Sagsøger i hovedsagen:
Facebook Inc.
Facebook Ireland Ltd.
Facebook Deutschland GmbH
Sagsøgte i hovedsagen:
Bundeskartellamt
De præjudicielle spørgsmål:
1.
a) Er artikel 51 ff. i forordning nr. 2016/679 til hinder for, at en national kartelmyndighed i en medlemsstat, såsom Bundeskartellamt, der ikke er tilsynsmyndighed som omhandlet artikel 51 ff. i forordning nr. 2016/679, og i hvilken medlemsstat en virksomhed med hjemsted uden for Den Europæiske Union har en etablering, der inden for markedsføring, kommunikation og PR bistår denne virksomheds hovedvirksomhed, som er beliggende i en anden medlemsstat og som har eneansvaret for behandlingen af personoplysninger på hele Den Europæiske Unions område, for det kartelretlige misbrugstilsyn fastslår, at hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger og gennemførelsen heraf udgør en tilsidesættelse af forordning nr. 2016/679, og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør?
b) Såfremt dette spørgsmål besvares bekræftende: Er artikel 4, stk. 3, TEU til hinder herfor, når den ledende tilsynsmyndighed i den medlemsstat, hvor hovedvirksomheden er beliggende, som [org. s. 3] omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?
Såfremt det første spørgsmål besvares bekræftende:
2.
a) Udgør det forhold, at en internetbruger enten kun besøger eller også indtaster informationer, f.eks. ved registrering eller bestillinger, på websteder eller apps, der vedrører kriterierne i artikel 9, stk. 1, i forordning nr. 2016/679, såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder, og en anden virksomhed såsom Facebook Ireland gennem grænseflader på disse websteder eller i disse apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr indsamler oplysninger om brugerens besøg på disse websteder og apps og om de informationer, som brugeren har indtastet, sammenstiller disse oplysninger med oplysningerne om brugerens Facebook.com-konto og anvender dem, behandling af følsomme oplysninger i forordningens forstand for så vidt angår indsamlingen og/eller sammenstillingen og/eller anvendelsen?
b) Såfremt dette spørgsmål besvares bekræftende: Indebærer besøg på disse websteder og apps og/eller indtastning af informationer og/eller tryk på knapper på disse websteder eller apps (»sociale plugins« såsom »synes godt om«, »del« eller »Facebook login« eller »account kit«) fra en udbyder som Facebook Ireland, at brugeren i kraft af selve besøget og/eller indtastningen tydeligvis har offentliggjort oplysningerne som omhandlet i artikel 9, stk. 2, litra e), i forordning nr. 2016/679?
3.
Kan en virksomhed som Facebook Ireland, der driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter, påberåbe sig den begrundelse, at behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt som omhandlet i artikel 6, stk. 1, litra b), i forordning nr. 2016/679, eller er nødvendig for at forfølge en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når den med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og [org. s. 4] fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.com-konto og anvender dem?
4.
Kan også
– det forhold, at brugerne er mindreårige, af hensyn til persontilpasningen af indhold og markedsføring, produktforbedring, netværkssikkerhed og ikkemarkedsføringsmæssig kommunikation med brugeren,
– levering af målinger, analyser og øvrige virksomhedsservices til markedsføringskunder, udviklere og øvrige partnere, således at disse kan evaluere og forbedre deres ydelser,
– levering af marketingkommunikation med brugeren, således at virksomheden kan forbedre sine produkter og gennemføre direct marketing,
– forskning og innovation til gavn for samfundet med henblik på at fremme niveauet for teknologiske fremskridt eller den videnskabelige forståelse vedrørende vigtige sociale emner og at øve positiv indflydelse på samfundet og verden,
– det forhold, at der gives oplysninger til retshåndhævende myndigheder og besvares juridiske anmodninger med henblik på at forhindre, opklare og retsforfølge strafbare handlinger, ulovlig brug, tilsidesættelser af tjenestevilkårene og politikkerne og andre former for skadelig adfærd, i en sådan
situation udgøre en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når virksomheden med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.comkonto og anvender dem?
5.
Kan indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstilling med brugerens Facebook.com-konto og anvendelse heraf eller anvendelse af oplysninger, der allerede [org. s. 5] i anden sammenhæng er blevet indsamlet og sammenstillet lovligt, i en sådan situation i specifikke tilfælde også være begrundet i henhold til artikel 6, stk. 1, litra c), d) og e), i forordning nr. 2016/679 med henblik på f.eks. at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger [litra c)], at bekæmpe skadelig adfærd og fremme sikkerheden [litra d)] eller af hensyn til forskning til gavn for samfundet og til fremme af beskyttelse, integritet og sikkerhed [litra e)]?
6.
Kan der gives et gyldigt og navnlig i henhold til artikel 4, nr. 11), i forordning nr. 2016/679 frivilligt samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning nr. 2016/679 over for en markedsdominerende virksomhed som Facebook Ireland?
Såfremt det første spørgsmål besvares benægtende:
7.
a) Kan en national kartelmyndighed i en medlemsstat såsom Bundeskartellamt, som ikke er tilsynsmyndighed som omhandlet i artikel 51 ff. i forordning nr. 2016/679, og som vurderer, om en markedsdominerende virksomhed har tilsidesat det kartelretlige forbud mod misbrug, idet denne tilsidesættelse ikke består i, at virksomhedens betingelser for behandling af oplysninger og gennemførelsen heraf tilsidesætter forordning nr. 2016/679, f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt denne virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning nr. 2016/679
b) Såfremt dette spørgsmål besvares bekræftende: Gælder dette henset til artikel 4, stk. 3, TEU også, når den ledende tilsynsmyndighed som omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?
Såfremt det syvende spørgsmål besvares bekræftende, er det nødvendigt at besvare det tredje til femte spørgsmål med hensyn til oplysninger fra brugen af koncernens tjeneste Instagram.
Udtalelse fra EU´s generaladvokat:
Generaladvokaten har den 20. september 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:
- Artikel 51-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en konkurrencemyndighed, som led i sine beføjelser som omhandlet i konkurrencereglerne, ved en mellemafgørelse kan undersøge, om den undersøgte praksis er i overensstemmelse med reglerne i denne forordning, idet den skal tage hensyn til enhver afgørelse eller undersøgelse fra den i henhold til nævnte forordning kompetente tilsynsmyndighed og skal underrette den nationale tilsynsmyndighed og efter omstændighederne rådslå sig med denne.
- Artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at forbud mod behandling af følsomme personoplysninger kan omfatte en behandling af oplysninger, der foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger fra en bruger, når denne besøger andre websteder eller apps eller indtaster disse oplysninger på disse websteder eller apps, sammenstilling af nævnte oplysninger med brugerkontoen for det sociale netværk og anvendelse af oplysningerne, forudsat at de oplysninger, der behandles – individuelt betragtet eller sammenført – muliggør profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse.
Artikel 9, stk. 2, litra e, skal fortolkes således, at en bruger ikke tydeligvis har offentliggjort oplysningerne, når oplysningerne afgives ved besøg på websteder og apps eller indtastes eller følger af tryk på knapper på disse websteder eller apps.
- Artikel 6, stk. 1, litra b, c, d, e og f, i forordning 2016/679 skal fortolkes således, at en praksis, som består i for det første indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps eller gennem cookies indsat på brugerens computer eller mobile terminaludstyr, for det andet sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto og for det tredje anvendelse af de nævnte oplysninger eller visse af de aktiviteter, der udgør denne praksis, kan henhøre under de undtagelser, der er fastsat i disse bestemmelser, for så vidt hver enkelt behandlingsform, der undersøges, opfylder de betingelser, der fremgår af den begrundelse, som den dataansvarlige konkret har anført, og følgelig for så vidt:
- behandling er objektivt nødvendig for ydelsen af de tjenester, der er knyttet til Facebook-kontoen
- behandling er nødvendig for opfyldelse af en legitim interesse, som den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, har anført, og ikke påvirker den registreredes grundlæggende rettigheder og frihedsrettigheder uforholdsmæssigt
- behandling er nødvendig for at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger, for at bekæmpe skadelig adfærd og fremme sikkerheden eller af hensyn til forskning til gavn for samfundet samt for at fremme beskyttelse, integritet og sikkerhed.
- Artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a, i forordning 2016/679 skal fortolkes således, at alene den omstændighed, at en virksomhed, der driver et socialt netværk, er markedsdominerende marked for sociale onlinenetværk for private brugere, ikke i sig selv kan berøve det samtykke, som brugeren af dette netværk har givet til behandling af sine personoplysninger, sin gyldighed som omhandlet i denne forordnings artikel 4, nr. 11. En sådan omstændighed er ikke desto mindre af betydning ved vurderingen af, om samtykket er frivilligt som omhandlet i denne bestemmelse, hvilket det påhviler den dataansvarlige at bevise, idet der efter omstændighederne skal tages hensyn til for det første en eventuel klar skævhed i styrkeforholdet mellem den registrerede og den dataansvarlige , for det andet en eventuel forpligtigelse til at samtykke til behandling af personoplysninger ud over oplysninger, der er strengt nødvendige for ydelsen af de pågældende tjenester, for det tredje kravet om, at samtykket skal være specifikt for hvert formål med behandling, og for det fjerde kravet om, at tilbagetrækning af samtykket ikke må medføre skade for den bruger, der trækker sit samtykke tilbage.
Domsafsigelse:
EU-Domstolen har den 4. juli 2023 truffet afgørelse i sagen, hvoraf følgende fremgår:
1) Artikel 51 ff. i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) samt artikel 4, stk. 3, i traktaten om Den Europæiske Union
skal fortolkes således, at
med forbehold for overholdelse af pligten til loyalt samarbejde med tilsynsmyndighederne kan en medlemsstats konkurrencemyndighed som led i undersøgelsen af en virksomheds misbrug af dominerende stilling som omhandlet i artikel 102 TEUF fastslå, at denne virksomheds almindelige brugerbetingelser vedrørende behandlingen af personoplysninger og gennemførelsen heraf ikke er i overensstemmelse med databeskyttelsesforordningen, når denne konstatering er nødvendig for at påvise et sådant misbrug.
I lyset af denne pligt til loyalt samarbejde kan den nationale konkurrencemyndighed ikke fravige en afgørelse fra den kompetente nationale tilsynsmyndighed eller den ledende tilsynsmyndighed om disse almindelige betingelser eller tilsvarende almindelige betingelser. Når den nationale konkurrencemyndighed nærer tvivl om rækkevidden af en sådan afgørelse, når nævnte betingelser eller tilsvarende betingelser samtidig undersøges af disse myndigheder, eller når konkurrencemyndigheden, såfremt de sidstnævnte myndigheder ikke har foretaget en sådan undersøgelse, finder, at de pågældende betingelser er i strid med bestemmelserne i forordning 2016/679, skal denne konkurrencemyndighed høre disse myndigheder og anmode om deres samarbejde for at fjerne tvivlen eller for at afgøre, om der er grundlag for at afvente deres vedtagelse af en afgørelse, inden den foretager sin egen vurdering. Såfremt disse myndigheder ikke fremsætter indsigelse eller ikke svarer inden for en rimelig frist, kan den nationale konkurrencemyndighed fortsætte sin egen undersøgelse.
2) Artikel 9, stk. 1, i forordning 2016/679
skal fortolkes således, at
såfremt en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af de i denne bestemmelse omhandlede kategorier og eventuelt indtaster oplysninger heri ved at registrere sig eller foretage onlinebestillinger, skal den behandling af personoplysninger, som operatøren af dette sociale onlinenetværk foretager, og som består i indsamling af oplysninger fra besøg på disse websteder eller anvendelse af disse applikationer samt de af brugeren indtastede oplysninger gennem grænseflader, cookies eller lignende lagringsteknologier, sammenstilling af samtlige disse oplysninger med brugerens konto på det sociale netværk og operatørens anvendelse af nævnte oplysninger, anses for at udgøre »behandling af særlige kategorier af personoplysninger« som omhandlet i denne bestemmelse, hvilket principielt er forbudt med forbehold for undtagelserne i denne forordnings artikel 9, stk. 2, når denne behandling af oplysninger kan afsløre oplysninger, der er omfattet af en af disse kategorier, uanset om oplysningerne vedrører en bruger af dette netværk eller enhver anden fysisk person.
3) Artikel 9, stk. 2, litra e), i forordning 2016/679
skal fortolkes således, at
når en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af kategorierne i denne forordnings artikel 9, stk. 1, har vedkommende ikke tydeligvis offentliggjort de oplysninger om dette besøg, som operatøren af det sociale onlinenetværk har indsamlet gennem cookies eller lignende lagringsteknologier, som omhandlet i denne bestemmelse.
Når brugeren indtaster oplysninger på sådanne websteder eller applikationer eller trykker på valgknapper på disse websteder og applikationer, såsom knapperne »synes godt om«, »del«, eller på knapper, som giver brugeren mulighed for at identificere sig på disse websteder eller applikationer ved anvendelse af de loginoplysninger, der er tilknyttet brugerens konto på det sociale netværk, telefonnummer eller e-mailadresse, har en sådan bruger kun tydeligvis offentliggjort de således indtastede oplysninger eller oplysninger fra tryk på disse knapper som omhandlet i artikel 9, stk. 2, litra e), når denne bruger udtrykkeligt på forhånd har tilkendegivet sit valg, eventuelt på grundlag af en personlig tilpasning, der er foretaget med fuldt kendskab til sagen, om at gøre oplysningerne om den pågældende offentligt tilgængelige for et ubegrænset antal personer.
4) Artikel 6, stk. 1, første afsnit, litra b), i forordning 2016/679
skal fortolkes således, at
den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, kun kan anses for at være nødvendig for at opfylde den kontrakt, som de pågældende personer er parter i som omhandlet i denne bestemmelse, hvis denne behandling er objektivt uundværlig for at gennemføre et formål, som udgør en integrerende del af den kontraktlige ydelse til disse brugere, hvorfor kontraktens hovedformål ikke kan opnås uden denne behandling.
5) Artikel 6, stk. 1, første afsnit, litra f), i forordning 2016/679
skal fortolkes således, at
den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelsen af disse oplysninger, kun kan anses for nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse som omhandlet i denne bestemmelse, på betingelse af, at nævnte operatør har oplyst de brugere, hos hvem oplysningerne er blevet indsamlet, om den legitime interesse, som forfølges med behandlingen heraf, at behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt for at gennemføre denne legitime interesse, og at det fremgår af en afvejning af de modstridende interesser, henset til samtlige relevante omstændigheder, at brugernes interesser og grundlæggende rettigheder og frihedsrettigheder ikke går forud for den dataansvarliges eller tredjemands nævnte legitime interesse.
6) Artikel 6, stk. 1, første afsnit, litra c), i forordning 2016/679
skal fortolkes således, at
den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, er begrundet, når den faktisk er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige i henhold til EU-retten eller lovgivningen i den pågældende medlemsstat, når dette retsgrundlag opfylder et formål i samfundets interesse og står i rimeligt forhold til det legitime mål, der forfølges, og behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt.
7) Artikel 6, stk. 1, første afsnit, litra d) og e), i forordning 2016/679
skal fortolkes således, at
den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, i princippet og med forbehold for den efterprøvelse, som den forelæggende ret skal foretage, ikke kan anses for at være nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser som omhandlet i litra d) eller til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt som omhandlet i litra e).
8) Artikel 6, stk. 1, første afsnit, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679
skal fortolkes således, at
den omstændighed, at en operatør af et socialt onlinenetværk har en dominerende stilling på markedet for sociale onlinenetværk, ikke som sådan er til hinder for, at brugerne af et sådant netværk gyldigt kan give samtykke som omhandlet i denne forordnings artikel 4, nr. 11), til denne operatørs behandling af deres personoplysninger. Denne omstændighed er imidlertid et vigtigt element med henblik på at afgøre, om dette samtykke faktisk er afgivet gyldigt, og navnlig frivilligt, hvilket det påhviler nævnte operatør at påvise.
Link til sagen på EU-Domstolens hjemmeside