HvJ EU, 29-07-2019, nr. C-40/17

Richtlijn 95/46 is met ingang van 25 mei 2018 ingetrokken bij en vervangen door verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 2016, L 119, blz. 1). Gelet op de datum van de feiten van het hoofdgeding is op dit geding evenwel richtlijn 95/46 van toepassing.

In overweging 10 van richtlijn 95/46 staat te lezen:

Artikel 1 van richtlijn 95/46 luidt:

Artikel 2 van deze richtlijn bepaalt:

In artikel 7 van die richtlijn staat te lezen:

Artikel 10 van dezelfde richtlijn, met als opschrift ‘Informatieverstrekking in geval van verkrijging van gegevens bij de betrokkene’, luidt:

In artikel 22 van richtlijn 95/46 is bepaald:

Artikel 23 van deze richtlijn luidt:

Artikel 24 van die richtlijn bepaalt:

In artikel 28 van dezelfde richtlijn staat te lezen:

Artikel 5, lid 3, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtllijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11) (hierna: ‘richtlijn 2002/58’), bepaalt:

Artikel 1, lid 1, van richtlijn 2009/22/EG van het Europees Parlement en de Raad van 23 april 2009 betreffende het doen staken van inbreuken in het raam van de bescherming van de consumentenbelangen (PB 2009, L 110, blz. 30), zoals gewijzigd bij verordening (EU) nr. 524/2013 van het Europees Parlement en de Raad van 21 mei 2013 (PB 2013, L 165, blz. 1) (hierna: ‘richtlijn 2009/22’), luidt:

In artikel 2 van deze richtlijn staat te lezen:

Artikel 7 van die richtlijn bepaalt:

Artikel 80 van verordening nr. 2016/679 luidt:

§ 3, lid 1, van het Gesetz gegen den unlauteren Wettbewerb (wet inzake oneerlijke mededing), in de versie die van toepassing is op het hoofdgeding (hierna: ‘UWG’), bepaalt:

§ 3a UWG luidt:

§ 8 UWG bepaalt:

In § 2 van de wet inzake verbodsacties staat te lezen:

§ 12, lid 1, van het Telemediengesetz (wet inzake elektronische media; hierna: ‘TMG’) bepaalt:

§ 13, lid 1, TMG luidt:

§ 15, lid 1, TMG bepaalt:

Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of de artikelen 22, 23 en 24 van richtlijn 95/46 aldus moeten worden uitgelegd dat zij in de weg staan aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens.

Vooraf zij eraan herinnerd dat de lidstaten volgens artikel 22 van richtlijn 95/46 bepalen dat eenieder zich tot de rechter kan wenden wanneer inbreuk wordt gemaakt op de rechten die hem worden gegarandeerd door het nationale recht dat van toepassing is op de verwerking in kwestie.

In artikel 28, lid 3, derde alinea, van richtlijn 95/46 staat te lezen dat een toezichthoudende autoriteit, die overeenkomstig artikel 28, lid 1, van deze richtlijn belast is met het toezicht op de toepassing op het grondgebied van de betrokken lidstaat van de ter uitvoering van die richtlijn door die lidstaat vastgestelde bepalingen, met name beschikt over de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van diezelfde richtlijn vastgestelde nationale bepalingen of om die inbreuken onder de aandacht van het gerecht te brengen.

Artikel 28, lid 4, van richtlijn 95/46 bepaalt dat een vereniging die bij een toezichthoudende autoriteit optreedt als vertegenwoordiger van een betrokkene in de zin van artikel 2, onder a), van deze richtlijn, een verzoek kan indienen met betrekking tot de bescherming van diens rechten en vrijheden in verband met de verwerking van persoonsgegevens.

In geen enkele bepaling van die richtlijn wordt aan de lidstaten evenwel de verplichting opgelegd of uitdrukkelijk de bevoegdheid toegekend om in hun nationale recht een vereniging de mogelijkheid te bieden om een betrokkene in rechte te vertegenwoordigen of om op eigen initiatief een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens.

