facebook Irland.

136.

Även ett sådant påstående skulle dock, förutom i det avseende som har angetts ovan, ( 65 ) försöka utvidga en (gemensamt) registeransvarigs skyldigheter och ansvar till behandlingar som denne inte ansvarar för. Om gemensam kontroll innebär ansvar för de behandlingar där det finns samstämmighet mellan ändamål och medel mellan de registeransvariga, så är det logiskt att de övriga förpliktelser som uppkommer enligt direktivet, som samtycke, information, tillgång till uppgifter eller rättelse, bör motsvara omfattningen av denna ursprungliga skyldighet. ( 66 )

137.

Kommissionen påpekade också vid förhandlingen att besökare på webbplatsen som redan har Facebook-konton tidigare kan ha lämnat samtycke till sådant översändande av uppgifter. Detta skulle kunna leda till ett differentierat ansvar för Fashion ID, varvid kommissionen har föreslagit att Fashion ID:s informationsplikt och skyldighet att inhämta samtycke då endast skulle gälla besökare på Fashion ID:s webbplats som inte använder Facebook.

138.

Jag delar inte denna uppfattning. Jag finner det svårt att godta tanken att Facebook-användare skulle behandlas på ett annat (mindre skyddat) sätt i den situation som är för handen i förevarande mål, till följd av att de redan har godkänt en möjlighet att deras personuppgifter (av alla slag) behandlas av Facebook. Faktum är att ett sådant argument antyder att man, när man öppnar ett Facebook-konto, på förhand godkänner alla former av uppgiftsbehandling som en tredje part, oavsett dess anknytning till Facebook, kan komma att genomföra avseende sådana ”Facebook-användares” nätaktiviteter. Detta är fallet även i en situation där det inte finns några synliga tecken på att sådan uppgiftsbehandling äger rum (vilket verkar vara fallet när man bara besöker Fashion ID:s webbplats). Med andra ord, om man godtar kommissionens argument skulle detta i praktiken innebära att en användare, genom att öppna ett Facebook-konto, avsäger sig allt skydd för sina personuppgifter på nätet vad gäller Facebook.

139.

Jag anser därför att Fashion ID:s ansvar och därmed sammanhängande förpliktelser avseende samtycke och information ska vara desamma i förhållande till de registrerade oavsett om de har ett Facebook-konto eller inte.

140.

Vidare är det också klart att samtycket måste inhämtas och informationen lämnas innan uppgifterna samlas in och översänds. ( 67 )

141.

Mot bakgrund av det ovanstående är min slutliga preliminära slutsats som svar på frågorna 5 och 6 således att det samtycke som inhämtas från den registrerade enligt artikel 7 a i direktiv 95/46, i en situation som den aktuella, ska lämnas till en webbplatsoperatör, såsom Fashion ID, som har integrerat innehåll från en tredje part. Artikel 10 i direktiv 95/46 ska tolkas så, att den innebär att den däri föreskrivna informationsplikten är tillämplig på en sådan webbplatsoperatör. Den registrerades samtycke enligt artikel 7 a i direktiv 95/46 ska lämnas, och information i den mening som avses i artikel 10 i samma direktiv tillhandahållas, innan uppgifterna samlas in och översänds. Omfattningen av dessa skyldigheter ska dock motsvara webbplatsoperatörens gemensamma ansvar för att samla in och översända personuppgifterna.

142.

Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar de tolkningsfrågor som Oberlandesgericht Düsseldorf (Regionala överdomstolen i Düsseldorf, Tyskland) har ställt på följande sätt: