HvJ EU, 04-07-2023, nr. C-252/21

Oorspronkelijke taal: Frans.

Namelijk Meta Platforms Inc., voorheen Facebook Inc., Meta Platforms Ireland Limited, voorheen Facebook Ireland Ltd., en Facebook Deutschland GmbH (hierna: ‘Meta Platforms’ of ‘verzoekster in het hoofdgeding’).

Besluit B6–22/16 van 6 februari 2019 (hierna: ‘litigieus besluit’).

Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: ‘AVG’).

In de tot en met 18 januari 2021 toepasselijke versie.

Daartoe verzamelt Meta Platforms, naast de gegevens die gebruikers rechtstreeks bij hun registratie voor de betrokken onlinediensten verstrekken, andere gebruikers- en apparaatgegevens binnen en buiten het sociale netwerk en de door het concern verstrekte onlinediensten, en koppelt zij deze gegevens aan de verschillende accounts van de betrokken gebruikers. Uit deze gegevens, in hun geheel beschouwd, kunnen gedetailleerde conclusies worden getrokken over de voorkeuren en de interesses van de gebruikers.

Wat meer bepaald de verwerking van persoonsgegevens betreft, verwijzen de servicevoorwaarden naar het door Meta Platforms vastgestelde gegevens- en cookiebeleid. Krachtens dit beleid verzamelt Meta Platforms gebruikers- en apparaatgegevens over de gebruikersactiviteiten binnen en buiten het online sociale netwerk en linkt zij deze gegevens aan de Facebookaccounts van de betrokken gebruikers. De activiteiten die buiten het online sociale netwerk plaatsvinden bestaan in het raadplegen van webpagina's en applicaties van derden, die met Facebook zijn verbonden via een programmeerinterface (namelijk de ‘Facebook Business Tools’), en in het gebruik van andere onlinediensten die tot het Meta Platforms-concern behoren, waaronder Instagram en WhatsApp.

Volgens het Bundeskartellamt heeft deze gegevensverwerking, als uitvloeisel van marktmacht, inbreuk gemaakt op de AVG en was zij niet gerechtvaardigd gelet op artikel 6, lid 1, en artikel 9, lid 2, van deze verordening.

Bovendien heeft Meta Platforms op 31 juli 2019, op initiatief van de Europese Commissie en de nationale consumentenorganisaties in de lidstaten, nieuwe servicevoorwaarden ingevoerd waarin uitdrukkelijk is vermeld dat de gebruiker, omdat hij niet hoeft te betalen voor het gebruik van de Facebookproducten, akkoord gaat met het tonen van advertenties. Voorts biedt Meta Platforms sinds 28 januari 2020 wereldwijd de zogenoemde ‘Activiteit buiten Facebook’-tool (Off-Facebook activity) aan, waarmee Facebookgebruikers een samenvatting kunnen opvragen van de hen betreffende informatie die Facebook over hun activiteiten op andere webpagina's en apps heeft verkregen en desgewenst deze gegevens — zowel retroactief als proactief — van hun Facebookaccount kunnen loskoppelen.

Het komt mij voor dat de woorden ‘vaststelt dat […] inbreuk [wordt gemaakt] op de AVG, en de beëindiging van die inbreuk beveelt’ in de eerste prejudiciële vraag in die zin moeten worden uitgelegd.

Aangezien de AVG het recht op gegevensbescherming volledig harmoniseert, en het centrale element daarbij bestaat in een geharmoniseerde uitvoeringsregeling op basis van het in de artikelen 51 tot en met 67 van deze verordening neergelegde ‘één-loketbeginsel’, lijkt het mij hoe dan ook duidelijk dat een andere autoriteit dan de toezichthoudende autoriteiten in de zin van deze verordening (zoals een mededingingsautoriteit) niet bevoegd is om primair een inbreuk op deze verordening vast te stellen noch om de vastgestelde sancties toe te passen.

Aangezien een mededingingsautoriteit niet bevoegd is om, primair, een inbreuk op deze verordening vast te stellen of om de vastgestelde sancties toe te passen, ben ik hoe dan ook van mening dat een eventueel besluit in die zin van een mededingingsautoriteit de bevoegdheid van de toezichthoudende autoriteiten in de zin van de AVG niet kan aantasten.

Volgens mij moeten de woorden ‘[kan zij] in het kader van bijvoorbeeld de belangenafweging vaststellingen doen ten aanzien van de vraag of de voorwaarden inzake gegevensverwerking van deze onderneming en de uitvoering daarvan voldoen aan de AVG’ in de zevende prejudiciële vraag volgens mij in die zin worden uitgelegd.

Zie voetnoot 11 van deze conclusie.

Verordening van de Raad van 16 december 2002 betreffende de uitvoering van de mededingingsregels van de artikelen [101 en 102 VWEU] (PB 2003, L 1, blz. 1).

Zoals § 19 GWB, waarop het litigieuze besluit is gebaseerd.

Zie bijvoorbeeld arrest van 6 september 2017, Intel/Commissie (C-413/14 P, EU:C:2017:632, punt 136 en aldaar aangehaalde rechtspraak). Voorts heeft het Hof verduidelijkt dat artikel 102 VWEU een algemene draagwijdte heeft en geenszins kan worden beperkt tot gevallen waarin de wetgever van de Unie een regelgevingskader — in casu het regelgevingskader voor elektronische communicatie — heeft vastgesteld (zie in die zin arrest van 10 juli 2014, Telefónica en Telefónica de España/Commissie, C-295/12 P, EU:C:2014:2062, punt 128).

In het licht van de verschillende doelstellingen van de twee categorieën normen is het namelijk duidelijk dat gedrag met betrekking tot de verwerking van gegevens, zelfs wanneer het in overeenstemming is met de AVG, een inbreuk op de mededingingsregels kan vormen, en, omgekeerd, dat onrechtmatig gedrag in de zin van de AVG niet noodzakelijkerwijs leidt tot de conclusie dat dit gedrag de mededingingsregels schendt. In dit verband heeft het Hof verduidelijkt dat de conformiteit van bepaald gedrag met een specifieke wettelijke regeling niet uitsluit dat op dit gedrag de artikelen 101 en 102 VWEU van toepassing zijn [zie met name arrest van 6 december 2012, AstraZeneca/Commissie (C-457/10 P, EU:C:2012:770, punt 132), waarin het Hof er tevens op heeft gewezen dat misbruik van machtspositie in de meeste gevallen bestaat uit gedrag dat voor het overige — ten aanzien van andere rechtstakken dan het mededingingsrecht — rechtmatig is]. Indien alleen praktijken die zowel objectief mededingingsbeperkend als juridisch onrechtmatig zijn, als misbruik in de zin van artikel 102 VWEU werden aangemerkt, dan zou dit immers betekenen dat bepaald gedrag, ook al is het mogelijk schadelijk voor de mededinging, enkel vanwege de rechtmatigheid ervan niet kan worden bestraft op grond van artikel 102 VWEU, hetgeen afbreuk zou doen aan het doel van deze bepaling om een regeling vast te stellen die ervoor zorgt dat de mededinging op de interne markt niet wordt vervalst [zie in die zin mijn conclusie in de zaak Servizio Elettrico Nazionale e.a. (C-377/20, EU:C:2021:998, punt 37)]. Volgens de rechtspraak van het Hof zijn de artikelen 101 en 102 VWEU immers enkel niet van toepassing indien een mededingingsverstorende gedraging bij een nationale wettelijke regeling aan de ondernemingen wordt voorgeschreven, of indien deze wettelijke regeling een rechtskader creëert dat zelf iedere mogelijkheid van concurrentieel gedrag voor deze ondernemingen uitsluit, maar kunnen deze artikelen wel van toepassing zijn indien blijkt dat de nationale wettelijke regeling ruimte laat voor mededinging die door autonome gedragingen van de ondernemingen kan worden verhinderd, beperkt of vervalst [zie in die zin arrest van 14 oktober 2010, Deutsche Telekom/Commissie (C-280/08 P, EU:C:2010:603, punt 80 en aldaar aangehaalde rechtspraak)].

Een uitlegging volgens welke het de mededingingsautoriteiten verboden zou zijn om bij de uitoefening van hun bevoegdheden de bepalingen van de AVG uit te leggen zou immers afbreuk doen aan de doeltreffende toepassing van het mededingingsrecht van de Unie.

Voorts staat de incidentele aard van de uitlegging van de AVG door de mededingingsautoriteit er niet aan in de weg dat deze uitlegging wordt getoetst door de op mededingingsgebied bevoegde nationale rechterlijke instanties, die bij uitleggingsmoeilijkheden het Hof een prejudiciële vraag kunnen stellen, zoals in casu is gebeurd wat de tweede tot en met de zesde prejudiciële vraag betreft.

De uitlegging van de AVG door de mededingingsautoriteit met het enkele doel de regels toe te passen (en eventueel de sancties op te leggen) waarin het mededingingsrecht voorziet, kan de bevoegdheden uit hoofde van deze verordening immers niet aan de toezichthoudende autoriteiten ontnemen. Voorts levert de mogelijkheid van een incidentele uitlegging van deze verordening door de mededingingsautoriteit evenmin problemen op met betrekking tot de toepassing ervan, die aan de toezichthoudende autoriteiten is voorbehouden, noch met betrekking tot het opleggen van corrigerende maatregelen of sancties, daar de eventueel door een mededingingsautoriteit opgelegde maatregelen of sancties zijn gebaseerd op andere regels, doelstellingen en rechtmatige belangen dan die welke door deze verordening worden beschermd [om die reden vallen in een dergelijke situatie het opleggen van sancties door de mededingingsautoriteit en het opleggen van sancties door de toezichthoudende autoriteit in de zin van de AVG volgens mij niet onder het beginsel ‘ne bis in idem’ (zie naar analogie arrest van 22 maart 2022, bpost, C-117/20, EU:C:2022:202, punten 42–50)].

Bovendien is het risico op verschillende uitleggingen inherent aan elk gebied dat wordt beheerst door een regeling waarmee de mededingingsautoriteit rekening moet of kan houden bij het toetsen van de rechtmatigheid van een bepaalde gedraging aan het mededingingsrecht.

De hoofdstukken VI en VII van de AVG voorzien met name in ‘één-loket’-regelingen voor de uitwisseling van informatie en voor wederzijdse bijstand tussen de toezichthoudende autoriteiten.

Zie verordening nr. 1/2003 en richtlijn (EU) 2019/1 van het Europees Parlement en de Raad van 11 december 2018 tot toekenning van bevoegdheden aan de mededingingsautoriteiten van de lidstaten voor een doeltreffendere handhaving en ter waarborging van de goede werking van de interne markt (PB 2019, L 11, blz. 3).

Zie in die zin met name arresten van 14 november 1989, Italië/Commissie (14/88, EU:C:1989:421, punt 20), en 11 juni 1991, Athanasopoulos e.a. (C-251/89, EU:C:1991:242, punt 57).

Voorts kan het bij de AVG ingestelde mechanisme voor samenwerking tussen de toezichthoudende autoriteiten zelf worden aangemerkt als een lex specialis die het in artikel 4, lid 3, VEU neergelegde algemene beginsel van loyale samenwerking aanvult en specificeert (zie met name, in de rechtsleer, Hijmans, H., ‘Article 51 Supervisory authority’, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, Oxford, 2020, blz. 869). Hetzelfde geldt voor de andere samenwerkingsinstrumenten die vóór het instrument van de AVG bestonden, zoals het systeem van samenwerking tussen de mededingingsautoriteiten (zie met name hoofdstuk IV van verordening nr. 1/2003).

Zie in die zin de conclusie van advocaat-generaal Trstenjak in de zaak Gorostiaga Atxalandabaso/Parlement (C-308/07 P, EU:C:2008:498, punt 89).