Dit betekent echter niet dat richtlijn 95/46 in de weg staat aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij zich aan een dergelijke inbreuk schuldig maakt.

Krachtens artikel 288, derde alinea, VWEU zijn de lidstaten namelijk verplicht om bij de omzetting van een richtlijn in nationaal recht de volle werking ervan te verzekeren, maar beschikken zij daarbij over een ruime beoordelingsmarge met betrekking tot de keuze van de middelen en wegen voor de uitvoering ervan. Deze vrijheid doet niet af aan de op elk van de lidstaten waarvoor de betreffende richtlijn bestemd is, rustende verplichting om alle maatregelen te treffen die nodig zijn om de volle werking van die richtlijn overeenkomstig het ermee beoogde doel te verzekeren (arresten van 6 oktober 2010, Base e.a., C-389/08, EU:C:2010:584, punten 24 en 25, en 22 februari 2018, Porras Guisado, C-103/16, EU:C:2018:99, punt 57).

In dit verband zij eraan herinnerd dat een van de aan richtlijn 95/46 ten grondslag liggende doelstellingen erin bestaat met betrekking tot de verwerking van persoonsgegevens te zorgen voor een doeltreffende en volledige bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op bescherming van de persoonlijke levenssfeer (zie in die zin arresten van 13 mei 2014, Google Spain en Google, C-131/12, EU:C:2014:317, punt 53, en 27 september 2017, Puškár, C-73/16, EU:C:2017:725, punt 38). In overweging 10 wordt gepreciseerd dat de onderlinge aanpassing van de ter zake geldende nationale wetgevingen niet tot een verzwakking van de door deze wetgevingen geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Unie te waarborgen (arresten van 6 november 2003, Lindqvist, C-101/01, EU:C:2003:596, punt 95; 16 december 2008, Huber, C-524/06, EU:C:2008:724, punt 50, en 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 en C-469/10, EU:C:2011:777, punt 28).

Dat een lidstaat in zijn nationale regeling aan een vereniging die consumentenbelangen behartigt, de mogelijkheid biedt om een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, kan geenszins de doelstellingen van richtlijn 95/46 ondermijnen, maar draagt juist bij aan de verwezenlijking van deze doelstellingen.

Fashion ID en Facebook Ireland voeren echter aan dat met richtlijn 95/46 een volledige harmonisatie van de nationale bepalingen inzake gegevensbescherming tot stand is gebracht, zodat elke rechtsvordering waarin die richtlijn niet uitdrukkelijk voorziet, uitgesloten is. In de artikelen 22, 23 en 28 van richtlijn 95/46 wordt volgens hen enkel voorzien in een rechtsvordering voor de betrokkenen en voor de toezichthoudende autoriteiten op het gebied van gegevensbescherming.

Dit betoog kan echter niet slagen.

Het klopt dat richtlijn 95/46 leidt tot een — in beginsel volledige — harmonisatie van de nationale wettelijke regelingen inzake de bescherming van persoonsgegevens (zie in die zin arresten van 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 en C-469/10, EU:C:2011:777, punt 29, en 7 november 2013, IPI, C-473/12, EU:C:2013:715, punt 31).

Het Hof heeft dan ook geoordeeld dat artikel 7 van die richtlijn een uitputtende en limitatieve lijst bevat van de gevallen waarin een verwerking van persoonsgegevens als rechtmatig kan worden aangemerkt, en dat de lidstaten aan dat artikel geen nieuwe beginselen inzake de toelaatbaarheid van de verwerking van persoonsgegevens mogen toevoegen, noch bijkomende vereisten mogen vaststellen die de reikwijdte van een van de zes in dat artikel vervatte beginselen zouden wijzigen (arresten van 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 en C-469/10, EU:C:2011:777, punten 30 en 32, en 19 oktober 2016, Breyer, C-582/14, EU:C:2016:779, punt 57).

Het Hof heeft echter eveneens verduidelijkt dat richtlijn 95/46 regels bevat die vrij algemeen zijn, aangezien deze richtlijn voor een groot aantal zeer uiteenlopende situaties behoort te gelden. Deze regels worden gekenmerkt door een zekere soepelheid en laten het in tal van gevallen aan de lidstaten over om de bijzonderheden te regelen of een keuze uit verschillende mogelijkheden te maken, zodat de lidstaten bij de omzetting van die richtlijn in velerlei opzicht over speelruimte beschikken (zie in die zin arresten van 6 november 2003, Lindqvist, C-101/01, EU:C:2003:596, punten 83, 84 en 97, en 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 en C-469/10, EU:C:2011:777, punt 35).

Dit geldt voor de artikelen 22, 23 en 24 van richtlijn 95/46, die — zoals de advocaat-generaal in punt 42 van zijn conclusie heeft opgemerkt — in algemene bewoordingen zijn gesteld, en die geen uitputtende harmonisatie tot stand brengen van de nationale bepalingen inzake beroepen die bij de rechter kunnen worden ingesteld tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens (zie naar analogie arrest van 26 oktober 2017, I, C-195/16, EU:C:2017:815, punten 57 en 58).

Met name wordt weliswaar bij artikel 22 van richtlijn 95/46 aan de lidstaten de verplichting opgelegd om te bepalen dat eenieder beroep bij de rechter kan instellen wanneer inbreuk wordt gemaakt op de rechten die aan de betrokkene worden gegarandeerd door het nationale recht dat van toepassing is op de betreffende verwerking van persoonsgegevens, maar in geen enkele bepaling van die richtlijn wordt specifiek geregeld onder welke voorwaarden dat beroep kan worden ingesteld (zie in die zin arrest van 27 september 2017, Puškár, C-73/16, EU:C:2017:725, punten 54 en 55).

Daarnaast is in artikel 24 van richtlijn 95/46 bepaald dat de lidstaten ‘passende maatregelen’ nemen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen, zonder dat dergelijke maatregelen in dat artikel worden gedefinieerd. Dat aan een vereniging die consumentenbelangen behartigt, de mogelijkheid wordt geboden om een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, lijkt te kunnen worden aangemerkt als een in die bepaling bedoelde passende maatregel, die — zoals in punt 51 van het onderhavige arrest is opgemerkt — overeenkomstig de rechtspraak van het Hof bijdraagt aan de verwezenlijking van de met die richtlijn nagestreefde doelstellingen (zie in die zin arrest van 6 november 2003, Lindqvist, C-101/01, EU:C:2003:596, punt 97).

Voorts lijkt het feit dat een lidstaat in zijn nationale regeling voorziet in een dergelijke mogelijkheid, anders dan Fashion ID stelt, geen afbreuk te doen aan de onafhankelijkheid waarmee de toezichthoudende autoriteiten de hun overeenkomstig artikel 28 van richtlijn 95/46 opgedragen taken behoren uit te voeren, aangezien die mogelijkheid niet van invloed is op de beslissings- en handelingsvrijheid van die autoriteiten.

Bovendien behoort richtlijn 95/46 weliswaar niet tot de in bijlage I bij richtlijn 2009/22 opgesomde handelingen, maar is met laatstgenoemde richtlijn volgens artikel 7 ervan geen uitputtende harmonisatie tot stand is gebracht.

Ten slotte impliceert het feit dat het de lidstaten op grond van artikel 80, lid 2, van verordening 2016/679 — die verordening richtlijn 95/46 heeft ingetrokken en vervangen en die van toepassing is sinds 25 mei 2018 — uitdrukkelijk is toegestaan om verenigingen die consumentenbelangen behartigen, de mogelijkheid te bieden in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, geenszins dat de lidstaten hun dit recht onder de vigeur van richtlijn 95/46 niet mochten toekennen, maar wordt door dat feit juist bevestigd dat de in dit arrest in aanmerking genomen uitlegging van die richtlijn de wil van de Uniewetgever weerspiegelt.

Gelet op een en ander dient op de eerste prejudiciële vraag te worden geantwoord dat de artikelen 22, 23 en 24 van richtlijn 95/46 aldus moeten worden uitgelegd dat zij niet in de weg staan aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens.

Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of de beheerder van een internetsite, zoals Fashion ID, die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, kan worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46, hoewel hij geen invloed heeft op de verwerking van de aldus aan die aanbieder doorgezonden gegevens.

In dit verband zij eraan herinnerd dat in artikel 2, onder d), van richtlijn 95/46 — in overeenstemming met de doelstelling van deze richtlijn, die erin bestaat met betrekking tot de verwerking van persoonsgegevens te zorgen voor een hoog niveau van bescherming van de grondrechten en vrijheden van natuurlijke personen en met name van hun persoonlijke levenssfeer — een ruime definitie wordt gegeven van het begrip ‘voor de verwerking verantwoordelijke’, waarmee wordt gedoeld op de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die respectievelijk dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (zie in die zin arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punten 26 en 27).

Zoals het Hof reeds heeft geoordeeld, heeft die bepaling namelijk tot doel via een ruime omschrijving van het begrip ‘verantwoordelijke’ een doeltreffende en volledige bescherming van de betrokkenen te verzekeren (arresten van 13 mei 2014, Google Spain en Google, C-131/12, EU:C:2014:317, punt 34, en 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punt 28).

Bovendien ziet het begrip ‘voor de verwerking verantwoordelijke’ — zoals uitdrukkelijk is bepaald in artikel 2, onder d), van richtlijn 95/46 — op het lichaam dat ‘alleen of tezamen met anderen’ het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, zodat dit begrip niet noodzakelijk verwijst naar een enkel lichaam en betrekking kan hebben op meerdere deelnemers aan deze verwerking, die dan alle onder de bepalingen inzake gegevensbescherming vallen (zie in die zin arresten van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punt 29, en 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punt 65).

Het Hof heeft eveneens geoordeeld dat een natuurlijke of rechtspersoon die om hem moverende redenen invloed uitoefent op de verwerking van persoonsgegevens en daardoor deelneemt aan de vaststelling van het doel van en de middelen voor deze verwerking, kan worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46 (arrest van 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punt 68).

Daarbij komt dat de omstandigheid dat meerdere actoren op grond van die bepaling gezamenlijk verantwoordelijk zijn voor een en dezelfde verwerking, niet onderstelt dat ieder van hen toegang heeft tot de betrokken persoonsgegevens (zie in die zin arresten van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punt 38, en 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punt 69).

Echter, hoewel artikel 2, onder d), van richtlijn 95/46 tot doel heeft, door een ruime omschrijving van het begrip ‘verantwoordelijke’, een doeltreffende en volledige bescherming van de betrokkenen te verzekeren, leidt het bestaan van een gezamenlijke verantwoordelijkheid van de verschillende actoren niet noodzakelijk tot een gelijkwaardige verantwoordelijkheid voor één en dezelfde verwerking van persoonsgegevens. Integendeel, die actoren kunnen in verschillende stadia en in verschillende mate bij deze verwerking betrokken zijn, zodat bij de beoordeling van het niveau van verantwoordelijkheid van ieder van hen rekening moet worden gehouden met alle relevante omstandigheden van het concrete geval (zie in die zin arrest van 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punt 66).

In dit verband zij ten eerste opgemerkt dat de ‘verwerking van persoonsgegevens’ in artikel 2, onder b), van richtlijn 95/46 wordt gedefinieerd als ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’.

Uit deze definitie volgt dat een verwerking van persoonsgegevens kan bestaan uit een of meerdere bewerkingen, die elk betrekking hebben op een van de verschillende fasen waarin een verwerking van persoonsgegevens kan plaatsvinden.

Ten tweede volgt uit de in punt 65 van dit arrest in herinnering gebrachte definitie die in artikel 2, onder d), van richtlijn 95/46 wordt gegeven van het begrip ‘voor de verwerking verantwoordelijke’, dat verschillende actoren die gezamenlijk het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen, als verantwoordelijken deelnemen aan deze verwerking.

