C-252/21 Facebook e.a.
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 16 juni 2021Schriftelijke opmerkingen: 2 augustus 2021
Trefwoorden : mededinging; AVG;
Onderwerp :
- Verordening (EG) nr. 1/2003 van de Raad van 16 december 2002 betreffende de uitvoering van de mededingingsregels van de artikelen 101 en 102 van het Verdrag (hierna: uitvoeringsverordening);
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming; hierna ook: AVG);
Feiten:
Verzoekster 2 (Facebook Ireland) exploiteert in Europa het voor privégebruikers kosteloze digitale sociale netwerk Facebook.com. Verzoekster 1 is de Amerikaans moedermaatschappij van verzoekster 2. Verzoekster 3 is een Duitse zustermaatschappij van Facebook Ireland en ondersteunt deze op het gebied van advertenties, communicatie en publiciteit (hierna gezamenlijk ook: Facebook). Facebook.com wordt gefinancierd door online-advertenties die zijn afgestemd op individuele gebruikers van het sociale netwerk. Door middel van aanklikbare sociale plugins, Facebook Business Tools, en advertentiemanagers worden gegevens van gebruikers ook op websites en apps van derden gevolgd, zonder dat hier een handeling van de gebruiker voor nodig is. Daarnaast biedt Facebook ook andere aanvullende diensten aan, zoals Instagram, Whatsapp, Oculus, en Masquerade (dit laatste tot maart 2020). Volgens Facebooks gegevens- en cookiebeleid verzamelt Facebook Ireland gebruikers- en apparaatgegevens over de gebruikersactiviteiten binnen en buiten het sociale netwerk en linkt deze aan de Facebook-accounts van de betrokken gebruikers. Bij de buiten het sociale netwerk verrichte gebruikersactiviteiten gaat het enerzijds om het bezoek aan websites en apps van derden die middels programmeringsinterfaces (Facebook Business Tools) met Facebook.com verbonden zijn, en anderzijds om het gebruik van de andere bij Facebook horende diensten Instagram, WhatsApp en Oculus, waarvoor gegevens “via de andere Facebook-bedrijven en -producten” worden verwerkt. De Duitse mededingingsautoriteit heeft bij besluit van 06-02-2019 verzoeksters en de aan hen gelieerde ondernemingen een verbod opgelegd tot gegevensverwerking als bedoeld in de gebruiksvoorwaarden, alsmede tot uitvoering daarvan, en bevolen de inbreuk te beëindigen. Op 11-02-2019 hebben verzoeksters beroep ingesteld tegen dit besluit. Facebook Ireland heeft op 31-07-2019 nieuwe – in wezen gelijkluidende – gebruiksvoorwaarden ingevoerd die uitdrukkelijk vermelden dat de gebruiker, in plaats van te betalen voor het gebruik van de Facebook-producten, ermee instemt dat er advertenties worden getoond. Sinds 28-01-2020 biedt Facebook wereldwijd de zogenoemde OffFacebook-Activity (OFA) aan. Hiermee kunnen Facebook-gebruikers een samenvatting van die informatie verkrijgen die Facebook over hun activiteiten op andere websites en apps ontvangt, en de oude en toekomstige gegevens op verzoek loskoppelen van hun Facebook-account.
Overweging:
Het al dan niet slagen van het beroep van Facebook Ireland – dat, na beëindiging van de dienst Masquerade en de verklaring van het Bundeskartellamt dat uit het 9 bestreden besluit in zoverre geen rechten meer kunnen worden afgeleid, alleen nog gericht is tegen de overige delen van dat besluit – hangt af van de beantwoording van de in het dictum gestelde prejudiciële vragen. Het is bepalend of het Bundeskartellamt kan vaststellen of de gebruiksvoorwaarden van Facebook Ireland en de uitvoering daarvan inbreuk maken op de AVG, en of het tegen een dergelijke inbreuk de gelaste corrigerende maatregelen kan opleggen.
Prejudiciële vragen:
1.
a) Is het verenigbaar met de artikelen 51 e.v. AVG, wanneer een nationale mededingingsautoriteit van een lidstaat, zoals het Bundeskartellamt (Duitse mededingingsautoriteit), die geen toezichthoudende autoriteit in de zin van de artikelen 51 e.v. AVG is en in wier lidstaat een buiten de Europese Unie gevestigde onderneming een vestiging heeft, die de in een andere lidstaat gelegen hoofdvestiging van deze onderneming, welke de uitsluitende verantwoordelijkheid draagt voor de verwerking van persoonsgegevens voor het gehele gebied van de Europese Unie, ondersteunt op het gebied van advertenties, communicatie en publiciteit, in het kader van het toezicht op misbruik op het gebied van de mededinging vaststelt dat de contractuele bepalingen van de hoofdvestiging inzake de gegevensverwerking en de uitvoering daarvan inbreuk maken op de AVG, en de beëindiging van die inbreuk beveelt?
b) Zo ja: is dit verenigbaar met artikel 4, lid 3, VEU, wanneer tegelijkertijd de leidende toezichthoudende autoriteit in de lidstaat van de hoofdvestiging in de zin van artikel 56, lid 1, AVG een onderzoek heeft ingesteld naar haar contractuele bepalingen inzake de gegevensverwerking? Indien de eerste vraag bevestigend moet worden beantwoord:
2.
a) In het geval dat een internetgebruiker websites of apps waarop de criteria van artikel 9, lid 1, AVG betrekking hebben, bijvoorbeeld flirtingapps, datingsites voor homoseksuelen, websites van politieke partijen, gezondheidsgerelateerde websites, ofwel slechts opent ofwel daar ook gegevens invoert, zoals bij registratie of bestellingen, en een andere onderneming, zoals Facebook Ireland, via op deze websites en apps geïntegreerde interfaces, zoals „Facebook Business Tools”, of via op de computer of een mobiel apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën, de gegevens over het openen van de websites en apps door de gebruiker en over de daar gegeven invoer van de gebruiker verzamelt, met de gegevens van het Facebook-account van de gebruiker verbindt en gebruikt, dient dit verzamelen en/of verbinden en/of gebruiken dan te worden aangemerkt als de verwerking van gevoelige gegevens in de zin van de bepaling?
b) Zo ja: kan het openen van deze websites en apps en/of het invoeren van gegevens en/of het aanklikken van de op deze websites of apps geïntegreerde knoppen („sociale plugins” zoals „Vind ik leuk”, „Delen” of „Facebook login” of „Account Kit”) van een aanbieder als Facebook Ireland worden beschouwd als het kennelijk openbaar maken van de gegevens via het openen van de website of app als zodanig en/of via de door de gebruiker gegeven invoer in de zin van artikel 9, lid 2, onder e), AVG?
3. Kan een onderneming als Facebook Ireland, die een door advertenties gefinancierd, digitaal sociaal netwerk exploiteert en in haar gebruiksvoorwaarden de personalisatie van de inhoud en van de advertenties, de netwerkveiligheid, de productverbetering en het consistente en probleemloze gebruik van alle producten van het concern aanbiedt, zich beroepen op de rechtvaardigingsgrond van de noodzakelijkheid voor de uitvoering van een overeenkomst overeenkomstig artikel 6, lid 1, onder b), AVG of op de rechtvaardigingsgrond van de behartiging van gerechtvaardigde belangen overeenkomstig artikel 6, lid 1, onder f), AVG, wanneer de onderneming voor dit doel gegevens uit andere diensten van het concern en uit websites en apps van derden via daarin geïntegreerde interfaces, zoals „Facebook Business Tools”, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën verzamelt, met het Facebook-account van de gebruiker verbindt en gebruikt?
4.