Zie met name arrest van 2 juni 2022, Skeyes (C-353/20, EU:C:2022:423, punt 52 en aldaar aangehaalde rechtspraak). Naar mijn mening kunnen aanwijzingen over de te ondernemen stappen in voorkomend geval worden ontleend aan het bij de AVG ingevoerde samenwerkingssysteem en aan het op mededingingsgebied ingevoerde systeem, met dien verstande dat, bij gebreke van ad-hocbepalingen, de op de mededingingsautoriteit rustende zorgvuldigheidsplicht niet zo ver gaat deze autoriteit is onderworpen aan gedetailleerde verplichtingen zoals met name die welke zijn voorzien in de in hoofdstuk VII van de AVG neergelegde procedure voor samenwerking en toezicht op de coherentie (zo kan van de mededingingsautoriteit bijvoorbeeld niet worden verwacht dat zij een ontwerpbesluit aan de bevoegde toezichthoudende autoriteit in de zin van deze verordening toezendt om het advies van deze laatste in te winnen).

Zie naar analogie, met betrekking tot een gebied dat onder de regelgeving van de Unie inzake geneesmiddelen valt, met name arrest van 23 januari 2018, F. Hoffmann-La Roche e.a. (C-179/16, EU:C:2018:25, punten 58–64).

Met andere woorden, dit besluit maakt zelf deel uit van het juridische en feitelijke kader dat de mededingingsautoriteit moet onderzoeken, waarbij het haar vrij staat om aan dit besluit consequenties te verbinden in het licht van de toepassing van het mededingingsrecht (zie voetnoot 18 van deze conclusie).

Gelet op de rol en de taken van de nationale toezichthoudende autoriteiten in het bij de AVG ingevoerde samenwerkingssysteem, ben ik van mening dat een interactie met de nationale toezichthoudende autoriteit op zich volstaat om ervan uit te gaan dat de mededingingsautoriteit haar verplichtingen inzake zorgvuldigheid en loyale samenwerking is nagekomen, met name wanneer deze autoriteit niet de mogelijkheid heeft (rekening houdend met de toepasselijke procedures van nationaal recht) of de middelen (in het bijzonder de taalkundige middelen) om op bevredigende wijze met de leidende toezichthoudende autoriteit van een andere lidstaat te interageren.

Of, wanneer deze autoriteit in een andere lidstaat is gevestigd, de nationale toezichthoudende autoriteit (zie voetnoot 31 van deze conclusie).

Ik herinner er evenwel aan dat de uitlegging die door een mededingingsautoriteit bij de uitoefening van haar bevoegdheden aan sommige bepalingen van de AVG wordt gegeven, niet vooruitloopt op de uitlegging en de toepassing van deze bepalingen door de bevoegde toezichthoudende autoriteiten in de zin van deze verordening (zie voetnoot 21 van deze conclusie).

Het Bundeskartellamt voert in dit verband aan dat het zich heeft gebaseerd op het Duitse mededingingsrecht, op grond waarvan deze autoriteit kan communiceren met de nationale toezichthoudende autoriteiten in de zin van de AVG.

Dit geldt des te meer in het geval dat, zoals het Bundeskartellamt stelt, de Duitse federale toezichthoudende autoriteit en de Ierse leidende toezichthoudende autoriteit het Bundeskartellamt hebben bevestigd dat deze Ierse autoriteit geen procedure heeft ingeleid met betrekking tot de door het Bundeskartellamt onderzochte praktijken.

De verwijzende rechter refereert met name aan de omstandigheid dat een gebruiker webpagina's of apps (zoals flirtingapps, datingapps voor homoseksuelen, websites van politieke partijen of gezondheidswebsites) raadpleegt en daar informatie invoert, waardoor door de betrokken bepaling beschermde gegevens worden gegenereerd.

Terloops wijs ik erop dat het Bundeskartellamt twijfelt aan de relevantie van deze vraag voor de beslechting van het geding, aangezien het in zijn besluit rekening heeft gehouden met toestemming in de zin van artikel 6, lid 1, onder a), AVG, en niet met toestemming in de zin van artikel 9, lid 2, onder a), van deze verordening.

Hierna: ‘gevoelige persoonsgegevens’. Het betreft de verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, alsmede de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gezondheidsgerelateerde gegevens of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

De verwijzende rechter refereert in dit verband aan sociale plug-ins zoals de knoppen ‘Vind ik leuk’ en ‘Delen’, aan ‘Facebook Login’ (te weten de mogelijkheid om zich te identificeren via de inloggegevens van het Facebookaccount) en aan ‘Account Kit’ (te weten de mogelijkheid om zich op een app of een website — die niet noodzakelijkerwijs aan Facebook is gekoppeld — te identificeren met een telefoonnummer of een e-mailadres, zonder dat daarvoor een wachtwoord nodig is).

Ik stel ook een belangrijk verschil vast tussen de Franse taalversie van de AVG, die in het begin van deze bepaling verwijst naar ‘[un] traitement des données à caractère personnel qui révèle [certaines situations sensibles]’ (een verwerking van persoonsgegevens waaruit bepaalde gevoelige situaties blijken; cursivering van mij), en de Duitse taalversie, alsook met name de Griekse en de Italiaanse taalversie, die verwijzen naar een verwerking van persoonsgegevens waaruit deze situaties blijken. Indien ik mij niet vergis, is de Franse taalversie van deze bepaling in tegenspraak met de meeste andere taalversies. In de context van deze bepaling lijkt het mij overigens logischer om de uitdrukking ‘blijken uit’ aan de gegevens te koppelen, aangezien in het vervolg van deze bepaling de gegevens, en niet de verwerking, het voorwerp zijn van de analyse. Dit kan eveneens worden opgemaakt uit de Franse tekst van overweging 51 AVG, waarin wordt gepreciseerd dat gevoelige persoonsgegevens ‘ook persoonsgegevens [dienen] te omvatten waaruit ras of etnische afkomst blijkt’ (cursivering van mij).