Zoals de advocaat-generaal in punt 101 van zijn conclusie in wezen heeft opgemerkt, kan een natuurlijke of rechtspersoon voor bewerkingen die verband houden met de verwerking van persoonsgegevens dan ook slechts gezamenlijk met anderen verantwoordelijk zijn in de zin van artikel 2, onder d), van richtlijn 95/46 wanneer hij samen met die anderen het doel van en de middelen voor die bewerkingen vaststelt. Daarentegen kan die natuurlijke of rechtspersoon, onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht in dit verband voorziet, niet worden geacht in de zin van die bepaling verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt.

In casu volgt uit het dossier waarover het Hof beschikt, onder voorbehoud van de door de verwijzende rechter te verrichten verificaties, dat Fashion ID het door de integratie van de vind-ik-leukknop van Facebook in haar internetsite voor Facebook Ireland mogelijk lijkt te hebben gemaakt om persoonsgegevens van de bezoekers van de Fashion ID-internetsite te verkrijgen, waarbij deze mogelijkheid ontstaat zodra die internetsite wordt geraadpleegd, ongeacht of die bezoekers lid zijn van het sociaal netwerk Facebook, op de vind-ik-leukknop van Facebook hebben geklikt of van die bewerking op de hoogte waren.

Gelet op deze informatie moet worden geconstateerd dat de bewerkingen die verband houden met de verwerking van persoonsgegevens en waarvan respectievelijk waarvoor Fashion ID samen met Facebook Ireland het doel en de middelen kan vaststellen, met het oog op de definitie die in artikel 2, onder b), van richtlijn 95/46 wordt gegeven van het begrip ‘verwerking van persoonsgegevens’, bestaan in het verzamelen en door middel van doorzending verstrekken van persoonsgegevens van de bezoekers van de Fashion ID-internetsite. Daarentegen is het gelet op diezelfde informatie op het eerste gezicht uitgesloten dat Fashion ID het doel en de middelen van respectievelijk voor bewerkingen vaststelt die verband houden met de verwerking van persoonsgegevens en die door Facebook Ireland worden uitgevoerd op een later tijdstip, nadat haar de betreffende gegevens zijn doorgezonden, zodat Fashion ID niet kan worden geacht voor die bewerkingen verantwoordelijk te zijn in de zin van artikel 2, onder d).

Wat betreft de middelen die worden gebruikt voor het verzamelen en door middel van doorzending verstrekken van bepaalde persoonsgegevens van de bezoekers van de Fashion ID-internetsite, volgt uit punt 75 van dit arrest dat Fashion ID de vind-ik-leukknop die door Facebook Ireland ter beschikking wordt gesteld van de beheerders van internetsites, op haar internetsite lijkt te hebben ingevoegd in de wetenschap dat die knop dient als instrument voor het verzamelen en doorzenden van persoonsgegevens van de bezoekers van die site, ongeacht of deze lid zijn van het sociaal netwerk Facebook.

Door een dergelijke social plug-in in zijn internetsite in te voegen, oefent Fashion ID overigens op beslissende wijze invloed uit op het verzamelen en doorzenden van de persoonsgegevens van de bezoekers van die site ten gunste van de aanbieder van die plug-in, in casu Facebook Ireland, waarbij het verzamelen en doorzenden van die gegevens niet zou plaatsvinden indien die plug-in niet was ingevoegd.

In deze omstandigheden en onder voorbehoud van de ter zake door de verwijzende rechter te verrichten verificaties, moet worden geoordeeld dat Facebook Ireland en Fashion ID samen de middelen vaststellen die ten grondslag liggen aan de bewerkingen die bestaan in het verzamelen en door middel van doorzending verstrekken van persoonsgegevens van de bezoekers van de Fashion ID-internetsite.