Kunnen in een dergelijk geval tevens
– de minderjarigheid van de gebruikers voor de personalisatie van inhoud en advertenties, productverbetering, netwerkveiligheid en andere dan marketing-gerelateerde communicatie met de gebruiker,
– het aanbieden van metingen, analysen en andere zakelijke diensten aan adverteerders, ontwikkelaars en overige partners zodat deze hun diensten kunnen evalueren en verbeteren,
– het aanbieden van marketingcommunicatie met de gebruiker, zodat de onderneming haar producten kan verbeteren en direct marketing kan toepassen,
– onderzoek en innovatie voor het maatschappelijk belang, om de stand van de techniek respectievelijk het wetenschappelijk begrip ten aanzien van belangrijke sociale onderwerpen te bevorderen en om de maatschappij en de wereld positief te beïnvloeden,
– het informeren van vervolgings- en handhavingsautoriteiten, het reageren op gerechtelijke verzoeken om strafbare feiten, onrechtmatig gebruik, schending van gebruiksvoorwaarden en beleid alsmede overige nadelige gedragingen te voorkomen, op te sporen en te vervolgen, gerechtvaardigde belangen in de zin van artikel 6, lid 1, onder f), AVG zijn wanneer de onderneming voor deze doeleinden gegevens uit andere diensten van het concern en uit websites en apps van derden via daarin geïntegreerde interfaces, zoals „Facebook Business Tools”, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën verzamelt, met het Facebook-account van de gebruiker verbindt en gebruikt?
5. Kan in een dergelijk geval het verzamelen van gegevens uit andere diensten van het concern en uit websites en apps van derden via daarin geïntegreerde interfaces, zoals „Facebook Business Tools”, of via op de computer of het mobiele apparaat van de internetgebruiker geplaatste cookies of vergelijkbare opslagtechnologieën, de verbinding met het Facebook-account van de gebruiker en het gebruik of het gebruik van reeds op andere wijze rechtmatig verzamelde en verbonden gegevens in een afzonderlijk geval ook gerechtvaardigd zijn op grond van artikel 6, lid 1, onder c), d) en e), AVG, om bijvoorbeeld te voldoen aan een rechtsgeldig verzoek om bepaalde gegevens [onder c)], om nadelige gedragingen te bestrijden en de veiligheid te bevorderen [onder d)], in het belang van het onderzoek ten behoeve van het welzijn van de maatschappij en ter bevordering van de bescherming, integriteit en veiligheid [onder e)]?
6. Kan aan een onderneming met een machtspositie zoals Facebook Ireland een effectieve, in het bijzonder overeenkomstig artikel 4, punt 11, AVG vrijwillige toestemming in de zin van artikel 6, lid 1, onder a), en artikel 9, lid 2, onder a), AVG worden verleend? Indien de eerste vraag ontkennend moet worden beantwoord:
7.
a) Kan een nationale mededingingsautoriteit van een lidstaat, zoals het Bundeskartellamt, die geen toezichthoudende autoriteit is in de zin van de artikelen 51 e.v. AVG en die een inbreuk van een onderneming met een machtspositie op het kartelrechtelijke misbruikverbod onderzoekt, welke inbreuk niet bestaat in een inbreuk op de AVG door haar voorwaarden inzake de gegevensverwerking en de uitvoering daarvan, in het kader van bijvoorbeeld de belangenafweging vaststellingen doen ten aanzien van de vraag of de voorwaarden inzake gegevensverwerking van deze onderneming en de uitvoering daarvan voldoen aan de AVG?
b) Zo ja: Geldt dit met het oog op artikel 4, lid 3, VEU ook wanneer tegelijkertijd de op grond van artikel 56, lid 1, AVG bevoegde leidende toezichthoudende autoriteit de voorwaarden van deze onderneming inzake de gegevensverwerking onderzoekt? Indien de zevende vraag bevestigend moet worden beantwoord, moeten de vragen 3 tot en met 5 worden beantwoord ten aanzien van het gebruik van de gegevens voortvloeiende uit het gebruik van de dienst van het concern Instagram.
Aangehaalde (recente) jurisprudentie: British Airways C-95/04; Tetrapak C-333/94; United Brands C-27/76; Alsatel C-247/86; BRT en Société belge C-127/73; C-73/95; C-41/90; C-322/81; C-582/14; C-70/10; FashionId C-40/17; Planet49 C-673/17; ASNEF en FECEMD C-468/10 en C-469/10; Astra Zeneca C-457/10 P; Post Danmark C-23/14;
Specifiek beleidsterrein: JenV; EZK