Naar mijn mening zou het niet stroken met de geest van artikel 9, lid 1, AVG (en de geest van deze verordening), volgens welke bepaalde gevoelige persoonsgegevens moeten worden beschermd, dat bijvoorbeeld een onderscheid wordt gemaakt tussen enerzijds ras of etnische afkomst, waarbij het verwerkingsverbod niet alleen voor gegevens die deze situatie rechtstreeks aangeven, maar ook voor gegevens waaruit deze situatie blijkt, zou gelden, en anderzijds genetische gegevens, waarbij het verwerkingsverbod zich niet zou uitstrekken tot gegevens waaruit deze situatie blijkt. Verder wijs ik erop dat het niet altijd gemakkelijk zou zijn om een onderscheid te maken tussen gegevens waaruit een bepaalde situatie (bijvoorbeeld ras of etnische afkomst) blijkt en gegevens over of met betrekking tot andere situaties (bijvoorbeeld de gezondheid). In dit verband merk ik op dat artikel 9, lid 1, AVG weliswaar onder meer verwijst naar ‘gegevens over gezondheid’, maar dat artikel 4, punt 15 van deze verordening ‘gegevens over gezondheid’ definieert als ‘persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven’ (cursivering van mij). Zoals de Duitse regering suggereert, is het mogelijk dat deze inconsequentie in de bewoordingen van de betrokken bepaling niet meer is dan een weinig succesvolle poging om een onderscheid te maken tussen zuivere gegevens met een directe informatieve inhoud en ‘metagegevens’, waarvoor slechts in een concrete context, nadat een toetsing is verricht of een verband is gelegd, een overeenkomstige informatieve inhoud verschijnt.

Zoals verzoekster in het hoofdgeding aanvoert, gaat het hier in beginsel om twee verschillende aspecten. Uit het enkele feit dat een gebruiker een website heeft bezocht of ermee heeft geïnterageerd, blijkt op zich immers niet noodzakelijkerwijs informatie over zijn geloofsovertuigingen, zijn gezondheid, zijn politieke opvattingen enzovoort, aangezien uit het feit dat iemand interesse toont voor een website niet automatisch blijkt dat hij het eens is met de op die site gepropageerde ideeën of dat hij deel uitmaakt van de door die site vertegenwoordigde groepen. Dit is met name het geval wanneer iemand een website van een politieke partij of een website die een bepaalde politieke ideologie uitdraagt, raadpleegt, waarbij deze raadpleging niet noodzakelijkerwijs inhoudt dat deze persoon deze ideologie deelt, maar mogelijk is verricht uit nieuwsgierigheid of zelfs vanuit een kritische houding tegenover deze ideologie.

Volgens Meta Platforms blijkt uit het feit dat een gebruiker een website heeft bezocht of ermee heeft geïnterageerd op zich geen gevoelige informatie, want zelfs indien er belangstelling voor een website werd vastgesteld of van deze informatie gebruik werd gemaakt, zou dit nog geen verwerking van gevoelige persoonsgegevens inhouden. Daarvan zou slechts sprake zijn indien de gebruikers via deze gegevens werden ingedeeld. Bijgevolg vallen de gegevens die het voorwerp van de litigieuze praktijk zijn, slechts onder de bescherming van artikel 9, lid 1, AVG, indien zij betrekking hebben op een van de daarin bedoelde categorieën en subjectief, welbewust en met de bedoeling om er deze categorieën van informatie uit af te leiden, worden verwerkt. Volgens de naar mijn mening te rigide uitlegging van het Bundeskartellamt daarentegen activeert het enkele feit dat de betrokkene een bepaalde webpagina raadpleegt of een bepaalde app gebruikt, waarvan het belangrijkste oogmerk onder de in artikel 9, lid 1, AVG opgesomde gebieden valt, reeds de bescherming van deze bepaling. De bescherming van gevoelige persoonsgegevens zou niet afhangen van het voornemen van de verwerkingsverantwoordelijke om dergelijke gegevens te gebruiken, aangezien de rechten van de betrokkene reeds zouden zijn aangetast doordat deze gegevens aan zijn invloedssfeer worden onttrokken.

Zoals het Europees Comité voor gegevensbescherming (EDPB) heeft erkend, betekent het enkele feit dat een aanbieder van sociale media grote hoeveelheden gegevens verwerkt die mogelijk kunnen worden gebruikt om er bijzondere categorieën van gegevens uit af te leiden, immers niet automatisch dat de verwerking onder artikel 9 AVG valt (zie EDPB-richtsnoeren 8/2020 van 13 april 2021 betreffende de targeting van gebruikers van sociale media (hierna: ‘EDPB-richtsnoeren 8/2020’), punt 124).

Door een dergelijke uitlegging kan volgens mij de door verzoekster in het hoofdgeding betreurde situatie worden vermeden, waarin de verwerkingsverantwoordelijke in wezen automatisch de AVG zou schenden omdat hij niet kan verhinderen dat mogelijk informatie wordt verkregen (met name via geautomatiseerde middelen) die indirect verband houdt met de categorieën van gevoelige gegevens, onverminderd de op de verwerkingsverantwoordelijke rustende verplichting om passende technische en organisatorische maatregelen ten uitvoer te leggen teneinde, overeenkomstig artikel 32 AVG, een op het risico afgestemd beveiligingsniveau te waarborgen.

Zie in die zin EDPB-richtsnoeren 8/2020, punt 125.

De verwijzende rechter vermeldt in dit verband de personalisatie van het online sociale netwerk en van advertenties, de veiligheid van het netwerk, de verbetering van diensten, het aanbieden van meet- en analysediensten voor adverteerders, het onderzoek in het maatschappelijk belang, het antwoorden op wettelijke verzoeken, de naleving van wettelijke verplichtingen, de bescherming van vitale belangen van gebruikers en van derden en de uitvoering van taken in het algemeen belang.

Zie naar analogie arrest van 21 december 2016, Tele2 Sverige en Watson e.a. (C-203/15 en C-698/15, EU:C:2016:970, punt 89 en aldaar aangehaalde rechtspraak), betreffende de uitlegging van artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), zoals gewijzigd door richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11).