Wat betreft het doel van de bovengenoemde bewerkingen die verband houden met de verwerking van persoonsgegevens, lijkt het feit dat Fashion ID de vind-ik-leukknop van Facebook heeft ingevoegd op haar internetsite, haar in staat te stellen om de reclame voor haar producten te optimaliseren door de zichtbaarheid ervan op het sociaal netwerk Facebook te vergroten wanneer een bezoeker van haar internetsite op die knop klikt. Het verkrijgen van dit commerciële voordeel, dat in meer reclame voor haar producten bestaat, lijkt de reden te zijn waarom Fashion ID, door het invoegen van die knop op haar internetsite, op zijn minst impliciet heeft ingestemd met het verzamelen en door middel van doorzending verstrekken van de persoonsgegevens van de bezoekers van haar site, met dien verstande dat deze verwerkingshandelingen zowel worden verricht in het economische belang van Fashion ID als in dat van Facebook Ireland, waarvoor het feit dat zij voor haar eigen commerciële doeleinden over die gegevens kan beschikken, de tegenprestatie vormt voor het aan Fashion ID verschafte voordeel.

In deze omstandigheden kan, onder voorbehoud van de door de verwijzende rechter te verrichten verificaties, ervan worden uitgegaan dat Fashion ID en Facebook Ireland samen het doel vaststellen van de in het hoofdgeding aan de orde zijnde bewerkingen die bestaan in het verzamelen en door middel van doorzending verstrekken van persoonsgegevens.

Bovendien staat, zoals blijkt uit de in punt 69 van dit arrest aangehaalde rechtspraak, de omstandigheid dat de beheerder van een internetsite, zoals Fashion ID, zelf geen toegang heeft tot de persoonsgegevens die worden verzameld en die worden doorgezonden aan de aanbieder van een social plug-in met wie hij samen het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt, er niet aan in de weg dat die beheerder de hoedanigheid van ‘voor de verwerking verantwoordelijke’ in de zin van artikel 2, onder d), van richtlijn 95/46 heeft.

Overigens zij beklemtoond dat een internetsite als Fashion ID zowel wordt bezocht door personen die lid zijn van het sociaal netwerk Facebook en die dus een Facebook-account hebben, als door personen die geen Facebook-account hebben. In laatstgenoemd geval is de verantwoordelijkheid van de beheerder van een internetsite, zoals Fashion ID, voor de verwerking van de persoonsgegevens van die personen nog groter, omdat het louter raadplegen van deze site met daarop de vind-ik-leukknop van Facebook aanleiding lijkt te geven tot de verwerking van hun persoonsgegevens door Facebook Ireland (zie in die zin arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punt 41).

Bijgevolg kan Fashion ID samen met Facebook Ireland worden geacht voor het verzamelen en door middel van doorzending verstrekken van persoonsgegevens van de bezoekers van haar internetsite verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46.

Gelet op een en ander dient op de tweede prejudiciële vraag te worden geantwoord dat de beheerder van een internetsite, zoals Fashion ID, die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, kan worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46. Deze verantwoordelijkheid is evenwel beperkt tot de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt, te weten het verzamelen en door middel van doorzending verstrekken van de gegevens in kwestie.

Gelet op het antwoord op de tweede prejudiciële vraag hoeft de derde prejudiciële vraag niet te worden beantwoord.

Met zijn vierde vraag wenst de verwijzende rechter in wezen te vernemen of in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van deze site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, voor de toepassing van artikel 7, onder f), van richtlijn 95/46 het gerechtvaardigde belang van die beheerder dan wel dat van die aanbieder in aanmerking dient te worden genomen.

Vooraf zij opgemerkt dat deze vraag volgens de Commissie niet relevant is voor de beslechting van het hoofdgeding, omdat de op grond van artikel 5, lid 3, van richtlijn 2002/58 vereiste toestemming van de betrokkenen niet is verkregen.

In dit verband moet worden geconstateerd dat de lidstaten er volgens die bepaling zorg voor moeten dragen dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn 95/46, onder meer over de doeleinden van de verwerking.

Het staat aan de verwijzende rechter om na te gaan of de aanbieder van een social plug-in, zoals Facebook Ireland, in een situatie als die welke in het hoofdgeding aan de orde is, toegang heeft — zoals de Commissie stelt — tot informatie die in de zin van artikel 5, lid 3, van richtlijn 2002/58 is opgeslagen in de eindapparatuur van wie de internetsite van de beheerder van deze site bezoekt.