Zie ook advies 6/2014, blz. 10 en 11, van de werkgroep ‘Artikel 29’, een onafhankelijk adviesorgaan dat is opgericht bij artikel 29 van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31), en sinds de vaststelling van de AVG is vervangen door het EDPB.

Deze voorwaarde komt volgens mij zeer dicht in de buurt van die van toestemming van de betrokkene.

Ik herinner eraan dat, krachtens artikel 5, lid 2, AVG, de bewijslast inzake de naleving van de AVG-regels bij de verwerking van persoonsgegevens, bij de verwerkingsverantwoordelijke ligt.

Voorts is het volgens mij niet zo vanzelfsprekend dat, hoewel een oplettende gebruiker zich er waarschijnlijk van bewust is dat zijn verbindingsgegevens toegankelijk zijn voor de beheerder van de betrokken website of app, hij eveneens beseft dat deze gegevens ook voor de beheerder van zijn Facebookaccount toegankelijk zijn.

De gebruiker is zich hooguit bewust van zijn ‘relatie’ met de beheerder van de site of app en met de derden aan wie deze beheerder deze informatie doorgeeft, maar het is evengoed mogelijk dat hij zich van deze relatie niet eens bewust is omdat hij, naargelang de omstandigheden, de indruk kan hebben dat hij informatie — die eventueel wordt geanonimiseerd — maar aan een apparaat prijsgeeft.

Het betreft knoppen zoals ‘Vind ik leuk’, ‘Delen’ enz. (zie voetnoot 39 van deze conclusie).

Zo biedt Facebook de gebruiker, via zijn voorkeuren, verschillende opties om de in zijn Facebookaccount beschikbare informatie te delen.

Weliswaar kan niet worden uitgesloten dat de gebruiker met deze handelingen in bepaalde gevallen daadwerkelijk informatie over zichzelf wil doorgeven aan een onbepaald aantal personen. De gebruiker kan bijvoorbeeld de opties voor delen op zijn Facebookaccount bewust zo hebben ingesteld dat inhoud op zijn profiel toegankelijk is voor alle gebruikers van dit sociale netwerk. Zelfs in dergelijke omstandigheden spreekt het echter niet voor zich dat de gebruiker door dit gedrag zonder enige twijfel blijk heeft willen geven van de bedoeling om de betrokken persoonsgegevens kennelijk openbaar te maken, gelet op het strikte karakter van de betrokken uitzondering (zie punt 42 van deze conclusie).

Zie in die zin arrest van 29 juli 2019, Fashion ID (C-40/17, EU:C:2019:629, punten 87–89).

Met name cookies (zie overweging 25 van richtlijn 2002/58).

Deze toestemming kan evenmin worden gelijkgesteld met een uitdrukkelijke toestemming voor de verwerking van deze gegevens in de zin van artikel 9, lid 2, onder a), AVG. Een toestemming voor profilering in de zin van artikel 22, lid 2, onder c), AVG, die zich uiteraard slechts tot verwerking met het oog op profilering uitstrekt, is evenmin relevant.

Wat de vijfde prejudiciële vraag betreft, heeft de verwijzende rechter in de litigieuze praktijk, naast het verzamelen van gegevens uit andere diensten van het concern en uit websites en apps van derden, het koppelen van deze gegevens aan het Facebookaccount van de gebruiker en het gebruik van deze gegevens (zie punt 10 van deze conclusie), ook ‘het gebruik van reeds op andere wijze rechtmatig verzamelde en [met het Facebookaccount van de gebruiker] verbonden gegevens’ opgenomen.

Artikel 6, lid 1, onder b), AVG.

Artikel 6, lid 1, onder f), AVG.

Artikel 6, lid 1, onder f), AVG.

Namelijk de minderjarigheid van de gebruiker, het aanbieden van diensten inzake meting en analyse en andere commerciële diensten, het verstrekken van marketingcommunicatie aan de gebruiker, onderzoek en innovatie in het maatschappelijk belang, het delen van informatie met wethandhavingsinstanties en het antwoorden op gerechtelijke verzoeken.

Artikel 6, lid 1, onder c), AVG.

Artikel 6, lid 1, onder d), AVG.

Artikel 6, lid 1, onder e), AVG.

De vierde prejudiciële vraag lijkt het Hof namelijk uit te nodigen om zich uit te spreken over de toepassing — veeleer dan over de uitlegging — van artikel 6, lid 1, onder f), AVG, en de vijfde prejudiciële vraag specificeert niet om welke reden de verwijzende rechter twijfels heeft omtrent de uitlegging van artikel 6, lid 1, onder c), d) en e), van deze verordening.

Zie EDPB-richtsnoeren 2/2019 van 8 oktober 2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen (hierna: ‘EDPB-richtsnoeren 2/2019’), punt 1.

In dit verband zijn partijen in het hoofdgeding het weliswaar in wezen eens over de premisse dat voor de toepassing van de betrokken rechtvaardigingsgronden een analyse per geval vereist is, maar verschillen zij van mening over de praktische gevolgen van deze premisse. Het Bundeskartellamt benadrukt dat het aan de verwerkingsverantwoordelijke staat om in detail vast te stellen welke gegevens concreet in welk gebruiksscenario zullen worden verwerkt, en voert met name aan dat verzoekster in het hoofdgeding slechts heeft verklaard dat de volledige verwerking van de uit bronnen buiten Facebook afkomstige gegevens noodzakelijk is voor elk van de doeleinden inzake gegevensverwerking die in de servicevoorwaarden worden genoemd. Meta Platforms Ireland is daarentegen van mening dat het Bundeskartellamt, zonder de bijzonderheden van elke verwerking te onderzoeken, niet kon uitsluiten dat de litigieuze praktijk op de betrokken rechtvaardigingsgronden kon worden gebaseerd en dus niet kon concluderen dat deze praktijk onverenigbaar was met de AVG.

De toestemming van de gebruiker is geregeld in artikel 6, lid 1, onder a), AVG.

In dit verband preciseren de EDPB-richtsnoeren 2/2019 in punt 16 met name dat de beginselen op het gebied van doelbinding (artikel 5, lid 1, onder b), AVG) en minimale gegevensverwerking (artikel 5, lid 1, onder c), RGPD) bijzonder relevant zijn in overeenkomsten voor onlinediensten — waarover in het algemeen niet afzonderlijk wordt onderhandeld — vanwege het acuut risico dat verwerkingsverantwoordelijken proberen bedingen op te nemen die ertoe strekken de mogelijke verzameling en het mogelijke gebruik van gegevens te maximaliseren, zonder dat deze doeleinden in voldoende mate worden gespecificeerd of rekening wordt gehouden met de verplichtingen op het gebied van minimale gegevensverwerking.

Volgens de EDPB-richtsnoeren 2/2019, punt 2, versterkt deze bepaling de vrijheid van ondernemerschap, die wordt gegarandeerd in artikel 16 van het Handvest, en is zij een afspiegeling van het feit dat contractuele verplichtingen jegens een betrokkene soms niet kunnen worden uitgevoerd zonder dat deze betrokkene bepaalde persoonsgegevens verstrekt. Ik wijs erop dat het tweede geval dat in deze bepaling is genoemd, betreffende de noodzakelijkheid van de verwerking om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen, in casu niet relevant is. Hetzelfde geldt voor de vraag of er sprake is van een geldige overeenkomst volgens het toepasselijke verbintenissenrecht en andere wettelijke voorschriften, waaronder die inzake consumentenovereenkomsten [zie met name richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB 1993, L 95, blz. 29)], waarop de prejudiciële verwijzing geen betrekking heeft.

Zie met betrekking tot de regel van artikel 6, lid 1, onder b), AVG, die is vastgesteld in artikel 7, onder e), van richtlijn 95/46, arrest van 16 december 2008, Huber (C-524/06, EU:C:2008:724, punt 52).

Bovendien kan — hoewel het enkele feit dat in een overeenkomst de verwerking van persoonsgegevens wordt vermeld of ernaar wordt verwezen, niet volstaat om de betrokken verwerking binnen de werkingssfeer van artikel 6, lid 1, onder b), AVG te doen vallen — de verwerking objectief gezien noodzakelijk zijn, ook als zij niet uitdrukkelijk in de overeenkomst is vermeld, onverminderd de transparantieverplichtingen van de verwerkingsverantwoordelijke (zie EDPB-richtsnoeren 2/2019, punt 27).

Zie EDPB-richtsnoeren 2/2019, punt 25.

Zie in die zin arrest van 9 november 2010, Volker und Markus Schecke en Eifert (C-92/09 en C-93/09, EU:C:2010:662, punt 86), en EDPB-richtsnoeren 2/2019, punt 25. In dit verband wordt er in de punten 27 tot en met 32 van deze richtsnoeren met name op gewezen dat de verwerking objectief gezien noodzakelijk moet zijn voor een doeleinde dat integrerend deel uitmaakt van de verrichting van die contractuele dienst ten behoeve van de betrokkene, waarbij de verwerkingsverantwoordelijke moet kunnen aantonen in welk opzicht het hoofddoel van de specifieke, met de betrokkene gesloten overeenkomst, bij gebreke van de specifieke verwerking van de betrokken persoonsgegevens, niet doeltreffend kan worden gerealiseerd. In punt 33 van deze richtsnoeren zijn dienaangaande richtinggevende vragen opgenomen.

Zie EDPB-richtsnoeren 2/2019, punt 32.

Zie EDPB-richtsnoeren 2/2019, punt 37.

In dit verband merkt de Oostenrijkse regering terecht op dat verzoekster in het hoofdgeding Facebookgebruikers voordien de mogelijkheid bood om te kiezen tussen een chronologische en een gepersonaliseerde weergave van de inhoud van het nieuwsoverzicht, hetgeen aantoont dat een alternatieve werkwijze mogelijk is.

Ik denk, onder voorbehoud van de beoordeling door de verwijzende rechter, niet dat het verzamelen en gebruiken van persoonsgegevens buiten Facebook noodzakelijk is voor het verrichten van de in het kader van het Facebookprofiel aangeboden diensten en dat de aanvankelijk gegeven toestemming voor toegang tot het sociale netwerk (namelijk het openen van een Facebookprofiel) tevens zou gelden voor de verwerking van persoonsgegevens van de gebruiker buiten Facebook. In een dergelijke situatie is het gebruik van de betrokken diensten immers afhankelijk van toestemming die niet noodzakelijk is voor de uitvoering van de overeenkomst, en zal de verwijzende rechter overeenkomstig artikel 7, lid 4, AVG, ten sterkste met deze omstandigheid rekening moeten houden (die volgens overweging 43 AVG een vermoeden van ongeldigheid van de toestemming vormt, dat de verwerkingsverantwoordelijke moet weerleggen in de zin van artikel 7, lid 1, AVG). Bovendien zou een dergelijke toestemming volgens mij ook niet in overeenstemming zijn met de regel dat voor verschillende persoonsgegevensverwerkingen afzonderlijk toestemming moet worden verleend (zie het derde deel van punt 74 van deze conclusie), aangezien niets de toestemming die de gebruiker initieel heeft verleend voor de opening van het Facebookaccount koppelt aan zijn eventuele toestemming voor de verwerking van persoonsgegevens buiten Facebook. Bovendien is het, zelfs in het geval dat later specifiek toestemming wordt verleend voor het gebruik van gegevens buiten Facebook, belangrijk om te onderzoeken of de verwerkingsverantwoordelijke de keuze biedt voor een gelijkwaardige dienst waarbij geen toestemming hoeft te worden verleend voor de verwerking van persoonsgegevens voor aanvullende doeleinden [zie EDPB-richtsnoeren 05/2020 van 4 mei 2020 inzake toestemming overeenkomstig verordening (EU) 2016/679 (hierna: ‘EDPB-richtsnoeren 05/2020’), punt 37, alsook punt 38 van deze richtsnoeren, waarin tevens wordt gepreciseerd dat de verwerkingsverantwoordelijke niet mag verwijzen naar een gelijkwaardige dienst die door een andere exploitant wordt verstrekt].

Zoals de Oostenrijkse regering opmerkt, lijkt het mij in dit verband beslissend te constateren dat de verschillende producten van het concern onafhankelijk van elkaar kunnen worden gebruikt en dat het gebruik van elke dienst op een afzonderlijke gebruiksovereenkomst is gebaseerd. Bovendien moet, zoals het Bundeskartellamt opmerkt, het consistente en probleemloze gebruik van de diensten van het concern niet zozeer als noodzakelijk voor de werking van deze diensten worden beschouwd, maar wel als een belang van de gebruiker, zodat het in beginsel passender lijkt om de gebruiker te laten kiezen.

Zie naar analogie arrest van 4 mei 2017, Rīgas satiksme (C-13/16, EU:C:2017:336, punt 28), betreffende de regel die overeenkomt met artikel 6, lid 1, onder f), AVG, en is genoemd in artikel 7, onder f), van richtlijn 95/46.

Zoals advocaat-generaal Bobek in zijn conclusie in de zaak Fashion ID (C-40/17, EU:C:2018:1039, punt 122) heeft opgemerkt, blijkt het begrip ‘gerechtvaardigd belang’ in het kader van richtlijn 95/46 tamelijk flexibel en open van aard. Zoals verzoekster in het hoofdgeding heeft aangevoerd, heeft het Hof verschillende belangen als gerechtvaardigd erkend [zie met name arresten van 13 mei 2014, Google Spain en Google (C-131/12, EU:C:2014:317, punt 81); 19 oktober 2016, Breyer (C-582/14, EU:C:2016:779, punt 55); 4 mei 2017, Rīgas satiksme (C-13/16, EU:C:2017:336, punt 29); 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens) (C-136/17, EU:C:2019:773, punt 53); 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C-708/18, EU:C:2019:1064, punt 59), en 17 juni 2021, M.I.C.M. (C-597/19, EU:C:2021:492, punten 108 en 109)]. Dezelfde conclusie moet volgens mij worden getrokken uit de AVG, waarvan overweging 47 onder meer, bij wijze van voorbeeld, de situatie vermeldt waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke, alsmede de verwerking van persoonsgegevens ter voorkoming van fraude of ten behoeve van direct marketing, en voor welke verwerking overweging 49 verwijst naar de netwerk- en informatiebeveiliging, de informatie en de aangeboden diensten.

Wat naar mijn mening inhoudt dat moet worden gepreciseerd welke verwerking op welk gerechtvaardigd belang is gebaseerd.

Zie arresten van 4 mei 2017, Rīgas satiksme (C-13/16, EU:C:2017:336, punt 30), en 17 juni 2021, M.I.C.M. (C-597/19, EU:C:2021:492, punt 110).

Zie in die zin arresten van 4 mei 2017, Rīgas satiksme (C-13/16, EU:C:2017:336, punt 28), en 17 juni 2021, M.I.C.M. (C-597/19, EU:C:2021:492, punt 106). Het Hof heeft er in dit verband aan herinnerd dat artikel 7, onder f), van richtlijn 95/46 [dat overeenkomt met artikel 6, lid 1, onder f), AVG] zich ertegen verzette dat een lidstaat voor bepaalde categorieën persoonsgegevens categorisch en generiek de mogelijkheid van verwerking uitsluit, zonder ruimte te bieden voor een afweging van de betrokken tegengestelde rechten en belangen in een concreet geval, en heeft gepreciseerd dat een lidstaat voor deze categorieën de uitkomst van de afweging van de tegengestelde rechten en belangen dan ook niet definitief mag vaststellen zonder ruimte te bieden voor een afwijkende uitkomst wegens de bijzondere omstandigheden van een concreet geval (arrest van 19 oktober 2016, Breyer, C-582/14, EU:C:2016:779, punt 62 en aldaar aangehaalde rechtspraak).

Advies 6/2014 van de werkgroep ‘Artikel 29’, punt III.3.4, bevat dienaangaande interessante overwegingen.

Volgens overweging 49 AVG vormt de verwerking van persoonsgegevens, voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging, immers een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. Het kan bijvoorbeeld gaan om het verhinderen van ongeoorloofde toegang tot elektronischecommunicatienetwerken en de verspreiding van kwaadaardige codes. Ik merk tevens op dat, overeenkomstig artikel 32 AVG, onder anderen de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om een op het risico afgestemd beveiligingsniveau te waarborgen, en dat overeenkomstig artikel 5, lid 1, onder f), van deze richtlijn persoonsgegevens op een dusdanige manier moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is.

Derhalve moet worden nagegaan in hoeverre de verwerking van persoonsgegevens die afkomstig zijn van buiten de Facebookwebsite of -app, noodzakelijk is voor de veiligheid van deze website of app. Hoewel de verwijzende rechter in dit verband refereert aan de mogelijkheid om WhatsApp-gegevens te gebruiken om spam tegen te gaan (waarbij informatie uit WhatsApp-accounts die spam verzenden, wordt gebruikt om op te treden tegen de overeenkomstige Facebookaccounts) en Instagramgegevens om dubieus of onrechtmatig gedrag vast te stellen, betwijfel ik of verzoekster in het hoofdgeding zich het recht kan toe-eigenen om persoonsgegevens te verwerken voor ‘politiedoeleinden’ in ruime zin, aangezien, volgens de rechtspraak van het Hof, op het (andere maar verwante) gebied van elektronische-communicatiegegevens, zelfs wetgevingsmaatregelen die preventief voorzien in de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens niet verenigbaar zijn met richtlijn 2002/58 [(zie arrest van 6 oktober 2020, La Quadrature du Net e.a. (C-511/18, C-512/18 en C-520/18, EU:C:2020:791, punt 168)]. Bovendien kan de verwerkingsverantwoordelijke, indien de noodzaak om de netwerkveiligheid te waarborgen onder een wettelijke verplichting valt, zich beroepen op de specifieke rechtvaardiging van artikel 6, lid 1, onder c), AVG.

Overeenkomstig artikel 6, lid 1, onder c), d) en e), AVG.

Zie punt 48 van deze conclusie.

Gelet op het brede scala aan legitieme belangen die in de rechtspraak worden erkend (zie punt 60 van deze conclusie). Het lijkt mij bijvoorbeeld in beginsel duidelijk dat de bescherming van minderjarigen de vaststelling van passende beschermingsmaatregelen kan rechtvaardigen, teneinde hun de toegang tot ongeschikte of gevaarlijke inhoud te ontzeggen.

Krachtens artikel 13, lid 1, onder c) en d), AVG staat het immers met name aan de verwerkingsverantwoordelijke om voor ieder verwerkingsdoeleinde op te geven welke gerechtvaardigde belangen door hemzelf of door derden worden nagestreefd.

In het arrest van 11 november 2020, Orange Romania (C-61/19, EU:C:2020:901, punten 35 en 36 en aldaar aangehaalde rechtspraak), heeft het Hof verduidelijkt dat de bewoordingen van artikel 4, punt 11, AVG, waarin een definitie wordt gegeven van de ‘toestemming van de betrokkene’, strikter lijken dan die van artikel 2, onder h), van richtlijn 95/46, aangezien volgens eerstgenoemde bewoordingen voor die toestemming een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige’ wilsuiting van de betrokkene is vereist, in de vorm van een verklaring of ‘een ondubbelzinnige actieve handeling’ die erop duidt dat hij de verwerking van hem betreffende persoonsgegevens aanvaardt.

Zoals het EDPB benadrukt, impliceert het adjectief ‘vrij’ dat de betrokkenen over werkelijke keuze en controle beschikken (zie EDPB-richtsnoeren 05/2020, punt 13). In hetzelfde punt wordt onder meer nader aangegeven dat de toestemming niet vrijelijk is verleend indien de betrokkene zich gedwongen voelt om toestemming te geven, daar het voor hem aanzienlijke negatieve gevolgen zal hebben als hij niet toestemt, of indien de toestemming wordt voorgesteld als een niet-onderhandelbaar onderdeel van de algemene voorwaarden. Derhalve zal de toestemming niet worden geacht vrijelijk te zijn verleend indien de betrokkene zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen te ondervinden. In dat geval moet de betrokkene, zoals verzoeksters in het hoofdgeding stellen, als enige nadeel aanvaarden dat de dienst mogelijkerwijs niet dezelfde functionaliteit of kwaliteit heeft, voor zover de gegevensverwerking waarvoor geen toestemming is verleend daarvoor technisch noodzakelijk was.

In dit verband vermelden de EDPB-richtsnoeren 05/2020 bedrog, intimidatie, dwang of aanzienlijke negatieve gevolgen indien de betrokkene weigert toestemming te verlenen, en wijzen zij erop dat het aan de verwerkingsverantwoordelijke staat om aan te tonen dat deze persoon over echte keuzevrijheid beschikt met betrekking tot het toekennen of intrekken van zijn toestemming (punt 47).

Naast de in overweging 43 AVG genoemde situaties inzake betrekkingen met overheidsinstanties en arbeidsverhoudingen, die in het onderhavige geval niet relevant zijn, vermeldt punt 24 van de EDPB-richtsnoeren 05/2020 met name situaties waarin de betrokkene geen werkelijke keuze heeft of waarin er sprake is van bedrog, intimidatie of dwang of de betrokkene aanzienlijke negatieve gevolgen (zoals aanzienlijke extra kosten) riskeert wanneer hij niet toestemt.

Deze vraag stemt gedeeltelijk overeen met die welke aan de orde is in het eerste deel van de derde prejudiciële vraag (zie de punten 53–57 van deze conclusie). In overweging 43, tweede volzin, AVG wordt gepreciseerd dat in een dergelijke situatie de toestemming wordt geacht niet vrijelijk te zijn verleend (volgens punt 26 van de EDPB-richtsnoeren 05/2020 verzekert de AVG zo dat de verwerking van persoonsgegevens waarvoor toestemming wordt gevraagd, niet direct of indirect de tegenprestatie voor een overeenkomst kan zijn), waarbij uit het gebruik van de term ‘geacht’ duidelijk blijkt dat de toestemming slechts zeer uitzonderlijk geldig zal zijn (zie punt 35 van deze richtsnoeren). Voorts is artikel 7, lid 4, AVG, door het gebruik van de term ‘onder meer’, niet-uitputtend geformuleerd, hetgeen betekent dat deze bepaling van toepassing kan zijn op een aantal andere situaties, waarin bijvoorbeeld sprake is van ongepaste druk of invloed op de betrokkene, waardoor hij zijn vrije wil niet kan uitoefenen (EDPB-richtsnoeren 05/2020, punt 14).

In overweging 39 AVG wordt met name verduidelijkt dat de verleende toestemming moet gelden voor alle verwerkingsactiviteiten met dezelfde doeleinden, en dat, wanneer de verwerking verschillende doeleinden heeft, toestemming moet worden gegeven voor al deze doeleinden. In dit verband verwijzen de EDPB-richtsnoeren 05/2020 naar de ‘granulariteit’ van de toestemming als belemmering voor de vrijheid inzake het verlenen ervan (punt 44).

Een dergelijke situatie werkt onder meer in de hand dat voorwaarden worden opgelegd die niet noodzakelijk zijn voor de uitvoering van de overeenkomst (zie de punten 53–57 van deze conclusie).

Met andere woorden, zoals de Commissie opmerkt, kan het relatieve niveau van marktmacht van de betrokken onderneming dat beslissend is voor de geldigheid van de toestemming krachtens de AVG, niet noodzakelijkerwijs worden gelijkgesteld met de drempel voor een machtspositie op de markt in de zin van artikel 102 VWEU.

Weliswaar staat het bestaan van een machtspositie uiteraard op zich niet eraan in de weg dat vrije toestemming kan worden gegeven voor de verwerking van persoonsgegevens, maar het ontbreken van een dergelijke positie volstaat op zich niet om in alle omstandigheden te waarborgen dat een dergelijke toestemming rechtsgeldig wordt gegeven.