Derhalve doen de overwegingen van de Commissie — gelet op het feit dat de verwijzende rechter lijkt aan te nemen dat de aan Facebook Ireland doorgezonden gegevens in casu persoonsgegevens in de zin van richtlijn 95/46 zijn, die overigens niet noodzakelijk beperkt zijn tot informatie die in de eindapparatuur is opgeslagen, wat de verwijzende rechter dient te bevestigen — niet af aan de relevantie van de vierde prejudiciële vraag, die betrekking heeft op de eventuele rechtmatigheid van de in het hoofdgeding aan de orde zijnde gegevensverwerking, voor de beslechting van het hoofdgeding, zoals ook de advocaat-generaal in punt 115 van zijn conclusie heeft opgemerkt.

Onderzocht dient dan ook te worden welk gerechtvaardigd belang in aanmerking moet worden genomen voor de toepassing van artikel 7, onder f), van richtlijn 95/46 op de gegevensverwerking.

In dit verband moet om te beginnen in herinnering worden gebracht dat volgens hoofdstuk II van richtlijn 95/46, met als opschrift ‘Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens’, elke verwerking van persoonsgegevens, onder voorbehoud van de op grond van artikel 13 van deze richtlijn toegestane uitzonderingen, meer bepaald moet stroken met een van de in artikel 7 van die richtlijn genoemde beginselen betreffende de toelaatbaarheid van gegevensverwerking (zie in die zin arresten van 13 mei 2014, Google Spain en Google, C-131/12, EU:C:2014:317, punt 71, en 1 oktober 2015, Bara e.a., C-201/14, EU:C:2015:638, punt 30).

Volgens artikel 7, onder f), van richtlijn 95/46, om de uitlegging waarvan de verwijzende rechter verzoekt, is de verwerking van persoonsgegevens rechtmatig indien zij noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak heeft op bescherming uit hoofde van artikel 1, lid 1, van die richtlijn, niet prevaleren.

In artikel 7, onder f), van richtlijn 95/46 zijn dus drie cumulatieve voorwaarden gesteld waaraan moet zijn voldaan opdat een verwerking van persoonsgegevens rechtmatig is, te weten, in de eerste plaats, de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, in de tweede plaats, de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang, en, in de derde plaats, de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren (arrest van 4 mei 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, punt 28).

Aangezien uit het antwoord op de tweede prejudiciële vraag blijkt dat in een situatie als die welke aan de orde is in het hoofdgeding, de beheerder van een internetsite die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, kan worden geacht samen met die aanbieder verantwoordelijk te zijn voor de bewerkingen die verband houden met de verwerking van de persoonsgegevens van de bezoekers van zijn internetsite en die bestaan in het verzamelen en door middel van doorzending verstrekken van die gegevens, zijn deze verwerkingshandelingen ten aanzien van elk van die verantwoordelijken enkel gerechtvaardigd indien elk van hen daarmee een gerechtvaardigd belang behartigt in de zin van artikel 7, onder f), van richtlijn 95/46.

Gelet op een en ander dient op de vierde prejudiciële vraag te worden geantwoord dat in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van de bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, deze verwerkingshandelingen ten aanzien van die beheerder en die aanbieder enkel gerechtvaardigd zijn indien elk van hen daarmee een gerechtvaardigd belang behartigt in de zin van artikel 7, onder f), van richtlijn 95/46.

Met zijn vijfde en zijn zesde vraag, die gezamenlijk dienen te worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of, ten eerste, artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 aldus moeten worden uitgelegd dat in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, de op grond van die bepalingen vereiste toestemming moet worden verkregen door die beheerder dan wel door die aanbieder, en of, ten tweede, artikel 10 van die richtlijn aldus moet worden uitgelegd dat in een dergelijke situatie de in deze bepaling neergelegde verplichting tot informatieverstrekking rust op die beheerder.

Zoals blijkt uit het antwoord op de tweede prejudiciële vraag, kan de beheerder van een internetsite die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van de bezoeker van deze site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van die bezoeker aan deze aanbieder doorzendt, worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46, zij het dat deze verantwoordelijkheid beperkt is tot de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt.

Derhalve moeten de verplichtingen die krachtens richtlijn 95/46 kunnen rusten op de voor de verwerking verantwoordelijke — zoals de verplichting om de in artikel 2, onder h), en artikel 7, onder a), van deze richtlijn bedoelde toestemming van de betrokkene te verkrijgen, alsook de in artikel 10 van die richtlijn neergelegde verplichting tot informatieverstrekking — betrekking hebben op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt.

In casu kan de beheerder van een internetsite die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van de bezoeker van deze site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, weliswaar samen met die aanbieder worden geacht verantwoordelijk te zijn voor de bewerkingen die bestaan in het verzamelen en door middel van doorzending verstrekken van de persoonsgegevens van die bezoeker, maar hebben zijn verplichting om de in artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 bedoelde toestemming van de betrokkene te verkrijgen alsook de in artikel 10 van deze richtlijn neergelegde verplichting tot informatieverstrekking enkel betrekking op die bewerkingen. Daarentegen gelden deze verplichtingen niet voor de in voorkomend geval met de betreffende verwerking van persoonsgegevens gepaard gaande bewerkingen die verband houden met de verwerking van persoonsgegevens in fasen die voorafgaan aan of volgen op de bovengenoemde bewerkingen.

De op grond van artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 vereiste toestemming moet worden verleend voordat de gegevens van de betrokkene worden verzameld en door middel van doorzending worden verstrekt. Deze toestemming moet dan ook worden verkregen door de beheerder van de internetsite en niet door de aanbieder van de social plug-in, aangezien de raadpleging van die internetsite door een bezoeker aanleiding geeft tot de verwerking van persoonsgegevens. Zoals de advocaat-generaal in punt 132 van zijn conclusie heeft opgemerkt, zou het namelijk niet in overeenstemming zijn met de doelmatige en tijdige bescherming van de rechten van de betrokkene dat de toestemming enkel wordt verleend aan de samen met een ander voor de verwerking verantwoordelijke die op een later tijdstip een rol speelt, te weten de aanbieder van die plug-in. De aan de beheerder te verlenen toestemming heeft echter enkel betrekking op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor die beheerder daadwerkelijk het doel en de middelen vaststelt.

Hetzelfde geldt voor de in artikel 10 van richtlijn 95/46 neergelegde verplichting tot informatieverstrekking.

In dit verband blijkt uit de bewoordingen van deze bepaling dat de voor de verwerking verantwoordelijke of zijn vertegenwoordiger ten minste de in die bepaling vermelde informatie moet verstrekken aan de betrokkene, bij wie hij gegevens verzamelt. De voor de verwerking verantwoordelijke moet deze informatie dan ook onmiddellijk verstrekken, dat wil zeggen op het ogenblik waarop de gegevens worden verzameld (zie in die zin arresten van 7 mei 2009, Rijkeboer, C-553/07, EU:C:2009:293, punt 68, en 7 november 2013, IPI, C-473/12, EU:C:2013:715, punt 23).

Hieruit volgt dat ook de in artikel 10 van richtlijn 95/46 neergelegde verplichting tot informatieverstrekking in een situatie als die welke in het hoofdgeding aan de orde is, rust op de beheerder van de internetsite, zij het dat de door hem aan de betrokkene te verstrekken informatie enkel betrekking dient te hebben op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor die beheerder daadwerkelijk het doel en de middelen vaststelt.

Gelet op een en ander dient op de vijfde en de zesde prejudiciële vraag te worden geantwoord dat artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 aldus moeten worden uitgelegd dat in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, de op grond van die bepalingen vereiste toestemming enkel door die beheerder moet worden verkregen voor de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij het doel en de middelen vaststelt. Daarnaast moet artikel 10 van die richtlijn aldus worden uitgelegd dat ook de daarin neergelegde verplichting tot informatieverstrekking in een dergelijke situatie rust op die beheerder, zij het dat de door hem aan de betrokkene te verstrekken informatie enkel betrekking dient te hebben op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt.