-A +A

Recht om niet via Google gevonden te worden

Printervriendelijke versiePrintervriendelijke versieVerstuur naar een vriendVerstuur naar een vriend
Instantie: Hof van Justitie
Datum van de uitspraak: 
maa, 12/05/2014
A.R.: 
C‑131/12

Recht om door Google vergeten te worden

Het Google mijlpaalarrest van 12 mei 2014 verschaft het recht om onder bepaalde voorwaarden van Google te eisen dat links naar bepaalde webpagina's te verwijderen uit specifieke zoekopdrachten.

Let wel, de pagina's zelf verdwijnen hierdoor niet en deze pagina's zullen hierna nog steeds via andere zoekresultaten kunnen gevonden worden.

wettelijke bron Richlijn 95/46/EG die het recht op privéleven garandeert bij de verwerking van privégegevens.

Dit recht op vergetelheid wringt met het recht op vrijheid van meningsuiting, waarbij te dezen het recht op privacy door het Hof hoger werd geacht.

Publicatie
In bibliotheek?: 
Dit item is beschikbaar in de bibliotheek van advocatenkantoor Elfri De Neve

ARREST VAN HET HOF (Grote kamer)

13 mei 2014 (*)

„Persoonsgegevens – Bescherming van natuurlijke personen in verband met verwerking van deze persoonsgegevens – Richtlijn 95/46/EG – Artikelen 2, 4, 12 en 14 – Materiële en territoriale werkingssfeer – Internetzoekmachines – Verwerking van op websites te vinden gegevens – Opzoeking, indexering en opslag van deze gegevens – Verantwoordelijkheid van exploitant van zoekmachine – Vestiging op grondgebied van lidstaat – Omvang van verplichtingen van deze exploitant en van rechten van betrokkene – Handvest van de grondrechten van de Europese Unie – Artikelen 7 en 8”

In zaak C‑131/12,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Audiencia Nacional (Spanje) bij beslissing van 27 februari 2012, ingekomen bij het Hof op 9 maart 2012, in de procedure

Google Spain SL,

Google Inc.

tegen

Agencia Española de Protección de Datos (AEPD),

Mario Costeja González,

wijst

HET HOF (Grote kamer),

samengesteld als volgt: V. Skouris, president, K. Lenaerts, vicepresident, M. Ilešič (rapporteur), L. Bay Larsen, T. von Danwitz, M. Safjan, kamerpresidenten, J. Malenovský, E. Levits, A. Ó Caoimh, A. Arabadjiev, M. Berger, A. Prechal en E. Jarašiūnas, rechters,

advocaat-generaal: N. Jääskinen,

griffier: M. Ferreira, hoofdadministrateur,

gezien de stukken en na de terechtzitting op 26 februari 2013,

gelet op de opmerkingen van:

– Google Spain SL en Google Inc., vertegenwoordigd door F. González Díaz, J. Baño Fos en B. Holles, abogados,

– Costeja González, vertegenwoordigd door J. Muñoz Rodríguez, abogado,

– de Spaanse regering, vertegenwoordigd door A. Rubio González als gemachtigde,

– de Griekse regering, vertegenwoordigd door E.‑M. Mamouna en K. Boskovits als gemachtigden,

– de Italiaanse regering, vertegenwoordigd door G. Palmieri als gemachtigde, bijgestaan door P. Gentili, avvocato dello Stato,

– de Oostenrijkse regering, vertegenwoordigd door G. Kunnert en C. Pesendorfer als gemachtigden,

– de Poolse regering, vertegenwoordigd door B. Majczyna en M. Szpunar als gemachtigden,

– de Europese Commissie, vertegenwoordigd door I. Martínez del Peral en B. Martenczuk als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 25 juni 2013,

het navolgende

Arrest

1 Het verzoek om een prejudiciële beslissing betreft de uitlegging van de artikelen 2, sub b en d, 4, lid 1, sub a en c, 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31) en van artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”).

2 Dit verzoek is ingediend in het kader van een geding tussen enerzijds Google Spain SL (hierna: „Google Spain”) en Google Inc. en anderzijds het Agencia Española de Protección de Datos (agentschap voor de gegevensbescherming; hierna: „AEPD”) en M. Costeja González, betreffende een besluit van dit agentschap waarbij gevolg is gegeven aan de door Costeja González tegen deze twee vennootschappen ingediende klacht en waarbij Google Inc. is gelast de nodige maatregelen te nemen om de persoonsgegevens betreffende Costeja González uit zijn index te verwijderen en voor de toekomst de toegang tot deze gegevens te verhinderen.

Toepasselijke bepalingen

Recht van de Unie

3 Richtlijn 95/46, die volgens artikel 1 ervan tot doel heeft in verband met de verwerking van persoonsgegevens de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer, te waarborgen alsmede de belemmeringen voor het vrije verkeer van die gegevens op te heffen, vermeldt in de punten 2, 10, 18 tot en met 20 en 25 van de considerans ervan het volgende:

„(2) Overwegende dat de systemen voor de verwerking van gegevens ten dienste van de mens staan; dat zij de fundamentele rechten en vrijheden en inzonderheid de persoonlijke levenssfeer van natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, moeten eerbiedigen en tot [...] het welzijn van de individuen moeten bijdragen;

[...]

(10) Overwegende dat met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het [op 4 november 1950 te Rome ondertekende] Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de algemene beginselen van het Gemeenschapsrecht is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen;

[...]

(18) Overwegende dat om te voorkomen dat een persoon wordt uitgesloten van de bescherming waarop hij krachtens deze richtlijn recht heeft, alle verwerkingen van persoonsgegevens in de Gemeenschap moeten worden uitgevoerd overeenkomstig de wetgeving van een van de lidstaten; dat in dit verband de verwerking die wordt uitgevoerd door een persoon namens een voor de verwerking verantwoordelijke die in een lidstaat is gevestigd, door het recht van die Staat dient te worden geregeld;

(19) Overwegende dat de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt; dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is; dat, wanneer een en dezelfde voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene lidstaten, met name door middel van een dochteronderneming, hij dient te waarborgen, in het bijzonder om elke vorm van wetsontduiking te voorkomen, dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt;

(20) Overwegende dat de vestiging in een derde land van de voor de verwerking verantwoordelijke de bescherming van personen waarin de onderhavige richtlijn voorziet, niet in de weg mag staan; dat in dit geval de verwerking moet worden geregeld door het recht van de lidstaat waarin de gebruikte middelen zich bevinden, en dat gewaarborgd moet worden dat de rechten en verplichtingen waarin de onderhavige richtlijn voorziet, in de praktijk worden geëerbiedigd;

[...]

(25) Overwegende dat de beginselen van de bescherming enerzijds tot uiting moeten komen in de verplichtingen die aan de personen [...] die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens, de technische beveiliging, de aanmelding bij de toezichthoudende autoriteit en de omstandigheden waarin de verwerking kan worden uitgevoerd, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten.”

4 Artikel 2 van richtlijn 95/46 bepaalt dat „[i]n de zin van deze richtlijn wordt verstaan onder:

a) ‚persoonsgegevens’, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ‚betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;

b) ‚verwerking van persoonsgegevens’, hierna ‚verwerking’ te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

[...]

d) ‚voor de verwerking verantwoordelijke’, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij nationale of communautaire wettelijke of bestuursrechtelijke bepalingen, kan in het nationale of communautaire recht worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

[...]”

5 Artikel 3 van die richtlijn, „Werkingssfeer”, bepaalt in lid 1 ervan:

„De bepalingen van deze richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

6 Artikel 4 van diezelfde richtlijn, „Toepasselijk nationaal recht”, luidt als volgt:

„1. Elke lidstaat past zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien:

a) die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke; wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene lidstaten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving;

b) de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de lidstaat, maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is;

c) de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde lidstaat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

2. In de in lid 1, sub c, bedoelde omstandigheden moet de voor de verwerking verantwoordelijke een op het grondgebied van de betrokken lidstaat gevestigde vertegenwoordiger aanwijzen, onverminderd rechtsvorderingen die tegen de voor de verwerking verantwoordelijke zelf kunnen worden ingesteld.”

7 In hoofdstuk II, afdeling I, „Beginselen betreffende de kwaliteit van de gegevens”, van richtlijn 95/46, bepaalt artikel 6 van die richtlijn het volgende:

„1. De lidstaten bepalen dat de persoonsgegevens:

a) eerlijk en rechtmatig moeten worden verwerkt;

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze de onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de lidstaten passende garanties bieden;

c) toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;

d) nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren;

e) in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De lidstaten voorzien in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische, statistische of wetenschappelijke doeleinden worden bewaard.

2. Op de voor de verwerking verantwoordelijke rust de plicht om voor de naleving van het bepaalde in lid 1 zorg te dragen.”

8 In hoofdstuk II, afdeling II, van richtlijn 95/46, „Beginselen betreffende de toelaatbaarheid van gegevensverwerking”, bepaalt artikel 7 van die richtlijn het volgende:

„De lidstaten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:

[...]

f) de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren.”

9 Artikel 9 van deze richtlijn, „Verwerking van persoonsgegevens en vrijheid van meningsuiting”, luidt als volgt:

„De lidstaten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van dit hoofdstuk en van de hoofdstukken IV en VI uitsluitend voor zover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting.”

10 Artikel 12 van diezelfde richtlijn, „Recht van toegang”, bepaalt:

„De lidstaten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen:

[...]

b) naargelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens;

[...]”

11 Artikel 14 van richtlijn 95/46, „Recht van verzet van de betrokkene”, luidt als volgt:

„De lidstaten kennen de betrokkene het recht toe:

a) zich ten minste in de gevallen, bedoeld in artikel 7, sub e en f, te allen tijde om zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. In geval van gerechtvaardigd verzet mag de door de voor de verwerking verantwoordelijke persoon verrichte verwerking niet langer op deze gegevens betrekking hebben;

[...]”

12 Artikel 28 van deze richtlijn, „Toezichthoudende overheid”, luidt als volgt:

„1. Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen.

[...]

3. Elke toezichthoudende autoriteit beschikt met name over:

– onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

– effectieve bevoegdheden om in te grijpen, zoals [...] de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden [...];

– [...]

Tegen beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden aangetekend.

4. Een ieder kan in eigen persoon of door middel van een vereniging die als zijn vertegenwoordiger optreedt bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld.

[...]

6. Elke toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, op het grondgebied van haar eigen lidstaat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen. Elke autoriteit kan door een autoriteit van een andere lidstaat worden verzocht haar bevoegdheden uit te oefenen.

De toezichthoudende autoriteiten werken onderling samen voor zover zulks noodzakelijk is voor de uitvoering van hun taken, met name door de uitwisseling van alle nuttige inlichtingen.

[...]”

Spaans recht

13 Richtlijn 95/46 is omgezet in Spaans recht bij de organieke wet nr. 15/1999 van 13 december 1999 betreffende de bescherming van persoonsgegevens (BOE nr. 298 van 14 december 1999, blz. 43088).

Hoofdgeding en prejudiciële vragen

14 Op 5 maart 2010 heeft Costeja González, Spaans onderdaan en wonende te Spanje, bij de AEPD een klacht ingediend tegen La Vanguardia Ediciones SL, uitgeefster van een dagblad met grote oplage in met name Catalonië (Spanje) (hierna: „La Vanguardia”) en tegen Google Spain en Google Inc. Deze klacht was gebaseerd op de omstandigheid dat wanneer een internetgebruiker Costeja González’ naam ingaf in de zoekmachine van het Googleconcern (hierna: „Google Search”), er koppelingen verschenen naar twee pagina’s van het dagblad La Vanguardia van respectievelijk 19 januari en 9 maart 1998, met daarin een aankondiging met de naam van Costeja González betreffende een verkoop per opbod van gebouwen in het kader van een beslag ter terugvordering van socialezekerheidsschulden.

15 Met deze klacht verzocht Costeja González de AEPD ten eerste La Vanguardia te gelasten hetzij deze pagina’s te verwijderen of zodanig te wijzigen dat zijn persoonsgegevens niet langer werden getoond, hetzij deze gegevens te beschermen via bepaalde door de zoekmachines geboden instrumenten. Ten tweede verzocht hij de AEPD Google Spain of Google Inc. te gelasten zijn persoonsgegevens te verwijderen of te maskeren, zodat deze niet meer in de zoekresultaten en in de koppelingen van La Vanguardia zouden verschijnen. Costeja González heeft in dit verband gesteld dat het ten aanzien van hem toegepaste beslag sedert meerdere jaren volledig was afgehandeld en dat de vermelding ervan inmiddels elke relevantie had verloren.

16 Bij beslissing van 30 juli 2010 heeft de AEPD dit verzoek afgewezen voor zover het La Vanguardia betrof, waarbij de AEPD heeft geoordeeld dat de publicatie van de betrokken informatie door La Vanguardia een wettelijke grondslag had aangezien zij op last van de minister van Arbeid en Sociale Zaken had plaatsgevonden en ertoe strekte aan de openbare verkoop een maximale publiciteit te geven om zoveel mogelijk bieders aan te trekken.

17 Daarentegen is dezelfde klacht gegrond verklaard voor zover zij tegen Google Spain en Google Inc. was ingesteld. De AEPD heeft geoordeeld dat de exploitanten van zoekmachines onder de wetgeving betreffende de bescherming van persoonsgegevens vallen daar zij persoonsgegevens verwerken waarvoor zij verantwoordelijk zijn en zij optreden als tussenpersoon in de informatiemaatschappij. Volgens haar kan zij de verwijdering van gegevens gelasten en exploitanten van zoekmachines de toegang tot bepaalde gegevens ontzeggen wanneer zij van mening is dat de lokalisatie en de verspreiding ervan kunnen leiden tot een aantasting van het grondrecht op gegevensbescherming en van de waardigheid van personen in ruime zin, wat tevens de eenvoudige wens van de betrokkene omvat dat derden deze gegevens niet kennen. De AEPD heeft geoordeeld dat deze verplichting rechtstreeks voor exploitanten van zoekmachines kan gelden, waarbij het niet noodzakelijk is dat de gegevens of de informatie worden verwijderd van de website waarop zij zijn geplaatst, met name niet wanneer het behoud van deze informatie op deze site een wettelijke grondslag heeft.

18 Google Spain en Google Inc. hebben tegen deze beslissing afzonderlijk beroep ingesteld bij de Audiencia Nacional, die deze twee beroepen heeft gevoegd.

19 In haar verwijzingsbeslissing zet deze rechterlijke instantie uiteen dat deze beroepen de vraag doen rijzen naar de plichten van exploitanten van zoekmachines inzake de bescherming van persoonsgegevens van betrokken personen, die niet wensen dat bepaalde informatie, die door derden op het internet is gepubliceerd en die hun persoonsgegevens bevat op basis waarvan deze informatie met deze personen in verband kan worden gebracht, oneindig wordt gelokaliseerd, geïndexeerd en ter beschikking van internetgebruikers wordt gesteld. Het antwoord op deze vraag hangt af van de wijze waarop richtlijn 95/46 moet worden uitgelegd in de context van deze technologieën, die na de publicatie van deze richtlijn hun intrede hebben gedaan.

20 Daarop heeft de Audiencia Nacional de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1) Met betrekking tot de territoriale werkingssfeer van richtlijn [95/46] en bijgevolg van de Spaanse wetgeving inzake gegevensbescherming:

a) Moet worden aangenomen dat er sprake is van ,vestiging’ in de zin van artikel 4, lid 1, sub a, van [richtlijn 95/46] in een of meerdere van de volgende gevallen:

– wanneer de exploitant van een zoekmachine in een lidstaat een bijkantoor of dochteronderneming opricht ten behoeve van de promotie en verkoop van door deze zoekmachine aangeboden advertentieruimte en waarvan de activiteiten op de inwoners van die lidstaat zijn gericht;

of

– wanneer de moedermaatschappij een dochteronderneming in die lidstaat aanwijst als haar vertegenwoordigster en verantwoordelijke voor de verwerking van twee concrete bestanden met de gegevens van de klanten die reclameovereenkomsten met die onderneming hebben gesloten,

of

– wanneer het bijkantoor of de dochteronderneming gevestigd in een lidstaat, klachten en sommaties van zowel betrokkenen als de bevoegde autoriteiten betreffende de handhaving van het recht van gegevensbescherming doorzendt aan de moedermaatschappij, die buiten de Europese Unie is gevestigd, zelfs wanneer die samenwerking vrijwillig is?

b) Moet artikel 4, lid 1, sub c, van [richtlijn 95/46] aldus worden uitgelegd dat er sprake is van ,gebruikmaking van middelen die zich op het grondgebied van genoemde lidstaat bevinden’,

– wanneer een zoekmachine gebruik maakt van spiders of robots voor het lokaliseren en indexeren van gegevens op internetpagina’s die zich op servers in die lidstaat bevinden, of

– wanneer deze een bij die lidstaat behorende domeinnaam gebruikt en de zoekopdrachten en resultaten stuurt aan de hand van de taal van die lidstaat?

c) Kan de tijdelijke opslag van de door internetzoekmachines geïndexeerde informatie worden aangemerkt als gebruikmaking van middelen in de zin van artikel 4, lid 1, sub c, van [richtlijn 95/46]? Zo ja, kan dit aanknopingscriterium dan als vervuld worden beschouwd wanneer de onderneming op grond van concurrentieoverwegingen weigert de plaats aan te geven waar zij deze indexen opslaat?

d) Los van het antwoord op de voorgaande vragen en met name voor het geval dat het Hof meent dat niet is voldaan aan de aanknopingscriteria van artikel 4 van [...] richtlijn [95/46]:

Moet [richtlijn 95/46], in het licht van artikel 8 van het [Handvest], worden toegepast in de lidstaat waar zich het zwaartepunt van het geschil bevindt en waar een meer doeltreffend toezicht op de rechten van de burgers van de [...] Unie mogelijk is?

2) In verband met de activiteit van de zoekmachines als leveranciers van content met betrekking tot [richtlijn 95/46]:

a) wat de activiteit van [Google Search], als leverancier van content, betreft, bestaande in het vinden van door derden op internet gepubliceerde of opgeslagen informatie, het automatisch indexeren ervan, het tijdelijk opslaan ervan en ten slotte het ter beschikking stellen ervan aan internetgebruikers in een bepaalde volgorde, wanneer die informatie persoonsgegevens van derden bevat, moet een activiteit als hierboven omschreven worden geacht te vallen onder het begrip ‚verwerking van persoonsgegevens’ in artikel 2, sub b, van [richtlijn 95/46]?

b) Indien het antwoord op de voorgaande vraag bevestigend luidt, en nog steeds in verband met een activiteit als boven omschreven:

Moet artikel 2, sub d, van [richtlijn 95/46] aldus worden uitgelegd dat de onderneming die [Google Search] exploiteert, de ,voor de verwerking verantwoordelijke’ is met betrekking tot de persoonsgegevens op de internetpagina’s die zij indexeert?

c) Indien het antwoord op de voorgaande vraag bevestigend luidt:

Kan de [AEPD] ter bescherming van de rechten van de artikelen 12, sub b, en 14, [eerste alinea], sub a, van [richtlijn 95/46] zich rechtstreeks tot [Google Search] richten en verlangen dat zij door derden gepubliceerde gegevens uit haar indexen verwijdert, zonder zich eerst of tegelijkertijd te wenden tot de houder van de internetpagina waarop zich die informatie bevindt?

d) Indien het antwoord op deze laatste vraag bevestigend luidt:

Vervalt de verplichting van de exploitant van de zoekmachine om deze rechten te beschermen wanneer de informatie waarin de persoonsgegevens zijn opgenomen, door derden rechtmatig is gepubliceerd en op de oorspronkelijke internetpagina gehandhaafd blijft?

3) Met betrekking tot de omvang van het recht op verwijdering en/of het recht op verzet tegen de verwerking van de gegevens betreffende de betrokkene, in het kader van het recht te worden vergeten, wordt de volgende vraag voorgelegd:

Moet het in artikel 12, sub b, van [richtlijn 95/46] bedoelde recht op uitwissing en afscherming van persoonsgegevens en het in artikel 14, [eerste alinea], sub a, van [richtlijn 95/46] bedoelde recht van verzet tegen de verwerking ervan aldus worden uitgelegd dat de betrokkene zich tot de exploitant van de zoekmachine kan wenden teneinde de indexering van zijn persoon betreffende informatie te verhinderen die op internetpagina’s van derden zijn gepubliceerd, daarbij als zijn wens te kennen gevend dat deze informatie niet bekend wordt bij internetgebruikers wanneer deze hem naar zijn mening schade kan berokkenen, of vergeten wordt, hoewel het om door derden rechtmatig gepubliceerde informatie gaat?”

Beantwoording van de prejudiciële vragen

Tweede vraag, sub a en b, betreffende de materiële werkingssfeer van richtlijn 95/46

21 Met zijn tweede vraag, sub a en b, die allereerst moet worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 2, sub b, van richtlijn 95/46 aldus moet worden uitgelegd dat de activiteit van een content aanleverende zoekmachine, die erin bestaat door derden op internet gepubliceerde of opgeslagen informatie te vinden, automatisch te indexeren, tijdelijk op te slaan en, ten slotte, in een bepaalde volgorde ter beschikking te stellen aan internetgebruikers, moet worden gekwalificeerd als „verwerking van persoonsgegevens” in de zin van deze bepaling, wanneer die informatie persoonsgegevens bevat. Bij een bevestigend antwoord wenst de verwijzende rechter bovendien te vernemen of dit artikel 2, sub d, aldus moet worden uitgelegd dat de exploitant van een zoekmachine moet worden geacht de „verantwoordelijke” te zijn voor de verwerking van persoonsgegevens, in de zin van deze bepaling.

22 Volgens Google Spain en Google Inc. kan de activiteit van zoekmachines niet worden geacht een verwerking te vormen van de gegevens die zijn gepubliceerd op de webpagina’s van derden die in de zoekresultatenlijst worden weergegeven, daar deze zoekmachines de via het internet toegankelijke informatie in hun geheel behandelen zonder daarbij een onderscheid te maken tussen persoonsgegevens en andere informatie. Bovendien kan de exploitant van een zoekmachine, gesteld al dat deze activiteit als „verwerking van gegevens” moet worden gekwalificeerd, niet worden geacht de „verantwoordelijke” voor deze verwerking te zijn daar hij deze gegevens niet kent en niet controleert.

23 Daarentegen zijn Costeja González, de Spaanse, de Italiaanse, de Oostenrijkse en de Poolse regering en de Europese Commissie van mening dat deze activiteit duidelijk een „verwerking van gegevens” behelst in de zin van richtlijn 95/46, die verschilt van de gegevensverwerking door webredacteurs en in vergelijking daarmee andere doelstellingen nastreeft. De exploitant van een zoekmachine is „verantwoordelijk” voor de door hem verrichte gegevensverwerking aangezien hij het doel van en de middelen voor deze verwerking vaststelt.

24 Volgens de Griekse regering vormt de betrokken activiteit een dergelijke „verwerking”, maar kunnen de bedrijven die deze machines exploiteren – voor zover de zoekmachines louter als medium fungeren – niet worden geacht „verantwoordelijken” te zijn, tenzij zij langer dan technisch noodzakelijk is gegevens in een „tijdelijk” of „cachegeheugen” opslaan.

25 In dit verband moet worden opgemerkt dat artikel 2, sub b, van richtlijn 95/46 de „verwerking van persoonsgegevens” omschrijft als „elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.

26 Aangaande in het bijzonder het internet, heeft het Hof reeds geoordeeld dat het plaatsen van persoonsgegevens op een internetpagina als een dergelijke „verwerking” in de zin van artikel 2, sub b, van richtlijn 95/46 moet worden aangemerkt (zie arrest Lindqvist, C‑101/01, EU:C:2003:596, punt 25).

27 Aangaande de in het hoofdgeding aan de orde zijnde activiteit, wordt niet betwist dat de door de zoekmachines gevonden, geïndexeerde, bewaarde en aan de gebruikers ervan ter beschikking gestelde gegevens tevens gegevens bevatten over geïdentificeerde of identificeerbare natuurlijke personen en dus „persoonsgegevens” in de zin van artikel 2, sub a, van deze richtlijn.

28 Bijgevolg moet worden vastgesteld dat door geautomatiseerd, onophoudelijk en systematisch op het internet te zoeken naar aldaar gepubliceerde informatie, de exploitant van een zoekmachine dergelijke gegevens „verzamelt”, die hij vervolgens via zijn indexeringsprogramma’s „opvraagt”, „vastlegt” en „ordent”, op zijn servers „bewaart” en, in voorkomend geval, „verstrekt aan” en „ter beschikking stelt van” zijn gebruikers in de vorm van resultatenlijsten van hun zoekopdrachten. Aangezien deze verrichtingen uitdrukkelijk en onvoorwaardelijk door artikel 2, sub b, van richtlijn 95/46 worden beoogd, moeten zij als „verwerking” in de zin van deze bepaling worden gekwalificeerd, zonder dat het daarbij van belang is dat de exploitant van de zoekmachine dezelfde verrichtingen tevens op andere soorten informatie toepast en daarbij geen onderscheid maakt tussen deze informatie en de persoonsgegevens.

29 Aan de voorgaande vaststelling wordt evenmin afgedaan door de omstandigheid dat deze gegevens reeds op het internet zijn gepubliceerd en niet door deze zoekmachine zijn gewijzigd.

30 Zo heeft het Hof reeds geoordeeld dat ook wanneer de door artikel 2, sub b, van richtlijn 95/46 beoogde verrichtingen uitsluitend betrekking hebben op informatie die reeds ongewijzigd in de media is gepubliceerd, zij als een dergelijke verwerking moeten worden gekwalificeerd. Het Hof heeft in dit verband immers opgemerkt dat bij een algemene afwijking van de toepassing van richtlijn 95/46 in een dergelijke hypothese deze richtlijn grotendeels zinloos zou worden (zie in die zin arrest Satakunnan Markkinapörssi en Satamedia, C‑73/07, EU:C:2008:727, punten 48 en 49).

31 Bovendien vloeit uit de omschrijving in artikel 2, sub b, van richtlijn 95/46 voort dat, hoewel de wijziging van persoonsgegevens ongetwijfeld een verwerking ervan vormt in de zin van die bepaling, voor de andere in die bepaling vermelde verrichtingen daarentegen geenszins is vereist dat deze gegevens worden gewijzigd.

32 Aangaande de vraag of de exploitant van een zoekmachine al dan niet moet worden geacht de „verantwoordelijke” te zijn voor de door deze zoekmachine verrichte „verwerking” van persoonsgegevens in het kader van een activiteit als aan de orde in het hoofdgeding, moet in herinnering worden gebracht dat artikel 2, sub d, van richtlijn 95/46 deze verantwoordelijke omschrijft als „de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.

33 Het is de exploitant van de zoekmachine die het doel van en de middelen voor deze activiteit vaststelt en dus van de door hem zelf in dat kader verrichte verwerking van persoonsgegevens, zodat hij krachtens dat artikel 2, sub d, moet worden geacht de „verantwoordelijke” voor deze verwerking te zijn.

34 Overigens moet worden vastgesteld dat het niet enkel in strijd zou zijn met de duidelijke bewoordingen, maar tevens met de doelstelling van deze bepaling, die erin bestaat een doeltreffende en volledige bescherming van de betrokkenen te verzekeren via een ruime omschrijving van het begrip „verantwoordelijke”, indien de exploitant van een zoekmachine van die omschrijving zou worden uitgesloten omdat hij geen controle uitoefent over de op webpagina’s van derden gepubliceerde persoonsgegevens.

35 In dit verband moet worden benadrukt dat de in het kader van de activiteit van een zoekmachine verrichte verwerking van persoonsgegevens verschilt van de door webredacteurs verrichte verwerking van persoonsgegevens, die erin bestaat deze gegevens op een webpagina te plaatsen, en bovenop deze laatstgenoemde verwerking komt.

36 Bovendien staat vast dat deze activiteit van zoekmachines een beslissende rol speelt bij de wereldwijde verspreiding van deze gegevens, doordat zij deze toegankelijk maakt voor elke internetgebruiker die op de naam van de betrokkene zoekt, daaronder begrepen de internetgebruikers die anders de webpagina waarop diezelfde gegevens zijn gepubliceerd niet hadden gevonden.

37 Verder kan de door de zoekmachines verrichte ordening en samenvoeging van de op het internet gepubliceerde informatie, teneinde de gebruikers van deze machines gemakkelijker toegang tot deze informatie te verschaffen, ertoe leiden dat, wanneer deze gebruikers op de naam van een natuurlijke persoon zoeken, zij via de resultatenlijst een gestructureerd overzicht krijgen van de over deze persoon op het internet vindbare informatie, waardoor zij een min of meer gedetailleerd profiel van de betrokkene kunnen opstellen.

38 Aangezien de activiteit van een zoekmachine de grondrechten op privéleven en op bescherming van persoonsgegevens dus aanzienlijk kan aantasten, bovenop de aantasting daarvan door de activiteit van de webredacteurs, moet de exploitant van deze machine – als persoon die het doel van en de middelen voor deze activiteit vaststelt – in het kader van zijn verantwoordelijkheden, zijn bevoegdheden en zijn mogelijkheden verzekeren dat deze activiteit voldoet aan de vereisten van richtlijn 95/46, opdat de daarin vervatte waarborgen hun volle werking kunnen krijgen en een doelmatige en volledige bescherming van de betrokkenen, en met name van de eerbiediging van hun recht op privéleven, daadwerkelijk tot stand kan worden gebracht.

39 Tot slot betekent de omstandigheid dat de webredacteurs via met name uitsluitingsprotocollen, zoals „robot.txt” of codes zoals „noindex” of „noarchive”, de exploitanten van zoekmachines ervan op de hoogte kunnen brengen dat zij wensen dat bepaalde op hun site gepubliceerde informatie geheel of gedeeltelijk van de automatische indexen van deze machines wordt uitgesloten, niet dat het ontbreken van een dergelijke aanduiding door deze redacteuren de exploitant van een zoekmachine bevrijdt van zijn verantwoordelijkheid voor de in het kader van de activiteit van deze machine door hem verrichte verwerking van persoonsgegevens.

40 Deze omstandigheid doet immers niet af aan het feit dat het doel van en de middelen voor deze verwerking door deze exploitant worden vastgesteld. Bovendien doet, gesteld al dat deze mogelijkheid voor de webredacteurs betekent dat zij samen met deze exploitant de middelen voor deze verwerking vaststellen, deze vaststelling niets af aan de verantwoordelijkheid van laatstgenoemde, daar artikel 2, sub d, van richtlijn 95/46 uitdrukkelijk bepaalt dat dit doel en deze middelen „alleen of tezamen met anderen” kunnen worden vastgesteld.

41 Uit de voorgaande overwegingen vloeit voort dat op de tweede vraag, sub a en b, moet worden geantwoord dat artikel 2, sub b en d, van richtlijn 95/46 aldus moet worden uitgelegd dat, ten eerste, de activiteit van een zoekmachine, die erin bestaat door derden op het internet gepubliceerde of opgeslagen informatie te vinden, automatisch te indexeren, tijdelijk op te slaan en, ten slotte, in een bepaalde volgorde ter beschikking te stellen aan internetgebruikers, moet worden gekwalificeerd als „verwerking van persoonsgegevens” in de zin van dit artikel 2, sub b, wanneer deze informatie persoonsgegevens bevat, en, ten tweede, de exploitant van deze zoekmachine moet worden geacht de „verantwoordelijke” voor deze verwerking te zijn, in de zin van dat artikel 2, sub d.

Eerste vraag, sub a tot en met d, betreffende de territoriale werkingssfeer van richtlijn 95/46

42 Met zijn eerste vraag, sub a tot en met d, beoogt de verwijzende rechter vast te stellen of de nationale wetgeving ter omzetting van richtlijn 95/46 kan worden toegepast in omstandigheden als aan de orde in het hoofdgeding.

43 In die context heeft de verwijzende rechter de volgende feiten vastgesteld:

– Google Search wordt wereldwijd aangeboden via de website „www.google.com”. In verschillende staten bestaan lokale versies die aan de nationale taal zijn aangepast. De Spaanse taalversie van Google Search wordt aangeboden via de website „www.google.es”, die sedert 16 september 2003 is geregistreerd. In Spanje is Google Search is een van de meest gebruikte zoekmachines.

– Google Search wordt geëxploiteerd door Google Inc., de moedermaatschappij van het Googleconcern, waarvan de maatschappelijke zetel in de Verenigde Staten is gevestigd.

– Google Search indexeert websites over de hele wereld, waaronder websites die zich in Spanje bevinden. De informatie die wordt geïndexeerd door haar „web spiders” of haar indexeringsrobots, namelijk computerprogramma’s die worden gebruikt om de content van webpagina’s methodisch en geautomatiseerd op de sporen en te scannen, wordt tijdelijk opgeslagen op servers, waarvan onbekend is in welk land zij zijn geplaatst aangezien deze informatie uit concurrentieoverwegingen geheim wordt gehouden.

– Google Search beperkt zich niet tot het verlenen van toegang tot de content die op de geïndexeerde websites wordt gehost, maar gebruikt deze activiteit om, tegen betaling, met de door de internetgebruiker ingegeven zoektermen verbonden advertenties op te nemen van ondernemingen die dit instrument wensen te gebruiken om hun goederen of diensten aan deze internetgebruikers aan te bieden.

– Het Googleconcern doet een beroep op haar dochteronderneming Google Spain voor de verkoopbevordering van op de website „www.google.com” ter beschikking gestelde advertentieruimte. Google Spain, dat is opgericht op 3 september 2003 en over eigen rechtspersoonlijkheid beschikt, heeft haar maatschappelijke zetel in Madrid (Spanje). Zij richt haar activiteiten voornamelijk op in Spanje gevestigde bedrijven, waarbij zij als handelsagente voor dit concern in deze lidstaat optreedt. Haar maatschappelijk doel is het bevorderen en vergemakkelijken van de onlineverkoop aan derden van advertentieproducten en ‑diensten, het verkopen van deze producten en diensten en het verzorgen van de marketing voor deze advertenties.

– Google Inc. heeft Google Spain aangewezen als verantwoordelijke voor de verwerking in Spanje van twee bestanden die Google Inc. bij de AEPD heeft aangemeld, daar deze bestanden tot doel hebben de persoonsgegevens op te slaan van klanten die met Google Inc. reclameovereenkomsten hebben gesloten.

44 Concreet twijfelt de verwijzende rechter in hoofdzaak over het begrip „vestiging”, in de zin van artikel 4, lid 1, sub a, van richtlijn 95/46, en over het begrip „gebruik[maken] van [...] middelen die zich op het grondgebied van genoemde lidstaat bevinden”, in de zin van dat artikel 4, lid 1, sub c.

Eerste vraag, sub a

45 Met zijn eerste vraag, sub a, wenst de verwijzende rechter in wezen te vernemen of artikel 4, lid 1, sub a, van richtlijn 95/46 aldus moet worden uitgelegd dat er sprake is van een verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke, in de zin van deze bepaling, indien aan een of meerdere van de volgende drie voorwaarden is voldaan:

– de exploitant van een zoekmachine richt in een lidstaat een bijkantoor of een dochteronderneming op ten behoeve van het promoten en de verkoop van door deze zoekmachine aangeboden advertentieruimte en waarvan de activiteiten op de inwoners van die lidstaat zijn gericht, of

– de moedermaatschappij wijst een in deze lidstaat gevestigde dochteronderneming aan als haar vertegenwoordigster en als verantwoordelijke voor de verwerking van twee specifieke bestanden met de gegevens van klanten die reclameovereenkomsten met die onderneming hebben gesloten, of

– het bijkantoor of de dochteronderneming gevestigd in een lidstaat zendt klachten en sommaties betreffende de handhaving van het recht van gegevensbescherming, afkomstig van zowel de betrokkenen als de bevoegde autoriteiten, door aan de buiten de Unie gevestigde moedermaatschappij, zelfs wanneer die samenwerking vrijwillig is.

46 Aangaande de eerste van deze drie voorwaarden merkt de verwijzende rechter op dat Google Search wordt geëxploiteerd en beheerd door Google Inc. en dat niet is aangetoond dat Google Spain in Spanje een activiteit verricht die een rechtstreekse band heeft met het indexeren of opslaan van informatie of van gegevens die van websites van derden afkomstig zijn. Het promoten en de verkoop van advertentieruimte, die Google Spain in Spanje verzorgt, vormen volgens de verwijzende rechter echter het hoofdonderdeel van de commerciële activiteit van het Googleconcern en kan worden geacht nauw met Google Search te zijn verbonden.

47 Costeja González, de Spaanse, de Italiaanse, de Oostenrijkse en de Poolse regering en de Commissie zijn van mening dat, gelet op de onlosmakelijke band tussen de activiteit van de door Google Inc. geëxploiteerde zoekmachine en de activiteit van Google Spain, laatstgenoemde moet worden geacht een vestiging van eerstgenoemde te vormen binnen het activiteitenkader waarvan de persoonsgegevens worden verwerkt. Daarentegen zijn Google Spain, Google Inc. en de Griekse regering van mening dat artikel 4, lid 1, sub a, van richtlijn 95/46 niet van toepassing is in het geval waarin aan de eerste van de drie door de verwijzende rechter vermelde voorwaarden is voldaan.

48 In dit verband moet allereerst worden opgemerkt dat punt 19 van de considerans van richtlijn 95/46 preciseert dat „de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt” en „dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is”.

49 Niet betwist wordt dat Google Spain via een vaste vestiging in Spanje daadwerkelijk en reëel een activiteit verricht. Aangezien zij bovendien eigen rechtspersoonlijkheid heeft, vormt zij dus een dochteronderneming van Google Inc. op het Spaanse grondgebied en derhalve een „vestiging” in de zin van artikel 4, lid 1, sub a, van richtlijn 95/46.

50 Verder is slechts aan het in deze bepaling gestelde criterium voldaan indien de verwerking van persoonsgegevens door de daarvoor verantwoordelijke wordt „verricht in het kader van de activiteiten” van een vestiging van deze verantwoordelijke op het grondgebied van een lidstaat.

51 Volgens Google Spain en Google Inc. is dit niet het geval, aangezien de in het hoofdgeding aan de orde zijnde verwerking van persoonsgegevens uitsluitend wordt verricht door Google Inc., die Google Search exploiteert zonder enige tussenkomst van Google Spain, waarvan de activiteit is beperkt tot het ondersteunen van de reclameactiviteit van het Googleconcern, die losstaat van zijn zoekmachinedienst.

52 Zoals met name de Spaanse regering en de Commissie hebben benadrukt, vereist artikel 4, lid 1, sub a, van richtlijn 95/46 echter niet dat de betrokken verwerking van persoonsgegevens wordt verricht „door” de betrokken vestiging zelf, maar enkel dat die wordt verricht „in het kader van de activiteiten” van deze vestiging.

53 Bovendien mag, gelet op de doelstelling van richtlijn 95/46 om in verband met de verwerking van persoonsgegevens een adequate en volledige bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer, te waarborgen, laatstgenoemde zinsnede niet restrictief worden uitgelegd (zien naar analogie arrest L’Oréal e.a., C‑324/09, EU:C:2011:474, punten 62 en 63).

54 In deze context moet worden opgemerkt dat met name uit de punten 18 tot en met 20 van de considerans van richtlijn 95/46 en uit artikel 4 ervan blijkt dat de Uniewetgever, door te voorzien in een bijzonder ruime territoriale werkingssfeer, wenste te vermijden dat een persoon van de door deze richtlijn gewaarborgde bescherming zou worden uitgesloten en dat deze bescherming zou worden omzeild.

55 Gelet op deze doelstelling van richtlijn 95/46 en de bewoordingen van artikel 4, lid 1, sub a, ervan, moet worden geoordeeld dat de verwerking van persoonsgegevens ten behoeve van een dienst van een zoekmachine zoals Google Search, die wordt geëxploiteerd door een onderneming die haar maatschappelijke zetel heeft in een derde land maar beschikt over een vestiging in een lidstaat, wordt verricht „in het kader van de activiteiten” van deze vestiging indien die vestiging bestemd is om in die lidstaat de promotie en de verkoop te verzekeren van door deze zoekmachine aangeboden advertentieruimte, die de door deze machine aangeboden dienst rendabel moet maken.

56 In dergelijke omstandigheden zijn de activiteiten van de exploitant van de zoekmachine en die van zijn in de betrokken lidstaat gevestigde vestiging immers onlosmakelijk met elkaar verbonden, daar de activiteiten inzake de advertentieruimtes het middel vormen om de betrokken zoekmachine economisch rendabel te maken en deze machine tegelijkertijd het middel is waardoor deze activiteiten kunnen worden verricht.

57 In dit verband moet in herinnering worden gebracht dat, zoals in de punten 26 tot en met 28 van het onderhavige arrest is gepreciseerd, de weergave zelf van persoonsgegevens in de resultatenlijst van een zoekopdracht een verwerking van dergelijke gegevens vormt. Aangezien de weergave van deze resultatenlijst gepaard gaat met de weergave, op dezelfde webpagina, van met de zoektermen verbonden advertenties, moet worden vastgesteld dat de betrokken verwerking van persoonsgegevens wordt verricht in het kader van de reclame‑ en handelsactiviteit van de vestiging van de voor de verwerking verantwoordelijke op het grondgebied van een lidstaat, in casu op het Spaanse grondgebied.

58 In die omstandigheden kan niet worden aanvaard dat de ten behoeve van de werking van deze zoekmachine verrichte verwerking van persoonsgegevens zou zijn vrijgesteld van de verplichtingen en waarborgen van richtlijn 95/46, waardoor afbreuk zou worden gedaan aan het nuttig effect van deze richtlijn en aan de doeltreffende en volledige bescherming van de fundamentele vrijheden en rechten van natuurlijke personen die zij beoogt te verzekeren (zie naar analogie arrest L’Oréal e.a., EU:C:2011:474, punten 62 en 63), en met name van de eerbiediging van hun privéleven, in verband met de verwerking van persoonsgegevens, waaraan deze richtlijn een bijzonder belang hecht en zoals met name in artikel 1, lid 1, ervan en in de punten 2 en 10 van de considerans ervan is bevestigd (zie in die zin arresten Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 en C‑139/01, EU:C:2003:294, punt 70; Rijkeboer, C‑553/07, EU:C:2009:293, punt 47, en IPI, C‑473/12, EU:C:2013:715, punt 28 en aldaar aangehaalde rechtspraak).

59 Aangezien de eerste van de door de verwijzende rechter vermelde voorwaarden op zich volstaat om vast te stellen dat een vestiging zoals Google Spain voldoet aan de criteria van artikel 4, lid 1, sub a, van richtlijn 95/46, hoeven de andere twee voorwaarden niet te worden onderzocht.

60 Uit het voorgaande volgt dat op de eerste vraag, sub a, moet worden geantwoord dat artikel 4, lid 1, sub a, van richtlijn 95/46 aldus moet worden uitgelegd dat er sprake is van een verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de voor de verwerking verantwoordelijke op het grondgebied van de lidstaat, in de zin van deze bepaling, wanneer de exploitant van een zoekmachine in een lidstaat ten behoeve van het promoten en de verkoop van door deze zoekmachine aangeboden advertentieruimte een bijkantoor of een dochteronderneming opricht waarvan de activiteiten op de inwoners van die lidstaat zijn gericht.

Eerste vraag, sub b tot en met d

61 Gelet op het antwoord op de eerste vraag, sub a, hoeft op de eerste vraag, sub b tot en met d, niet te worden geantwoord.

Tweede vraag, sub c en d, betreffende de omvang van de verantwoordelijkheid van de exploitant van een zoekmachine krachtens richtlijn 95/46

62 Met zijn tweede vraag, sub c en d, wenst de verwijzende rechter in wezen te vernemen of de artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 aldus moeten worden uitgelegd dat, om de in deze bepalingen voorziene rechten na te leven, de exploitant van een zoekmachine verplicht is om van de resultatenlijst die na een zoekopdracht op de naam van een persoon wordt weergegeven, de koppelingen te verwijderen naar door derden gepubliceerde webpagina’s waarop informatie over deze persoon is te vinden, ook indien deze naam of deze informatie niet vooraf of gelijktijdig van deze webpagina’s is gewist en, in voorkomend geval, zelfs wanneer de publicatie ervan op deze webpagina’s op zich rechtmatig is.

63 Volgens Google Spain en Google Inc. moet krachtens het evenredigheidsbeginsel elk verzoek om verwijdering van informatie worden gericht aan de redacteur van de betrokken webpagina, aangezien hij de verantwoordelijkheid op zich neemt om de informatie te publiceren, in staat is om de rechtmatigheid van deze publicatie te beoordelen en over de meest doeltreffende en minst restrictieve middelen beschikt om deze informatie ontoegankelijk te maken. Bovendien houdt de verplichting voor de exploitant van een zoekmachine om op het internet gepubliceerde informatie van zijn index te verwijderen onvoldoende rekening met de grondrechten van de webredacteurs, van andere internetgebruikers en van deze exploitant zelf.

64 Volgens de Oostenrijkse regering kan een nationale toezichthoudende autoriteit een dergelijke exploitant uitsluitend gelasten de door derden gepubliceerde informatie van zijn bestanden te wissen indien de onrechtmatigheid of de onnauwkeurigheid van de betrokken gegevens vooraf is vastgesteld of indien de betrokkene succesvol heeft geprotesteerd bij de redacteur van de webpagina waarop deze informatie is gepubliceerd.

65 Costeja González, de Spaanse, de Italiaanse en de Poolse regering en de Commissie zijn van mening dat de nationale autoriteit de exploitant van een zoekmachine rechtstreeks kan gelasten de door derden gepubliceerde informatie die persoonsgegevens bevat van zijn index en van zijn tijdelijk geheugen te verwijderen, zonder dat deze instantie zich vooraf of gelijktijdig hoeft te richten tot de redacteur van de webpagina waarop deze informatie zich bevindt. Bovendien zijn Costeja González, de Spaanse en de Italiaanse regering en de Commissie van mening dat de omstandigheid dat deze informatie rechtmatig is gepubliceerd en zij nog altijd op de originele webpagina wordt weergegeven, niet afdoet aan de krachtens richtlijn 95/46 op deze exploitant rustende verplichtingen. Daarentegen is de Poolse regering van mening dat deze omstandigheid de exploitant van zijn verplichtingen kan bevrijden.

66 Vooraf moet in herinnering worden gebracht dat zoals volgt uit artikel 1 van richtlijn 95/46 en uit punt 10 van de considerans ervan, deze richtlijn beoogt een hoog niveau van bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, en met name van hun privéleven, bij de verwerking van persoonsgegevens te waarborgen (zie in die zin arrest IPI, EU:C:2013:715, punt 28).

67 Volgens punt 25 van de considerans van richtlijn 95/46 komen de beginselen van de bescherming waarin deze richtlijn voorziet tot uiting, enerzijds, in de verplichtingen die worden opgelegd aan de personen die de verwerkingen uitvoeren en die met name betrekking hebben op de kwaliteit van de gegevens, de technische beveiliging, de aanmelding bij de toezichthoudende autoriteit en de omstandigheden waarin de verwerking kan worden uitgevoerd en, anderzijds, in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten.

68 Het Hof heeft reeds geoordeeld dat richtlijn 95/46, doordat zij een regeling treft in verband met de verwerking van persoonsgegevens die afbreuk kan doen aan de fundamentele vrijheden, en inzonderheid aan het recht op privéleven, noodzakelijkerwijs moet worden uitgelegd op basis van de grondrechten, die volgens vaste rechtspraak integrerend deel uitmaken van de algemene rechtsbeginselen waarvan het Hof de eerbiediging verzekert, en die thans in het Handvest zijn opgenomen (zie met name arresten Connolly/Commissie, C‑274/99 P, EU:C:2001:127, punt 37, en Österreichischer Rundfunk e.a., EU:C:2003:294, punt 68).

69 Aldus waarborgt artikel 7 van het Handvest het recht op eerbiediging van het privéleven, terwijl artikel 8 van het Handvest uitdrukkelijk het recht op bescherming van persoonsgegevens waarborgt. De leden 2 en 3 van laatstgenoemd artikel preciseren dat deze gegevens eerlijk moeten worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet, dat eenieder het recht van inzage heeft in de over hem verzamelde gegevens en op rectificatie daarvan en dat een onafhankelijke autoriteit erop toeziet dat deze regels worden nageleefd. Deze vereisten zijn met name bij de artikelen 6, 7, 12, 14 en 28 van richtlijn 95/46 uitgevoerd.

70 Wat artikel 12, sub b, van richtlijn 95/46 betreft, daarin is bepaald dat de lidstaten elke betrokkene het recht waarborgen om van de voor de verwerking verantwoordelijke te verkrijgen, naargelang het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van richtlijn 95/46, met name op grond van het onvolledige of onjuiste karakter van de gegevens. Aangezien deze laatste precisering betreffende het geval waarin bepaalde vereisten van artikel 6, lid 1, sub d, van richtlijn 95/46 niet zijn nageleefd, illustratief en niet exhaustief is, kan ook de niet-naleving van andere voorwaarden van deze richtlijn met betrekking tot de rechtmatige verwerking van persoonsgegevens ertoe leiden dat deze verwerking onrechtmatig is, waardoor de betrokkene in aanmerking kan komen voor het recht dat door artikel 12, sub b, van deze richtlijn wordt gewaarborgd.

71 In dit verband moet in herinnering worden gebracht dat, behoudens de op grond van artikel 13 van richtlijn 95/46 toegestane uitzonderingen, elke verwerking van persoonsgegevens, ten eerste, moet stroken met de in artikel 6 van deze richtlijn vermelde beginselen betreffende de kwaliteit van de gegevens, en, ten tweede, moet beantwoorden aan een van de in artikel 7 van deze richtlijn vermelde beginselen betreffende de toelaatbaarheid van gegevensverwerking (zie arresten Österreichischer Rundfunk e.a., EU:C:2003:294, punt 65; ASNEF en FECEMD, C‑468/10 en C‑469/10, EU:C:2011:777, punt 26, en Worten, C‑342/12, EU:C:2013:355, punt 33).

72 Volgens artikel 6 en behoudens specifieke bepalingen waarin de lidstaten kunnen voorzien voor verwerkingen voor historische, statistische of wetenschappelijke doeleinden, staat het aan de voor de verwerking verantwoordelijke om te verzekeren dat de persoonsgegevens „eerlijk en rechtmatig [...] worden verwerkt”, dat zij „voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden [...] worden verkregen en vervolgens niet worden verwerkt op een wijze de onverenigbaar is met die doeleinden”, dat zij „toereikend, ter zake dienend en niet bovenmatig [...] zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt”, dat zij „nauwkeurig [...] zijn en, zo nodig, [...] worden bijgewerkt”, en, tot slot, dat zij „in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer [...] worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is”. In die context moet deze verantwoordelijke alle redelijke maatregelen nemen om de gegevens die niet aan deze vereisten voldoen, te wissen of te rectificeren.

73 Aangaande de toelaatbaarheid, uit hoofde van artikel 7 van richtlijn 95/46, van een verwerking als aan de orde in het hoofdgeding, die is verricht door een exploitant van een zoekmachine, moet worden vastgesteld dat deze verwerking onder de in artikel 7, sub f, vermelde reden kan vallen.

74 Op grond van deze bepaling kunnen persoonsgegevens worden verwerkt indien deze verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, op voorwaarde dat het belang of de fundamentele rechten en vrijheden van de betrokkene, en met name zijn recht op eerbiediging van zijn privéleven bij de verwerking van persoonsgegevens, welke rechten volgens artikel 1, lid 1, van deze richtlijn moeten worden beschermd, niet prevaleren. Aldus brengt de toepassing van dit artikel 7, sub f, noodzakelijkerwijze een afweging met zich mee van de aan de orde zijnde tegengestelde rechten en belangen, in het kader waarvan rekening moet worden gehouden met het belang van de uit de artikelen 7 en 8 van het Handvest voortvloeiende rechten van de betrokkene (zie arrest ASNEF en FECEMD, EU:C:2011:777, punten 38 en 40).

75 Ofschoon de overeenstemming van de verwerking met de artikelen 6 en 7, sub f, van richtlijn 95/46, kan worden getoetst in het kader van een verzoek in de zin van artikel 12, sub b, van deze richtlijn, kan de betrokkene zich daarnaast onder bepaalde voorwaarden beroepen op het in artikel 14, eerste alinea, sub a, ervan voorziene recht van verzet.

76 Volgens dit artikel 14, eerste alinea, sub a, kennen de lidstaten de betrokkene het recht toe zich ten minste in de gevallen bedoeld in artikel 7, sub e en f, van richtlijn 95/46, te allen tijde om zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. Door de afweging die in het kader van dat artikel 14, eerste alinea, sub a, moet worden gemaakt, kan specifieker rekening worden gehouden met alle omstandigheden van de concrete situatie van de betrokkene. Ingeval van gerechtvaardigd verzet mag de verwerking die is verricht door de voor de verwerking verantwoordelijke niet langer op deze gegevens betrekking hebben.

77 De verzoeken krachtens de artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 kunnen door de betrokkene rechtstreeks aan de voor de verwerking verantwoordelijke worden gericht, die vervolgens naar behoren de gegrondheid van deze verzoeken moet onderzoeken en, in voorkomend geval, de betrokken gegevensverwerking moet beëindigen. Wanneer de voor de verwerking verantwoordelijke daaraan geen gevolg geeft, kan de betrokkene een verzoek indienen bij de toezichthoudende autoriteit of de rechter, zodat zij de nodige controles uitvoeren en naar aanleiding daarvan deze verantwoordelijke nauwkeurige maatregelen opleggen.

78 In dit verband moet worden opgemerkt dat uit artikel 28, leden 3 en 4, van richtlijn 95/46 voortvloeit dat eenieder bij elke toezichthoudende autoriteit een verzoek kan indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens, en dat deze autoriteit beschikt over onderzoeksbevoegdheden en effectieve bevoegdheden om in te grijpen, waardoor zij met name de afscherming, de uitwissing of de vernietiging van gegevens kan gelasten of een dergelijke verwerking voorlopig of definitief kan verbieden.

79 De bepalingen van richtlijn 95/46 betreffende de rechten van de betrokkene wanneer hij bij de toezichthoudende autoriteit of de rechter een verzoek indient als aan de orde in het hoofdgeding, moeten tegen deze achtergrond worden uitgelegd.

80 In dit verband moet er meteen op worden gewezen dat, zoals in de punten 36 tot en met 38 van het onderhavige arrest is vastgesteld, een verwerking van persoonsgegevens als aan de orde in het hoofdgeding, door de exploitant van een zoekmachine, de grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens ernstig kan aantasten wanneer met behulp van deze machine op de naam van een natuurlijke persoon wordt gezocht, aangezien elke internetgebruiker op basis van deze verwerking via de resultatenlijst een gestructureerd overzicht kan krijgen van de over deze persoon op het internet vindbare informatie, die potentieel betrekking heeft op tal van aspecten van zijn privéleven en die, zonder deze zoekmachine, niet of slechts zeer moeilijk met elkaar in verband had kunnen worden gebracht, en deze internetgebruiker aldus een min of meer gedetailleerd profiel van de betrokkene kan opstellen. Bovendien is de inmenging in deze rechten van de betrokkene des te sterker door de belangrijke rol van internet en zoekmachines in de moderne samenleving, waardoor de in een dergelijke resultatenlijst weergegeven informatie overal beschikbaar is (zie in die zin arrest eDate Advertising e.a., C‑509/09 en C‑161/10, EU:C:2011:685, punt 45).

81 Gelet op de potentiële ernst van deze inmenging moet worden vastgesteld dat zij niet kan worden gerechtvaardigd door louter het economisch belang dat de exploitant van een dergelijke zoekmachine bij deze verwerking heeft. Aangezien echter de verwijdering van de koppelingen uit de resultatenlijst, naargelang van de betrokken informatie, gevolgen kan hebben voor het gerechtvaardigde belang van de internetgebruikers die potentieel toegang daartoe willen krijgen, moet in situaties als aan de orde in het hoofdgeding worden gezocht naar een juist evenwicht tussen met name dit belang en de grondrechten van deze persoon krachtens de artikelen 7 en 8 van het Handvest. Weliswaar hebben in de regel de door deze artikelen beschermde rechten van de betrokkene tevens voorrang op dit belang van internetgebruikers, maar dit evenwicht kan in bijzondere gevallen afhangen van de aard van de betrokken informatie en de gevoeligheid ervan voor het privéleven van de betrokkene en van het belang dat het publiek erbij heeft om over deze informatie te beschikken, wat met name wordt bepaald door de rol die deze persoon in het openbare leven speelt.

82 Na de beoordeling van de toepassingsvoorwaarden van de artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46, die de toezichthoudende autoriteit en de rechter dienen te verrichten wanneer zij een verzoek ontvangen als aan de orde in het hoofdgeding, kunnen zij deze exploitant bevelen om van de na een zoekopdracht op de naam van een persoon weergegeven resultatenlijst de koppelingen te verwijderen naar door derden gepubliceerde websites die informatie over deze persoon bevatten, zonder dat een dergelijk bevel veronderstelt dat deze naam en deze informatie, hetzij vrijwillig door de redacteur of op last van een van deze autoriteiten, voordien of gelijktijdig worden verwijderd van de website waarop zij zijn gepubliceerd.

83 Zoals is vastgesteld in de punten 35 tot en met 38 van het onderhavige arrest, moet, aangezien de in het kader van de activiteit van een zoekmachine verrichte verwerking van persoonsgegevens verschilt van de door webredacteurs verrichte verwerking van persoonsgegevens en daar bovenop komt en bijkomend de grondrechten van de betrokkene aantast, de exploitant van deze machine, in zijn hoedanigheid van voor deze verwerking verantwoordelijke, immers binnen het kader van zijn verantwoordelijkheden, bevoegdheden en mogelijkheden verzekeren dat deze verwerking aan de vereisten van richtlijn 95/46 voldoet, zodat de daarin vervatte waarborgen hun volle werking kunnen krijgen.

84 In dit verband moet worden vastgesteld dat, rekening houdend met het gemak waarmee op een website gepubliceerde informatie op andere websites kan worden overgenomen en rekening houdend met de omstandigheid dat de verantwoordelijken voor de publicatie ervan niet altijd aan de wetgeving van de Unie zijn onderworpen, de betrokkenen niet doeltreffend en volledig kunnen worden beschermd indien zij eerst of gelijktijdig van de webredacteurs de verwijdering moeten verkrijgen van de hen betreffende informatie.

85 Bovendien kan de verwerking door de redacteur van een webpagina, bestaande uit de publicatie van informatie betreffende een natuurlijke persoon, in voorkomend geval „voor uitsluitend journalistieke [...] doeleinden” zijn verricht en aldus krachtens artikel 9 van richtlijn 95/46 onder de uitzonderingen op de vereisten van deze richtlijn vallen, terwijl dit niet het geval is voor de door een exploitant van een zoekmachine verrichte verwerking. Aldus kan niet worden uitgesloten dat de betrokkene in bepaalde omstandigheden de in artikel 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 bedoelde rechten tegen deze exploitant kan uitoefenen, maar niet tegen de redacteur van deze webpagina.

86 Tot slot moet worden vastgesteld dat de reden die krachtens artikel 7 van richtlijn 95/46 de publicatie van een persoonsgegeven op een website rechtvaardigt, niet enkel niet noodzakelijkerwijze samenvalt met de reden die geldt voor de activiteit van zoekmachines, maar dat zelfs waar dit het geval is, de krachtens de artikelen 7, sub f, en 14, eerste alinea, sub a, van deze richtlijn te maken afweging tussen de betrokken belangen tot een verschillend resultaat kan leiden naargelang het gaat om een door een exploitant van een zoekmachine, dan wel de door een redacteur van deze webpagina verrichte verwerking, daar, ten eerste, de rechtmatige belangen die deze verwerkingen rechtvaardigen verschillend kunnen zijn, en, ten tweede, de gevolgen van deze verwerkingen voor de betrokkene, en met name voor zijn privéleven, niet noodzakelijkerwijze dezelfde zijn.

87 Voor zover in de resultatenlijst die wordt weergegeven nadat op de naam van een persoon is gezocht, een webpagina en de daarop gepubliceerde informatie betreffende deze persoon worden weergegeven, vergemakkelijkt dit immers voor elke internetgebruiker die op de naam van de betrokkene zoekt aanzienlijk de toegang tot deze informatie en speelt dit een beslissende rol bij de verspreiding van deze informatie, zodat dit een grotere inmenging in het grondrecht op eerbiediging van het privéleven van de betrokkene kan vormen dan de publicatie van deze webpagina door de webredacteur.

88 Gelet op al het voorgaande, moet op de tweede vraag, sub c en d, worden geantwoord dat de artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 aldus moeten worden uitgelegd dat, ter naleving van de in deze bepalingen voorziene rechten en voor zover aan de in deze bepalingen gestelde voorwaarden daadwerkelijk is voldaan, de exploitant van een zoekmachine verplicht is om van de resultatenlijst die na een zoekopdracht op de naam van een persoon wordt weergegeven, de koppelingen te verwijderen naar door derden gepubliceerde webpagina’s waarop informatie over deze persoon is te vinden, ook indien deze naam of deze informatie niet vooraf of gelijktijdig van deze webpagina’s is gewist en, in voorkomend geval, zelfs wanneer de publicatie ervan op deze webpagina’s op zich rechtmatig is.

Derde vraag, betreffende de draagwijdte van de door richtlijn 95/46 gegarandeerde rechten van de betrokkene

89 Met zijn derde vraag wenst de verwijzende rechter in wezen te vernemen of de artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 aldus moeten worden uitgelegd dat de betrokkene op basis van deze bepalingen van de exploitant van een zoekmachine kan eisen dat hij uit de resultatenlijst die wordt weergegeven nadat op de naam van deze persoon is gezocht, de koppelingen verwijdert naar rechtmatig door derden gepubliceerde webpagina’s die correcte informatie over laatstgenoemde bevatten, omdat deze informatie hem schade kan berokkenen of omdat hij wenst dat zij na zekere tijd wordt „vergeten”.

90 Google Spain, Google Inc. en de Griekse, de Oostenrijkse en de Poolse regering en de Commissie zijn van mening dat deze vraag ontkennend moet worden beantwoord. Google Spain, Google Inc., de Poolse regering en de Commissie betogen in dit verband dat de artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 de betrokkenen uitsluitend rechten toekennen indien de betrokken verwerking onverenigbaar is met deze richtlijn of wegens zwaarwegende en gerechtvaardigde redenen betreffende hun bijzondere situatie, en niet enkel omdat zij van mening zijn dat deze verwerking hen schade kan berokkenen of omdat zij wensen dat de verwerkte gegevens worden vergeten. De Griekse en de Oostenrijkse regering zijn van mening dat de betrokkene zich tot de redacteur van de betrokken website moet wenden.

91 Costeja González en de Spaanse en de Italiaanse regering zijn van mening dat de betrokkene zich tegen de indexering van zijn persoonsgegevens door een zoekmachine kan verzetten indien de verspreiding van deze gegevens via die zoekmachine hem schade kan berokkenen, en dat zijn grondrechten op bescherming van deze gegevens en op eerbiediging van zijn privéleven, waartoe het „recht om te worden vergeten” behoort, zwaarder wegen dan de rechtmatige belangen van de exploitant van deze zoekmachine en op het algemeen belang bij de vrijheid van informatie.

92 Aangaande artikel 12, sub b, van richtlijn 95/46, dat slechts toepasselijk is indien de verwerking van persoonsgegevens onverenigbaar is met deze richtlijn, moet in herinnering worden gebracht dat, zoals is opgemerkt in punt 72 van het onderhavige arrest, een dergelijke onverenigbaarheid niet enkel het gevolg kan zijn van de omstandigheid dat deze gegevens onnauwkeurig zijn maar, in het bijzonder, ook omdat zij ontoereikend, niet ter zake dienend of bovenmatig zijn voor de doeleinden van de verwerking, omdat zij niet zijn bijgewerkt of omdat zij langer worden bewaard dan noodzakelijk is, tenzij de bewaring ervan is vereist wegens historische, statistische of wetenschappelijke doeleinden.

93 Uit deze vereisten van artikel 6, lid 1, sub c tot en met e, van richtlijn 95/46 vloeit voort dat het mogelijk is dat zelfs een aanvankelijk rechtmatige verwerking van exacte gegevens na verloop van tijd niet langer met deze richtlijn verenigbaar is omdat deze gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt. Dit is met name het geval wanneer deze gegevens gelet op deze doeleinden en gelet op de verstreken tijd ontoereikend, niet of niet meer ter zake dienend of bovenmatig zijn.

94 Indien dus na een verzoek van de betrokkene krachtens artikel 12, sub b, van richtlijn 95/46 wordt vastgesteld dat in de resultatenlijst die wordt weergegeven nadat op de naam van de betrokkene is gezocht, koppelingen zijn opgenomen naar rechtmatig door derden gepubliceerde webpagina’s die correcte informatie over de betrokkene bevatten, en deze opneming thans onverenigbaar is met artikel 6, lid 1, sub c tot en met e, omdat deze informatie, gelet op het geheel van de omstandigheden van het onderhavige geval, ontoereikend, niet of niet meer ter zake dienend of bovenmatig is ten aanzien van het doel van de betrokken verwerking door de exploitant van de zoekmachine, moeten deze informatie en koppelingen van de resultatenlijst worden gewist.

95 Aangaande de verzoeken in de zin van dit artikel 12, sub b, die zijn gebaseerd op de beweerde niet-naleving van de voorwaarden van artikel 7, sub f, van richtlijn 95/46 en van artikel 14, eerste alinea, sub a, van deze richtlijn, moet worden vastgesteld dat elke verwerking van persoonsgegevens tijdens de gehele duur ervan toelaatbaar moet zijn krachtens dit artikel 7.

96 Gelet op het voorafgaande, moet bij de beoordeling van dergelijke verzoeken die zijn ingediend tegen een verwerking als aan de orde in het hoofdgeding, met name worden onderzocht of de betrokkene recht erop heeft dat de informatie over hem thans niet meer met zijn naam wordt verbonden via een resultatenlijst die wordt weergegeven nadat op zijn naam is gezocht. In dit verband moet worden benadrukt dat de vaststelling van een dergelijk recht niet veronderstelt dat de opneming van de betrokken informatie in de resultatenlijst de betrokkene schade berokkent.

97 Aangezien de betrokkene op basis van zijn door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten kan verlangen dat de betrokken informatie niet meer via de opneming ervan in een dergelijke resultatenlijst ter beschikking wordt gesteld van het grote publiek, krijgen deze rechten, zoals met name blijkt uit punt 81 van het onderhavige arrest, in beginsel voorrang niet enkel op het economische belang van de exploitant van de zoekmachine, maar ook op het belang van dit publiek om deze informatie te vinden wanneer op de naam van deze persoon wordt gezocht. Dit zal echter niet het geval zijn indien de inmenging in de grondrechten van de betrokkene wegens bijzondere redenen, zoals de rol die deze persoon in het openbare leven speelt, wordt gerechtvaardigd door het overwegende belang dat het publiek erbij heeft om, door deze opneming, toegang tot de betrokken informatie te krijgen.

98 Aangaande een situatie als aan de orde in het hoofdgeding – die de weergave betreft in de resultatenlijst die de internetgebruiker verkrijgt na een zoekopdracht op de naam van de betrokkene via Google Search, van koppelingen naar twee gearchiveerde webpagina’s van een dagblad waarop aankondigingen staan waarin de naam van de betrokkene is vermeld en die betrekking hebben op een verkoop per opbod van gebouwen in het kader van een beslag ter terugvordering van schulden betreffende de sociale zekerheid – moet worden overwogen dat, gelet op de gevoeligheid van de informatie in deze aankondigingen voor het privéleven van de betrokkene en op de omstandigheid dat deze informatie zestien jaar daarvoor is gepubliceerd, de betrokkene recht erop heeft dat deze informatie niet langer via een dergelijke resultatenlijst met zijn naam wordt verbonden. Aangezien er in casu geen bijzondere redenen lijken te zijn ter rechtvaardiging van een overwegend belang voor het publiek om, in het kader van een dergelijke zoekopdracht, toegang te krijgen tot deze informatie – waarbij het echter aan de verwijzende rechter staat om dit na te gaan – kan de betrokkene, krachtens de artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 de verwijdering van deze koppelingen van de resultatenlijst verlangen.

99 Uit het voorgaande volgt dat op de derde vraag moet worden geantwoord dat de artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 aldus moeten worden uitgelegd dat in het kader van de beoordeling van de toepassingsvoorwaarden van deze bepalingen met name moet worden onderzocht of de betrokkene recht erop heeft dat de aan de orde zijnde informatie over hem thans niet meer met zijn naam wordt verbonden via een resultatenlijst die wordt weergegeven nadat op zijn naam is gezocht, zonder dat de vaststelling van een dergelijk recht evenwel veronderstelt dat de opneming van die informatie in de resultatenlijst deze betrokkene schade berokkent. Aangezien laatstgenoemde op basis van zijn door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten kan verlangen dat de betrokken informatie niet meer door de opneming ervan in een dergelijke resultatenlijst ter beschikking wordt gesteld van het grote publiek, krijgen deze rechten in beginsel voorrang niet enkel op het economische belang van de exploitant van de zoekmachine, maar ook op het belang van dit publiek om toegang tot deze informatie te krijgen wanneer op de naam van deze persoon wordt gezocht. Dit zal echter niet het geval zijn indien de inmenging in de grondrechten van de betrokkene wegens bijzondere redenen, zoals de rol die deze persoon in het openbare leven speelt, wordt gerechtvaardigd door het overwegende belang dat het publiek erbij heeft om, door deze opneming, toegang tot de betrokken informatie te krijgen.

Kosten

100 Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Grote kamer) verklaart voor recht:

1) Artikel 2, sub b en d, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet aldus worden uitgelegd dat, ten eerste, de activiteit van een zoekmachine, die erin bestaat door derden op het internet gepubliceerde of opgeslagen informatie te vinden, automatisch te indexeren, tijdelijk op te slaan en, ten slotte, in een bepaalde volgorde ter beschikking te stellen aan internetgebruikers, moet worden gekwalificeerd als „verwerking van persoonsgegevens” in de zin van dit artikel 2, sub b, wanneer deze informatie persoonsgegevens bevat, en, ten tweede, de exploitant van deze zoekmachine moet worden geacht de „verantwoordelijke” voor deze verwerking te zijn, in de zin van dat artikel 2, sub d.

2) Artikel 4, lid 1, sub a, van richtlijn 95/46 moet aldus worden uitgelegd dat er sprake is van een verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de voor de verwerking verantwoordelijke op het grondgebied van de lidstaat, in de zin van deze bepaling, wanneer de exploitant van een zoekmachine in een lidstaat ten behoeve van het promoten en de verkoop van door deze zoekmachine aangeboden advertentieruimte een bijkantoor of een dochteronderneming opricht waarvan de activiteiten op de inwoners van die lidstaat zijn gericht.

3) De artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 moeten aldus worden uitgelegd dat, ter naleving van de in deze bepalingen voorziene rechten en voor zover aan de in deze bepalingen gestelde voorwaarden daadwerkelijk is voldaan, de exploitant van een zoekmachine verplicht is om van de resultatenlijst die na een zoekopdracht op de naam van een persoon wordt weergegeven, de koppelingen te verwijderen naar door derden gepubliceerde webpagina’s waarop informatie over deze persoon is te vinden, ook indien deze naam of deze informatie niet vooraf of gelijktijdig van deze webpagina’s is gewist en, in voorkomend geval, zelfs wanneer de publicatie ervan op deze webpagina’s op zich rechtmatig is.

4) De artikelen 12, sub b, en 14, eerste alinea, sub a, van richtlijn 95/46 moeten aldus worden uitgelegd dat in het kader van de beoordeling van de toepassingsvoorwaarden van deze bepalingen met name moet worden onderzocht of de betrokkene recht erop heeft dat de aan de orde zijnde informatie over hem thans niet meer met zijn naam wordt verbonden via een resultatenlijst die wordt weergegeven nadat op zijn naam is gezocht, zonder dat de vaststelling van een dergelijk recht evenwel veronderstelt dat de opneming van die informatie in de resultatenlijst deze betrokkene schade berokkent. Aangezien laatstgenoemde op basis van zijn door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten kan verlangen dat de betrokken informatie niet meer door de opneming ervan in een dergelijke resultatenlijst ter beschikking wordt gesteld van het grote publiek, krijgen deze rechten in beginsel voorrang niet enkel op het economische belang van de exploitant van de zoekmachine, maar ook op het belang van dit publiek om toegang tot deze informatie te krijgen wanneer op de naam van deze persoon wordt gezocht.

Dit zal echter niet het geval zijn indien de inmenging in de grondrechten van de betrokkene wegens bijzondere redenen, zoals de rol die deze persoon in het openbare leven speelt, wordt gerechtvaardigd door het overwegende belang dat het publiek erbij heeft om, door deze opneming, toegang tot de betrokken informatie te krijgen.

CONCLUSIE VAN ADVOCAAT-GENERAAL N. JÄÄSKINEN
van 25 juni 2013 (1)
Zaak C‑131/12

Google Spain SL
Google Inc.
tegen
Agencia Española de Protección de Datos (AEPD)
Mario Costeja González
[verzoek van de Audiencia Nacional (Spanje) om een prejudiciële beslissing]
„World wide web – Persoonsgegevens – Internetzoekmachine – Gegevensbeschermingsrichtlijn 95/46/EG – Uitlegging van artikelen 2, sub b en d, 4, lid 1, sub a en c, 12, sub b, en 14, sub a – Territoriale werkingssfeer – Begrip ‚vestiging op het grondgebied van een lidstaat’ – Materiële werkingssfeer – Begrip ‚verwerking van persoonsgegevens’ – Begrip ‚verantwoordelijke voor de verwerking van persoonsgegevens’ – Recht op uitwissing en afscherming van gegevens – ‚Recht om te worden vergeten’ – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8, 11 en 16”

 

 

I – Inleiding

1. In 1890 beklaagden Samuel D. Warren en Louis D. Brandeis zich, in hun baanbrekende artikel in de Harvard Law Review, „The Right to Privacy”(2), erover dat „[r]ecente uitvindingingen en zakenmethoden” zoals „[d]e momentenfotografie en het krantenbedrijf de heilige domeinen van het privé- en gezinsleven zijn binnengevallen”. In hetzelfde artikel spraken zij van „de volgende te nemen stap ten behoeve van de bescherming van de persoon”.

2. Vandaag de dag is het belang van de bescherming van persoonsgegevens en de persoonlijke levenssfeer alleen maar toegenomen. Iedere content die persoonsgegevens bevat, of dit nu in de vorm van tekst of van audiovisueel materiaal is, kan in digitale vorm onmiddellijk en blijvend wereldwijd toegankelijk worden gemaakt. Het internet heeft een revolutie in ons leven teweeggebracht door de technische en institutionele belemmeringen voor de verspreiding en ontvangst van informatie weg te nemen, en heeft een platform gecreëerd voor verschillende diensten van de informatiemaatschappij, waarvan zowel consumenten en bedrijven als de samenleving in het algemeen profiteren. Dit heeft aanleiding gegeven tot het ontstaan van ongekende situaties, waarin een evenwicht moet worden gevonden tussen verschillende grondrechten als de vrijheid van meningsuiting, de vrijheid van informatie en de vrijheid van ondernemerschap enerzijds, en de bescherming van persoonsgegevens en de persoonlijke levenssfeer anderzijds.

3. In de context van het internet zijn drie situaties te onderscheiden waarbij persoonsgegevens aan de orde zijn. De eerste is de openbaarmaking van persoonsgegevens op enige webpagina op het internet(3) (hierna: „bronpagina”)(4); de tweede situatie doet zich voor wanneer een internetzoekmachine zoekresultaten toont die de internetgebruiker naar de bronpagina voeren, en in de derde, minder zichtbare situatie voert een internetgebruiker met gebruik van een internetzoekmachine een zoekactie uit, waarbij sommige van zijn persoonsgegevens, zoals het IP-adres waarvandaan de zoekactie wordt verricht, automatisch worden doorgegeven naar de aanbieder van de internetzoekmachine.(5)

4. Wat de eerste situatie betreft, heeft het Hof in het arrest Lindqvist reeds geoordeeld dat richtlijn 95/46/EG(6) (hierna: „gegevensbeschermingsrichtlijn” of „richtlijn”) hierop van toepassing is. De derde situatie is in de onderhavige zaak niet aan de orde. Wel zijn nationale gegevensbeschermingautoriteiten administratieve procedures begonnen teneinde te bepalen in hoeverre de Unieregels inzake gegevensbescherming van toepassing zijn op de gebruikers van internetzoekmachines.(7)

5. De onderhavige verwijzing heeft betrekking op de tweede situatie. De verwijzing is gedaan door de Audiencia Nacional (het hoogste gerechtshof van Spanje) in een geding tussen Google Spain, S.L. en Google, Inc. (zowel afzonderlijk als tezamen hierna: „Google”) enerzijds en de Agencia Española de Protección de Datos (hierna: „AEPD”) en Mario Costeja González (hierna: „betrokkene”) anderzijds. Het geding betreft de toepassing van de gegevensbeschermingsrichtlijn op een internetzoekmachine die Google als dienstverlener exploiteert. In het hoofdgeding staat vast dat een Spaans dagblad bepaalde persoonsgegevens van de betrokkene heeft gepubliceerd in twee gedrukte edities daterend uit 1998, die later beide in elektronische vorm opnieuw voor het publiek toegankelijk zijn gemaakt. De betrokkene is thans van mening dat deze informatie niet langer getoond moet worden in de zoekresultaten die verschijnen na een zoekactie op basis van zijn voor- en achternaam in de internetzoekmachine van Google.

6. De aan het Hof voorgelegde prejudiciële vragen vallen in drie groepen uiteen.(8) De eerste groep heeft betrekking op de territoriale werkingssfeer van de Unieregels inzake gegevensbescherming. De tweede groep richt zich op vraagstukken verband houdend met de rechtspositie van de aanbieder van een internetzoekmachine(9) in het licht van de richtlijn, met name vanuit het oogpunt van de materiële werkingssfeer ervan. De derde vraag ten slotte, betreft het zogenoemde recht om vergeten te worden en het vraagstuk of betrokkenen kunnen verzoeken dat sommige of alle hen betreffende zoekresultaten niet langer toegankelijk zijn via de zoekmachine. Al deze vragen, die ook belangrijke aspecten van de bescherming van grondrechten aanroeren, zijn nieuw voor het Hof.

7. Dit lijkt de eerste zaak te zijn waarin een beroep op het Hof wordt gedaan om de richtlijn uit te leggen in de context van internetzoekmachines, een actueel vraagstuk voor nationale gegevensbeschermingsautoriteiten en rechters in de lidstaten. Zo heeft de verwijzende rechter aangegeven dat een aantal vergelijkbare zaken bij hem aanhangig zijn.

8. De belangrijkste zaak tot nog toe waarin het Hof vraagstukken van gegevensbescherming en het internet moest beantwoorden, was de zaak Lindqvist(10), die echter geen betrekking had op internetzoekmachines. De richtlijn zelf is al in een aantal arresten uitgelegd, waarvan de arresten Österreichischer Rundfunk e.a.(11), Satakunnan Markkinapörssi en Satamedia(12) en Volker und Markus Schecke en Eifert(13) in het bijzonder relevant zijn. Het Hof heeft de rol van internetzoekmachines in relatie tot intellectuele‑eigendomsrechten en de rechterlijke bevoegdheid behandeld in zijn arresten Google France en Google, Portakabin, L’Oréal e.a., Interflora en Interflora British Unit en Wintersteiger.(14)

9. Sinds de vaststelling van de richtlijn is een bepaling over de bescherming van persoonsgegevens opgenomen in artikel 16 VWEU en in artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”). Bovendien heeft de Commissie in 2012 een voorstel ingediend voor een algemene verordening inzake de gegevensbescherming(15) ter vervanging van de richtlijn. Het onderhavige geschil zal evenwel op basis van het geldende recht beoordeeld moeten worden.

10. Bij de onderhavige prejudiciële verwijzing speelt een rol dat ten tijde van de indiening van het commissievoorstel voor de richtlijn in 1990, het internet in de hier gebruikte betekenis van world wide web nog niet bestond en zoekmachines evenmin. Ten tijde van de vaststelling van de richtlijn in 1995 stond het internet nog in de kinderschoenen en verschenen juist de eerste rudimentaire zoekmachines, maar niemand kon voorzien wat een ingrijpende revolutie dit voor de wereld zou betekenen. Nu geldt voor bijna iedereen die met een smartphone of een computer het internet bezoekt, dat de richtlijn op diens activiteiten van toepassing geacht zou kunnen worden.

II – Juridisch kader

A – De gegevensbeschermingsrichtlijn

11. Artikel 1 van de richtlijn legt de lidstaten de verplichting op om in verband met de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun recht op persoonlijke levenssfeer, overeenkomstig de bepalingen van de richtlijn te beschermen.

12. Artikel 2 definieert onder meer de begrippen „persoonsgegevens” en „betrokkene”, „verwerking van persoonsgegevens”, „voor de verwerking verantwoordelijke” en „derde”.

13. Volgens artikel 3 is de richtlijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede, onder bepaalde voorwaarden, op de niet-geautomatiseerde verwerking daarvan.

14. Volgens artikel 4, lid 1, past een lidstaat zijn nationale, ter uitvoering van de richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens wanneer de voor de verwerking verantwoordelijke een vestiging heeft op zijn grondgebied, of wanneer de verantwoordelijke niet gevestigd is in de Unie maar voor de verwerking van persoonsgegevens gebruikmaakt van middelen die zich op het grondgebied van genoemde lidstaat bevinden.

15. Artikel 12 van de richtlijn verleent de betrokkenen een „recht van toegang” tot persoonsgegevens die door de voor de verwerking verantwoordelijke zijn verwerkt, en artikel 14 een „recht van verzet” tegen de verwerking van persoonsgegevens in bepaalde situaties.

16. Artikel 29 van de richtlijn stelt een onafhankelijke raadgevende groep in, die onder meer bestaat uit de gegevensbeschermingsautoriteiten van de lidstaten (hierna: „groep gegevensbescherming artikel 29”).

B – Nationaal recht

17. De richtlijn is omgezet in Spaans recht bij organieke wet nr. 15/1999 inzake gegevensbescherming.(16)

III – Feiten en prejudiciële vragen

18. Begin 1998 publiceerde een Spaans dagblad met een grote oplage in zijn papieren editie twee aankondigingen van een openbare verkoop van onroerend goed in het kader van een beslag wegens socialezekerheidsschulden, waarin de betrokkene als eigenaar werd vermeld. Later publiceerde de uitgever op het internet een elektronische versie van het dagblad.

19. In november 2009 wendde betrokkene zich tot de uitgever van het dagblad en stelde dat na invoering van zijn voor- en achternamen in de zoekmachine van Google, een verwijzing verscheen naar de krantenpagina’s waarop de executoriale verkoop werd aangekondigd. Hij betoogde dat het beslag wegens zijn socialezekerheidsschulden al jaren geleden was opgeheven en geen actualiteitswaarde meer had. De uitgever antwoordde dat zijn gegevens niet zouden worden verwijderd, aangezien de publicatie op last van het ministerie van Arbeid en Sociale Zaken had plaatsgevonden.

20. In februari 2010 nam de betrokkene contact op met Google Spain met het verzoek ervoor te zorgen dat de zoekresultaten van Google’s zoekmachine na invoering van zijn voor- en achternamen geen links naar het dagblad zouden tonen. Google Spain verwees betrokkene door naar Google Inc., gevestigd in Californië (Verenigde Staten), omdat deze onderneming volgens haar de aanbieder van de internetzoekdienst was.

21. De betrokkene heeft vervolgens een klacht ingediend bij de AEPD met het verzoek dat de uitgever zou worden verplicht om de publicatie te verwijderen of zodanig te wijzigen dat zijn persoonsgegevens niet werden getoond, dan wel om met behulp van de door zoekmachines geboden instrumenten zijn persoonlijke gegevens te beschermen. Ook verzocht hij de AEPD, Google Spain of Google Inc. te gelasten zijn gegevens te verwijderen of af te schermen, zodat deze niet langer in de zoekresultaten werden getoond met links naar het dagblad.

22. Bij besluit van 30 juli 2010 verklaarde de directeur van de AEPD de klacht van betrokkene tegen Google Spain en Google Inc. gegrond en beval hen de nodige maatregelen te nemen om de gegevens uit hun index te verwijderen en de toegang daartoe in de toekomst onmogelijk te maken. De klacht tegen de uitgever wees hij daarentegen af, op de grond dat publicatie van de gegevens in de pers een wettelijke grondslag had. Google Inc. en Google Spain zijn tegen dat besluit van de AEPD opgekomen bij de verwijzende rechter en vorderen de nietigverklaring ervan.

23. De nationale rechter heeft de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen voorgelegd:

„1) Met betrekking tot de territoriale werkingssfeer van [de richtlijn] en bijgevolg van de Spaanse wetgeving inzake gegevensbescherming:

a) Moet worden aangenomen dat er sprake is van ,vestiging’ in de zin van artikel 4, lid 1, sub a, van [de richtlijn] in een of meerdere van de volgende gevallen:

– wanneer de exploitant van een zoekmachine in een lidstaat een kantoor of dochtermaatschappij opricht ten behoeve van de promotie en verkoop van advertentieruimte op de zoekmachine die zijn activiteiten richt op de inwoners van die lidstaat,

of

– wanneer de moedermaatschappij een dochtermaatschappij in die lidstaat aanwijst als haar vertegenwoordigster en verantwoordelijke voor de verwerking van twee concrete bestanden met de gegevens van de klanten die reclameovereenkomsten met die onderneming hebben gesloten,

of

– wanneer het kantoor of de dochtermaatschappij gevestigd in een lidstaat, verzoeken en sommaties van zowel betrokkenen als de bevoegde autoriteiten voor de handhaving van het recht van gegevensbescherming doorzendt aan de moedermaatschappij, die buiten de Europese Unie is gevestigd, ook al is die samenwerking vrijwillig?

b) Moet artikel 4, lid 1, sub c, van [de richtlijn] aldus worden uitgelegd dat er sprake is van ,gebruikmaking van middelen die zich op het grondgebied van genoemde lidstaat bevinden’,

– wanneer een zoekmachine gebruikmaakt van spiders of robots voor het lokaliseren en indexeren van gegevens op internetpagina’s die zich op servers in die lidstaat bevinden, of

– wanneer deze een bij die lidstaat behorende domeinnaam gebruikt en de zoekopdrachten en resultaten stuurt aan de hand van de taal van die lidstaat?

c) Kan de tijdelijke opslag van de door internetzoekmachines geïndexeerde informatie worden aangemerkt als gebruikmaking van middelen in de zin van artikel 4, lid 1, sub c, van [de richtlijn]? Zo ja, kan dit aanknopingscriterium dan als vervuld worden beschouwd wanneer de onderneming op grond van concurrentieoverwegingen weigert de plaats aan te geven waar zij deze indexen opslaat?

d) Los van het antwoord op de voorgaande vragen en met name voor het geval dat het [Hof] meent dat niet is voldaan aan de aanknopingscriteria van artikel 4 van de richtlijn:

Moet [de richtlijn], in het licht van artikel 8 van het Europees Handvest van de grondrechten, worden toegepast in de lidstaat waar zich het zwaartepunt van het geschil bevindt en waar een meer doeltreffend toezicht op de rechten van de burgers van de Europese Unie mogelijk is?

2) In verband met de activiteit van de zoekmachines als leveranciers van content met betrekking tot [de richtlijn]:

a) Met betrekking tot de activiteit van de zoekmachine van de onderneming ,Google’ op internet, als leverancier van content, bestaande in het lokaliseren van door derden op internet gepubliceerde of opgeslagen gegevens, het automatisch indexeren ervan, het tijdelijk opslaan ervan en ten slotte het ter beschikking stellen ervan aan internetgebruikers in een bepaalde volgorde, wanneer die informatie persoonsgegevens van derden bevat, moet een activiteit als hierboven omschreven worden geacht te vallen onder het begrip ‚verwerking van gegevens’ in artikel 2, sub b, van [de richtlijn]?

b) Indien het antwoord op de voorgaande vraag bevestigend luidt, en nog steeds in verband met een activiteit als boven omschreven:

Moet artikel 2, sub d, van [de richtlijn] aldus worden uitgelegd dat de onderneming die de Google-zoekmachine exploiteert, de ,voor de verwerking verantwoordelijke’ is met betrekking tot de persoonsgegevens op de internetpagina’s die zij indexeert?

c) Indien het antwoord op de voorgaande vraag bevestigend luidt:

Kan de toezichthoudende autoriteit (in dit geval de [AEPD]) ter bescherming van de rechten van de artikelen 12, sub b, en 14, sub a, van [de richtlijn] zich rechtstreeks tot de exploitant van de zoekmachine van de onderneming ,Google’ richten en verlangen dat zij door derden gepubliceerde gegevens uit haar bestanden verwijdert, zonder zich eerst of tegelijkertijd te wenden tot de houder van de internetpagina waarop zich die informatie bevindt?

d) Indien het antwoord op deze laatste vraag bevestigend luidt:

Vervalt de verplichting van de exploitant van de zoekmachine om deze rechten te beschermen wanneer de informatie waarin de persoonsgegevens zijn opgenomen, door derden rechtmatig is gepubliceerd en op de oorspronkelijke internetpagina blijft gehandhaafd?

3) Met betrekking tot de omvang van het recht op verwijdering en/of het recht van verzet in verband met het recht om te worden vergeten, wordt de volgende vraag voorgelegd:

Moet het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, en het recht van verzet als bedoeld in artikel 14, sub a, van [de richtlijn] aldus worden uitgelegd dat de betrokkene zich tot de exploitant van de zoekmachine kan wenden teneinde de indexering van zijn persoon betreffende gegevens te verhinderen die op internetpagina’s van derden zijn gepubliceerd, daarbij als zijn wens te kennen gevend dat deze informatie niet bekend wordt bij internetgebruikers wanneer deze hem naar zijn mening kan benadelen, of vergeten wordt, hoewel het om door derden rechtmatig gepubliceerde informatie gaat?”

24. Google, de Spaanse, de Griekse, de Oostenrijkse en de Poolse regering alsmede de Europese Commissie hebben schriftelijke opmerkingen ingediend. Met uitzondering van de Poolse regering waren alle, evenals de betrokkene, vertegenwoordigd ter terechtzitting van 26 februari 2013 waar zij in hun pleidooien zijn gehoord.

IV – Opmerkingen vooraf

A – Inleidende opmerkingen

25. Het centrale vraagstuk in de onderhavige zaak is hoe de rol van aanbieders van een internetzoekmachine dient te worden opgevat in het licht van de bestaande regelingen van de Unie inzake gegevensbescherming, en met name de richtlijn. Ik acht het daarom zinvol om te beginnen met enkele opmerkingen over de ontwikkeling van de gegevensbescherming, het internet en de internetzoekmachines.

26. Toen de onderhandelingen over de richtlijn in gang waren en deze in 1995 werd vastgesteld(17), werd daaraan een brede materiële werkingssfeer toegekend. Hiermee werd beoogd aan te sluiten bij technologische ontwikkelingen waardoor gegevens op een meer gedecentraliseerde schaal konden worden verwerkt dan mogelijk was bij de op traditionele gecentraliseerde gegevensbanken gebaseerde bestandssystemen, en die tevens nieuwe typen persoonsgegevens (zoals beelden) alsook nieuwe verwerkingsmethoden (zoals zoekmogelijkheden in teksten) omvatten.(18)

27. In 1995 was algemene toegang tot het internet een nieuw verschijnsel. Inmiddels, bijna twintig jaar later, heeft een ware explosie plaatsgevonden in de omvang van gedigitaliseerd, online beschikbaar materiaal. De toegang tot dit materiaal, evenals de raadpleging en verspreiding ervan door middel van de sociale media is eenvoudig, zoals ook het downloaden ervan op diverse toestellen, zoals tablets, smartphones en laptopcomputers. Het is echter duidelijk dat de ontwikkeling van het internet tot een alomvattende wereldwijde informatievoorraad die universeel toegankelijk is en door iedereen doorzocht kan worden, niet was voorzien door de communautaire wetgever.

28. Aan de wortel van de onderhavige prejudiciële verwijzing ligt de voorheen ongekende wijze waarop het internet de verspreiding van informatie heeft vergemakkelijkt en versterkt.(19) Zoals de uitvinding van de boekdrukkunst in de 15e eeuw de vervaardiging van een onbeperkt aantal afschriften mogelijk maakte, terwijl deze voorheen met de hand moesten worden gekopieerd, maakt het laden van materiaal op het internet op massale schaal informatie toegankelijk die voorheen wellicht na lang en moeizaam zoeken op een beperkt aantal fysieke locaties te vinden was. Universele toegang tot informatie op het internet is overal mogelijk, met uitzondering van die landen waar de autoriteiten met allerlei technische middelen (zoals elektronische barrières) de toegang tot het internet hebben beperkt of waar de toegang tot telecommunicatiemiddelen onder controle staat of schaars is.

29. Door deze ontwikkelingen is de potentiële werkingssfeer van de richtlijn in de huidige tijd verrassend ruim geworden. We hoeven ons maar een hoogleraar Europees recht voor te stellen die vanaf de website van het Hof de belangrijkste rechtspraak daarvan op zijn laptop heeft geladen. In termen van de richtlijn kan de hoogleraar beschouwd worden als een „verantwoordelijke” voor de verwerking van persoonsgegevens die van een derde afkomstig zijn. De hoogleraar heeft materiaal in zijn bezit waarin persoonsgegevens voorkomen die automatisch verwerkt worden om binnen de context van activiteiten die niet uitsluitend persoonlijk of huishoudelijk van aard zijn, te worden doorzocht en geraadpleegd. In feite houdt iedereen die tegenwoordig een dagblad leest op een tablet-computer, of de sociale media bijhoudt op een smartphone, zich bezig met de geautomatiseerde verwerking van persoonsgegevens en kan daarom potentieel onder de werkingssfeer van de richtlijn vallen voor zover hij dit niet in een zuiver particuliere hoedanigheid doet.(20) Daar komt bij dat de ruime uitlegging die het Hof in het kader van de gegevensbescherming heeft gegeven aan het grondrecht op eerbiediging van het privéleven, alle menselijke communicatie langs elektronische weg lijkt bloot te stellen aan een toetsing in het licht van dit recht.

30. Gezien de technologische ontwikkeling kunnen de ruime definities van „persoonsgegevens”, „verwerking van persoonsgegevens” en „voor de verwerking verantwoordelijke” in de huidige omstandigheden een ongekend breed gamma van nieuwe feitelijke situaties bestrijken. Veel, zo niet de meeste, websites en de daar toegankelijk gemaakte bestanden bevatten immers persoonsgegevens, zoals namen van levende natuurlijke personen. Dit dwingt het Hof tot een redelijkheidstoetsing – met andere woorden: tot toepassing van het evenredigheidsbeginsel – bij de uitlegging van de werkingssfeer van de richtlijn teneinde onredelijke en buitensporige juridische consequenties te voorkomen. Deze gematigde benadering heeft het Hof reeds toegepast in zijn arrest Lindqvist, waarin het een uitlegging verwierp die zou hebben geleid tot een onredelijk ruime werkingssfeer van artikel 25 van de richtlijn wat de doorgifte van persoonsgegevens naar derde landen met gebruik van internet betreft.(21)

31. In de onderhavige zaak zal daarom een juist, redelijk en evenredig evenwicht moeten worden gevonden tussen de bescherming van persoonsgegevens, een consistente uitlegging van de doelstellingen van de informatiemaatschappij en de gerechtvaardigde belangen van marktdeelnemers en internetgebruikers in het algemeen. Hoewel de richtlijn sinds de vaststelling ervan in 1995 niet is gewijzigd, is de toepassing ervan op nieuwe situaties onvermijdelijk gebleken. Het gebied waar recht en nieuwe technologieën elkaar ontmoeten is complex. De adviezen van de groep gegevensbescherming artikel 29 bieden in dit opzicht bijzonder nuttige analyses.(22)

B – Internetzoekmachines en gegevensbescherming

32. Bij de bespreking van de juridische situatie rond internetzoekmachines vanuit het oogpunt van de regels inzake gegevensbescherming is het volgende van belang.(23)

33. Ten eerste genereert een internetzoekmachine, in de meest eenvoudige vorm daarvan, in beginsel geen nieuwe autonome content. In die meest eenvoudige vorm geeft zij enkel aan waar reeds bestaande, door derden op het internet geplaatste content kan worden gevonden door een hyperlink te bieden naar de website die de zoektermen bevat.

34. Ten tweede zijn de door een internetzoekmachine getoonde zoekresultaten niet gebaseerd op een op dat moment uitgevoerde zoekactie van het gehele world wide web, maar worden zij verzameld uit reeds eerder door de zoekmachine verwerkte content. De internetzoekmachine heeft deze content namelijk opgehaald van bestaande websites en vervolgens op haar eigen apparatuur gekopieerd, geanalyseerd en geïndexeerd. Dit materiaal omvat persoonlijke gegevens indien een bronpagina die bevat.

35. Ten derde tonen internetzoekmachines dikwijls, om de resultaten meer gebruikersvriendelijk te maken, ook aanvullende content naast de link naar de oorspronkelijke website. Dit kunnen tekstfragmenten zijn, audiovisuele content of zelfs een weergave van de bronpagina’s. Deze informatie in de vorm van een „preview” kan zich althans gedeeltelijk op de apparatuur van de aanbieder van de internetzoekmachine bevinden, en hoeft dus niet rechtstreeks afkomstig te zijn van de oorspronkelijke website. Met andere woorden, de aanbieder van de zoekdienst is in feite de houder van de aldus getoonde informatie.

C – Regeling van internetzoekmachines

36. De Europese Unie kent grote betekenis toe aan de ontwikkeling van de informatiemaatschappij. In dit verband is ook de rol van informatiemaatschappijtussenpersonen aan de orde gekomen. Zulke tussenpersonen fungeren als bruggenbouwers tussen aanbieders van content en de gebruikers van internet. De specifieke rol van tussenpersonen is onder meer erkend in de onderhavige richtlijn (punt 47 van de considerans), in richtlijn 2000/31 inzake elektronische handel(24) (artikel 21, lid 2, en punt 18 van de considerans ervan), alsmede in advies 1/2008 van de groep gegevensbescherming artikel 29. De rol van de aanbieders van internetdiensten werd van cruciaal belang geacht voor de informatiemaatschappij, en hun aansprakelijkheid voor de van derden afkomstige content die zij doorgeven en/of opslaan is beperkt om hun legitieme activiteiten te vergemakkelijken.

37. De rol en de juridische positie van de aanbieder van een internetzoekmachine is in de Uniewetgeving niet uitdrukkelijk geregeld. „Informatiezoekinstrumenten” worden „langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten verricht” en vormen als zodanig een dienst van de informatiemaatschappij die instrumenten levert om het zoeken naar, de toegang tot en het verkrijgen van gegevens mogelijk te maken. Aanbieders van een internetzoekmachine als Google, die hun dienst verrichten zonder daarvoor door de internetgebruikers betaald te worden, vallen als zodanig echter buiten de werkingssfeer van richtlijn 2000/31 inzake de elektronische handel.(25)

38. Het is desondanks nodig hun positie te onderzoeken vanuit het oogpunt van de rechtsbeginselen die ten grondslag liggen aan de beperkingen van de aansprakelijkheid van verleners van internetdiensten. Met andere woorden: in hoeverre komen de activiteiten van een aanbieder van een internetzoekmachine, vanuit het oogpunt van aansprakelijkheidsbeginselen, overeen met de diensten die worden opgesomd in richtlijn 2000/31 inzake elektronische handel (overdracht, opslag in het cachegeheugen, hosting) of met de dienst van doorgifte genoemd in punt 47 van de considerans van de onderhavige richtlijn, en in hoeverre wordt de aanbieder van een internetzoekmachine zelf beschouwd als aanbieder van content?

D – De rol en aansprakelijkheid van uitgevers van bronpagina’s

39. Volgens het Hof in het arrest Lindqvist „moet het plaatsen van persoonsgegevens op een internetpagina als [verwerking van persoonsgegevens] worden aangemerkt”.(26) Het Hof merkte bovendien op dat „het plaatsen van informatie op een internetpagina volgens de thans toegepaste technische en elektronische procedures betekent, dat die pagina wordt geüploaded op een server en dat de nodige handelingen worden verricht om die pagina toegankelijk te maken voor degenen die een internetverbinding hebben gemaakt. Die handelingen worden ten minste gedeeltelijk geautomatiseerd verricht.” Het stelde vast dat „het vermelden van verschillende personen op een internetpagina met hun naam of anderszins [...], als een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 3, lid 1, van [de richtlijn] is aan te merken”.

40. Hieruit volgt dat iemand die bronpagina’s waarop persoonlijke gegevens worden vermeld op het web plaatst (hierna: „uitgever”), een voor de verwerking van persoonsgegevens verantwoordelijke in de zin van de richtlijn is. In die hoedanigheid is de uitgever gebonden aan alle verplichtingen die de richtlijn aan zodanige verantwoordelijken oplegt.

41. Bronpagina’s worden bewaard op hostservers die zijn verbonden met het internet. De uitgever van een bronpagina kan daarin zogeheten „exclusion codes” (hierna: „uitsluitingscodes”)(27) opnemen, die zijn gericht op de internetzoekmachines. Uitsluitingscodes verzoeken zoekmachines om een webpagina niet te indexeren, op te slaan of bij de zoekresultaten te tonen.(28) Met deze codes geeft de uitgever aan, niet te willen dat bepaalde informatie op de bronpagina door een zoekmachine wordt opgepakt teneinde verder te worden verspreid.

42. De uitgever heeft dus technisch gesproken de mogelijkheid om op zijn webpagina uitsluitingscodes op te nemen waardoor de indexering en archivering van die pagina wordt beperkt, en zo een verhoogde bescherming van persoonsgegevens te bereiken. In het uiterste geval kan de uitgever de pagina terugnemen van de hostserver, deze na verwijdering van de ongewenste persoonsgegevens opnieuw publiceren en dan verzoeken om bijwerking van de in de cachegeheugens van zoekmachines opgeslagen pagina.

43. De persoon die een bepaalde content op een bronpagina openbaar maakt, is in zijn hoedanigheid van verantwoordelijke voor de verwerking aansprakelijk voor de op die pagina gepubliceerde persoonsgegevens, en die persoon kan zijn verplichtingen in dat verband op een aantal manieren vervullen. Deze kanalisering van de juridische aansprakelijkheid is in overeenstemming met de beginselen die gelden voor de aansprakelijkheid van uitgevers in de sfeer van de traditionele media.(29)

44. Deze aansprakelijkheid van de uitgever vormt echter geen waarborg dat problemen van gegevensbescherming slechts kunnen worden opgelost door zich tot de voor de bronpagina verantwoordelijke persoon te wenden. Zoals de verwijzende rechter heeft opgemerkt, is het mogelijk dat dezelfde persoonsgegevens zijn gepubliceerd op een ontelbaar aantal pagina’s, zodat het traceren en benaderen van alle betrokken uitgevers moeilijk of zelfs ondoenlijk is. Bovendien is het mogelijk dat de uitgever in een derde land gevestigd is en dat de webpagina’s in kwestie buiten de werkingssfeer van de Unieregels inzake gegevensbescherming vallen. Ook kunnen er juridische belemmeringen zijn, zoals in de onderhavige zaak waarin de handhaving van de originele publicatie op het internet rechtmatig werd geoordeeld.

45. In werkelijkheid staat of valt de universele toegankelijkheid van de informatie op het internet met het bestaan van zoekmachines, omdat het achterhalen van relevante informatie zonder deze zoekmachines te omslachtig en te lastig zou zijn, en aanmerkelijk minder resultaten zou opleveren. Zoals de verwijzende rechter terecht opmerkt, was vroeger een bezoek aan de archieven van de krant nodig om informatie te verkrijgen over aankondigingen van een gedwongen verkoop van goederen van de betrokkene. Deze informatie kan thans worden verkregen door zijn naam in te typen in een internetzoekmachine, waardoor de verspreiding van zulke gegevens aanzienlijk efficiënter wordt en tegelijkertijd onaangenamer voor de betrokkene. Internetzoekmachines kunnen worden gebruikt om tamelijk gedetailleerde profielen van personen op te stellen door hun persoonlijke gegevens op te zoeken en te verzamelen. Het was juist de vrees voor zulke individuele profielen die de aanzet vormde voor de ontwikkeling van de moderne wetgeving inzake gegevensbescherming.(30)

46. Het is daarom van belang aandacht te besteden aan de aansprakelijkheid van aanbieders van een internetzoekmachine ten aanzien van persoonsgegevens die zijn gepubliceerd op bronpagina’s van een derde waartoe die zoekmachines toegang geven. Anders gezegd, het Hof wordt hier gesteld voor het vraagstuk van „secundaire aansprakelijkheid” van deze categorie aanbieders van diensten van de informatiemaatschappij, analoog aan het vraagstuk dat in zijn rechtspraak aan de orde kwam op het gebied van handelsmerken en elektronische marktplaatsen.(31)

E – Activiteiten van een aanbieder van een internetzoekmachine

47. Een aanbieder van een internetzoekmachine kan allerlei soorten activiteiten ontplooien. De aard van die activiteiten en de beoordeling daarvan vanuit een oogpunt van gegevensbescherming kan verschillen.

48. Een aanbieder van een internetzoekmachine kan automatisch persoonsgegevens verzamelen die betrekking hebben op de gebruikers ervan(32), dat wil zeggen, op de personen die zoektermen invoeren in de zoekmachine. Deze automatisch overgebrachte gegevens kunnen bestaan uit hun IP-adres, gebruiksvoorkeuren (taal, enzovoort) en natuurlijk de zoektermen zelf, die in het geval van het zogenoemde „egosurfen” (een zoekactie waarbij een gebruiker zijn eigen naam invoert) snel de identiteit van een gebruiker onthullen. Van personen met een gebruikersaccount, die zichzelf daarmee hebben geregistreerd, belanden de persoonlijke gegevens zoals namen, e‑mailadressen en telefoonnummers, vrijwel altijd in de handen van de aanbieder van de internetzoekmachine.

49. De aanbieder van een internetzoekmachine verkrijgt zijn inkomsten niet van de gebruikers die zoektermen in de zoekmachine invoeren, maar van de adverteerders die zoektermen kopen als trefwoorden, zodat hun advertentie tegelijkertijd met de zoekresultaten voor dat trefwoord wordt getoond.(33) Het ligt voor de hand dat persoonsgegevens van de adverterende klanten in het bezit komen van de aanbieder van de dienst.

50. De onderhavige prejudiciële verwijzing heeft evenwel betrekking op de activiteiten van Google als eenvoudige aanbieder van een internetzoekmachine, in verband met gegevens, waaronder persoonsgegevens, die op internet zijn gepubliceerd in bronpagina’s van een derde en die zijn verwerkt en geïndexeerd door Google’s zoekmachine. De problemen van de gebruikers en adverterende klanten (op de gegevens waarvan de richtlijn in hun relatie met Google ongetwijfeld van toepassing is) hebben derhalve geen weerslag op de beantwoording van de tweede groep prejudiciële vragen. Voor de kwesties van rechtsmacht, waar de eerste groep prejudiciële vragen betrekking op heeft, kunnen deze groepen klanten echter nog wel relevant zijn.

V – De eerste groep vragen, betreffende de territoriale werkingssfeer van de richtlijn

A – Inleiding

51. De eerste groep prejudiciële vragen heeft betrekking op de uitlegging van artikel 4 van de richtlijn, en betreft de criteria voor de vaststelling van de territoriale werkingssfeer van de nationale uitvoeringswetgeving.

52. De verwijzende rechter heeft zijn prejudiciële vragen over de territoriale toepassing van de Spaanse gegevensbeschermingswetgeving onderverdeeld in vier subvragen. De eerste subvraag betreft het begrip „vestiging” in de zin van artikel 4, lid 1, sub a, van de richtlijn, en de tweede subvraag de omstandigheden waarin de verwerker „gebruikmaakt van middelen die zich op het grondgebied van die lidstaat bevinden” in de zin van artikel 4, lid 1, sub c, daarvan. Met de derde subvraag wenst de verwijzende rechter te vernemen, of de tijdelijke opslag van de door internetzoekmachines geïndexeerde informatie kan worden aangemerkt als gebruikmaking van middelen, en zo ja, of dit aanknopingscriterium als vervuld kan worden beschouwd wanneer de onderneming weigert aan te geven waar zij deze indexen opslaat. De vierde subvraag betreft de kwestie of de wetgeving tot uitvoering van de richtlijn in het licht van artikel 8 van het Handvest moet worden toegepast in de lidstaat waar zich het zwaartepunt van het geschil bevindt en waar een meer doeltreffende bescherming van de rechten van de burgers van de Europese Unie mogelijk is.

53. Ik zal eerst de laatste subvraag behandelen, die de nationale rechter heeft gesteld „[l]os van het antwoord op de voorgaande vragen en met name voor het geval dat [het Hof] meent dat niet is voldaan aan de aanknopingscriteria van artikel 4[, lid 1,] van de richtlijn”.

B – Het geografisch zwaartepunt van het geschil biedt als zodanig niet voldoende grond tot toepassing van de richtlijn

54. Krachtens artikel 51, lid 2, van het Handvest breidt dit de werkingssfeer van het recht van de Unie niet verder uit dan de bevoegdheden van de Unie reiken, schept het geen nieuwe bevoegdheden voor de Unie, noch wijzigt het de in de Verdragen omschreven bevoegdheden en taken.(34) Dit beginsel geldt ook voor artikel 8 van het Handvest, inzake de bescherming van persoonsgegevens. De uitlegging van de richtlijn in overeenstemming met het Handvest kan derhalve geen nieuwe aanknopingspunten voor een territoriale toepasselijkheid van de nationale uitvoeringswetgeving van de richtlijn toevoegen aan die van 4, lid 1, van de richtlijn. Artikel 8 van het Handvest moet, uiteraard, in aanmerking worden genomen bij de uitlegging van de in artikel 4, lid 1, van de richtlijn gehanteerde begrippen, maar de door de Uniewetgever bepaalde aanknopingspunten kunnen niet worden aangevuld met een geheel nieuw, aan dat grondrecht ontleend criterium.(35)

55. De groep gegevensbescherming artikel 29 heeft terecht benadrukt dat het criterium voor de territoriale werkingssfeer van de richtlijn en de nationale uitvoeringswetgeving daarvan, ofwel de plaats is waar de voor de verwerking verantwoordelijke is gevestigd, ofwel de plaats van de gebruikte middelen, wanneer de verantwoordelijke buiten de EER gevestigd is. De nationaliteit of gebruikelijke woonplaats van de betrokkene is niet doorslaggevend, evenmin als de plaats waar het bestand met de persoonsgegevens zich feitelijk bevindt.(36)

56. De groep gegevensbescherming artikel 29 heeft voorgesteld dat het gericht benaderen van personen in toekomstige wetgeving in aanmerking kan worden genomen wanneer de voor de verwerking verantwoordelijke niet in de Europese Unie is gevestigd.(37) In het commissievoorstel voor een algemene verordening gegevensbescherming uit 2012(38) is het aanbieden van goederen of diensten aan in de Unie wonende betrokkenen een criterium om het gegevensbeschermingsrecht van de Unie toe te passen op in derde landen gevestigde verantwoordelijken. Een dergelijke benadering, waarbij de territoriale werkingssfeer van Uniewetgeving wordt gekoppeld aan het beoogde publiek, is in overeenstemming met de rechtspraak van het Hof inzake de toepasselijkheid op grensoverschrijdende situaties van richtlijn 2000/31 inzake elektronische handel(39), verordening nr. 44/2001(40) en richtlijn 2001/29(41).

57. Het criterium van het benaderde publiek, in de onderhavige zaak Spaanse gebruikers van Google’s internetzoekmachine, in wier ogen de reputatie van betrokkene geschaad kan zijn ten gevolge van de bestreden aankondigingen, lijkt daarentegen geen factor te zijn die als grondslag kan dienen voor de territoriale toepasselijkheid van de richtlijn en de nationale uitvoeringswetgeving.

58. Het in Spanje gelegen zwaartepunt van het geschil kan derhalve niet worden toegevoegd aan de criteria van artikel 4, lid 1, van de richtlijn, dat naar mijn mening de territoriale werkingssfeer van de gegevensbeschermingswetgeving van de lidstaten volledig harmoniseert. Hierbij is niet van belang of een zodanig zwaartepunt is gelegen in de nationaliteit of de woonplaats van de betrokkene, de plaats waar de litigieuze persoonsgegevens van de website van het dagblad zich bevinden, of in het feit dat Google’s Spaanse website met name op het Spaanse publiek gericht is.(42)

59. Derhalve geef ik het Hof in overweging om, mocht het een antwoord op dit punt nodig achten, de vierde subvraag ontkennend te beantwoorden.

C – De toepasselijkheid van het criterium „vestiging in de Unie” op een in een derde land gevestigde aanbieder van een internetzoekmachine

60. Volgens artikel 4, lid 1, van de richtlijn is het voornaamste criterium voor de territoriale toepasselijkheid van de nationale wetgeving inzake gegevensbescherming, of de verwerking van persoonsgegevens wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke. Wanneer een verantwoordelijke niet op het grondgebied van de Unie is gevestigd, maar voor de verwerking van persoonsgegevens gebruikmaakt van middelen(43) die zich op het grondgebied van de lidstaat bevinden, is voorts de wetgeving van die lidstaat van toepassing tenzij deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

61. Zoals reeds eerder opgemerkt, zijn de richtlijn en artikel 4 daarvan vastgesteld voordat onlinediensten op grote schaal op internet werden aangeboden. Bovendien zijn de bewoordingen ervan op dat punt niet consistent en onvolledig.(44) Het wekt geen verbazing dat de gegevensbeschermingsdeskundigen aanzienlijke moeite hadden met de uitlegging ervan in relatie tot internet. De feiten van de onderhavige zaak illustreren deze problemen.

62. Google Inc. is een Californische onderneming met dochterondernemingen in verschillende lidstaten van de Unie. De Europese activiteiten worden tot op zekere hoogte gecoördineerd door haar Ierse dochteronderneming. Zij beschikt momenteel ten minste over datacentra in België en Finland. Informatie over de exacte geografische locatie van de functies ter ondersteuning van de zoekmachine wordt niet openbaar gemaakt. Google beweert dat in Spanje in het kader van de zoekmachine geen verwerking van persoonsgegevens plaatsvindt. Google Spanje treedt op als commercieel vertegenwoordiger van Google wat haar advertentieactiviteiten betreft en is als zodanig verantwoordelijk voor de verwerking van persoonsgegevens van haar Spaanse adverteerders. Google ontkent dat haar zoekmachine bewerkingen verricht op de hostservers van de bronpagina’s, of met behulp van cookies informatie verzamelt over niet-geregistreerde gebruikers van haar zoekmachine.

63. In deze feitelijke context zijn de bewoordingen van artikel 4, lid 1, van de richtlijn niet bijzonder behulpzaam. Google heeft verschillende vestigingen op het grondgebied van de Unie. Volgens een letterlijke uitlegging zou deze omstandigheid de toepasselijkheid van de voorwaarde van artikel 4, lid 1, sub c, van de richtlijn betreffende de gebruikte middelen uitsluiten. Anderzijds is het niet duidelijk in welke mate en waar verwerking van persoonsgegevens van in de Unie woonachtige betrokkenen plaatsvindt in het kader van de Europese dochterondernemingen.

64. Mijns inziens dient het Hof de vraag van de territoriale toepasselijkheid te benaderen vanuit het oogpunt van het bedrijfsmodel van de aanbieders van een internetzoekmachine. Zoals ik reeds heb opgemerkt, berust dit normaliter op reclame op basis van trefwoorden („keyword advertising”) als inkomstenbron, die als zodanig de economische bestaansgrond vormt voor het aanbieden van een gratis instrument voor het lokaliseren van gegevens in de vorm van een zoekmachine. De entiteit die verantwoordelijk is voor dit adverteren op basis van trefwoorden („zoekmachineadvertentiedienst” in de rechtspraak van het Hof(45)) is gelieerd met de internetzoekmachine. Voor deze entiteit is aanwezigheid op de nationale advertentiemarkten een noodzaak. Daarom heeft Google in veel lidstaten dochterondernemingen opgericht, die duidelijk vestigingen in de zin van artikel 4, lid 1, sub a, van de richtlijn zijn. Voorts zorgt zij voor nationale webdomeinen zoals google.es of google.fi. Met deze nationale diversificatie houdt de zoekmachine in haar werkwijze op verschillende manieren rekening bij het tonen van de zoekresultaten, aangezien het normale financieringsmodel van reclame op basis van trefwoorden berust op de „pay‑per‑click”methode.(46)

65. Daarom wil ik me aansluiten bij de constatering van de groep gegevensbescherming artikel 29, dat het bedrijfsmodel van een aanbieder van een internetzoekmachine in aanmerking moet worden genomen, in de zin dat diens vestiging geacht moet worden een relevante rol bij de verwerking van persoonsgegevens te spelen wanneer deze in verbinding staat met een dienst die betrokken is bij het verkopen van op de inwoners van die lidstaat gerichte advertenties.(47)

66. Bovendien, zelfs indien artikel 4 van de richtlijn in zijn materiële bepalingen uitgaat van één enkel begrip „voor de verwerking verantwoordelijke”, moet een marktdeelnemer naar mijn mening vanuit het oogpunt van het preliminaire vraagstuk van de territoriale werkingssfeer worden beschouwd als één ondeelbare eenheid, en mag deze in dit stadium van de analyse niet worden opgesplitst naar zijn individuele activiteiten op het punt van de verwerking van persoonsgegevens of naar de verschillende groepen betrokkenen waarop zijn activiteiten betrekking hebben.

67. Ik vat samen: verwerking van persoonsgegevens vindt plaats binnen het kader van de vestiging van een verantwoordelijke, wanneer die vestiging fungeert als schakel voor de zoekdienst naar de advertentiemarkt van die lidstaat, ook al vinden de technische gegevensverwerkende werkzaamheden plaats in andere lidstaten of in derde landen.

68. Ik geef het Hof derhalve in overweging de eerste groep prejudiciële vragen aldus te beantwoorden dat verwerking van persoonsgegevens plaats heeft in het kader van de activiteiten van een „vestiging” van een voor de verwerking verantwoordelijke in de zin van artikel 4, lid 1, sub a, van de richtlijn, wanneer de onderneming die de zoekmachine aanbiedt, ten behoeve van de (bevordering van de) verkoop van advertentieruimte op de zoekmachine een kantoor of dochteronderneming opricht in een lidstaat en de activiteiten daarvan op de inwoners van die lidstaat zijn gericht.

VI – De tweede groep vragen, betreffende de materiële werkingssfeer van de richtlijn

69. De tweede groep vragen heeft betrekking op de rechtspositie van de aanbieder van een internetzoekmachine onder de richtlijn, wanneer hij toegang tot die zoekmachine verleent. De nationale rechter heeft de vraagstelling toegespitst op de begrippen „verwerking” van persoonsgegevens (vraag 2.1), en „voor de verwerking verantwoordelijke” (vraag 2.2); de bevoegdheid van de nationale gegevensbeschermingsautoriteit om rechtstreeks bevelen tot de aanbieder van de internetzoekmachine te richten (vraag 2.3) en de mogelijkheid dat door derden rechtmatig op internet gepubliceerde informatie door de aanbieder van de internetzoekmachine wordt uitgesloten van de bescherming van persoonsgegevens (vraag 2.4). De laatste twee subvragen zijn slechts aan de orde wanneer de aanbieder van de internetzoekmachine als verwerker van persoonsgegevens op bronpagina’s van derden en als voor die verwerking verantwoordelijke kan worden beschouwd.

A – Verwerking van persoonsgegevens door een internetzoekmachine

70. De eerste subvraag in deze groep betreft de toepasselijkheid van de begrippen „persoonsgegevens” en „verwerking” daarvan op een aanbieder van een internetzoekmachine als Google, ervan uitgaande dat het hierbij niet gaat om persoonsgegevens van gebruikers of adverteerders, maar om persoonsgegevens die op bronpagina’s van derden worden gepubliceerd en verwerkt worden door de aangeboden internetzoekmachine. Deze verwerking wordt door de nationale rechter omschreven als het lokaliseren, het automatisch indexeren en tijdelijk opslaan van informatie die door derden op internet is geplaatst of gepubliceerd, en ten slotte het beschikbaar stellen daarvan aan internetgebruikers volgens een bepaalde voorkeursvolgorde.

71. Mijns inziens hoeft niet lang bij deze subvraag te worden stilgestaan om tot een bevestigend antwoord te komen. De richtlijn geeft een ruime definitie van het begrip persoonsgegevens, die is toegepast door de groep gegevensbescherming artikel 29 en bevestigd door het Hof.(48)

72. Wat het begrip „verwerking” betreft, bronpagina’s op het internet kunnen namen, beelden, adressen, telefoonnummers, beschrijvingen en andere gegevens bevatten aan de hand waarvan een natuurlijke persoon geïdentificeerd kan worden, en dit is ook dikwijls het geval. Het feit dat de aanbieder van een internetzoekmachine onkundig blijft van het karakter van persoonsgegevens ervan, omdat de zoekmachine opereert zonder enige menselijke interactie met de gegevens die voor zoekdoeleinden worden verzameld, geïndexeerd en getoond, doet hieraan niet af.(49) Hetzelfde geldt voor het feit dat de aanwezigheid van persoonsgegevens op de bronpagina’s vanuit het oogpunt van de aanbieder van de internetzoekmachine in zekere zin toevallig is omdat er voor hem of, om precies te zijn, voor de zoekmachine die alle op het internet toegankelijke webpagina’s „afkruipt” („spider”- of „crawl”-functie), analyseert en indexeert, geen technisch of operationeel verschil bestaat tussen een bronpagina met of zonder persoonsgegevens.(50) Naar mijn mening moet met deze omstandigheden echter wel rekening worden gehouden bij de uitlegging van het begrip „voor de verwerking verantwoordelijke”.

73. De spider-functie van Google’s zoekmachine, de zogeheten „googlebot”, kruipt voortdurend en systematisch, van de ene naar de andere bronpagina met gebruikmaking van de hyperlinks tussen de pagina’s, het internet over en vraagt de bezochte sites een kopie te verstrekken van de bezochte pagina.(51) De kopieën van die bronpagina’s worden geanalyseerd door Google’s indexeringsfunctie. Op de pagina’s aangetroffen tekenreeksen (trefwoorden, zoektermen) worden vastgelegd in de index van de zoekmachine.(52) Google’s verfijnde zoekalgoritme beoordeelt voorts de relevantie van de zoekresultaten. De combinaties van deze trefwoorden met de URL-adressen, voor zover beschikbaar, vormen de index van de zoekmachine. De door de gebruikers aangevraagde zoekacties worden verricht binnen de index. Ten behoeve van de indexering en het tonen van de zoekresultaten worden de kopieën van de pagina’s namelijk geregistreerd in het cachegeheugen van de zoekmachine.(53)

74. Na de zoekactie van de gebruiker wordt een kopie getoond van de gezochte bronpagina zoals deze in het cachegeheugen is opgeslagen. Wanneer de gebruiker echter bijvoorbeeld op de bronpagina opgenomen beelden wil zien, kan hij toegang tot de oorspronkelijke pagina verkrijgen. Het cachegeheugen wordt dikwijls bijgewerkt, maar er kunnen zich situaties voordoen waarin de door de zoekmachine getoonde pagina niet overeenkomt met de bronpagina’s van de hostserver omdat deze zijn gewijzigd of gewist.(54)

75. Het behoeft geen betoog dat de in het vorige punt beschreven procedures zijn aan te merken als verwerking van de persoonsgegevens op de bronpagina’s die door de zoekmachine worden gekopiëerd, geïndexeerd, in het cachegeheugen opgeslagen en getoond. Met name is hierbij sprake van verzamelen, vastleggen, ordenen en bewaren van zulke persoonsgegevens en mogelijk ook van het gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, of met elkaar in verband brengen van persoonsgegevens in de zin van artikel 2, sub b, van de richtlijn.

B – Het begrip „voor de verwerking verantwoordelijke”

76. Een voor de verwerking verantwoordelijke(55) is volgens artikel 2, sub d, van de richtlijn „de natuurlijke of rechtspersoon [...] die [...] alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. Mijns inziens is het centrale vraagstuk in deze zaak of en in hoeverre deze definitie zich uitstrekt tot de aanbieder van een internetzoekmachine.

77. Alle partijen behalve Google en de Griekse regering stellen een bevestigend antwoord voor op deze vraag. Dit kan makkelijk genoeg worden verdedigd als logische conclusie van een letterlijke en misschien zelfs een teleologische interpretatie van de richtlijn, gegeven de omstandigheid dat de voornaamste definities van de richtlijn uitputtend zijn geformuleerd teneinde mede nieuwe ontwikkelingen te omvatten. Ik ben echter van mening dat een dergelijke benadering volstrekt voorbij zou gaan aan het feit dat ten tijde van de opstelling van de richtlijn onmogelijk rekening kon worden gehouden met de opkomst van het internet en de diverse daarmee verband houdende nieuwe verschijnselen.

78. Toen de richtlijn werd vastgesteld was het internet nog maar net realiteit geworden, en stonden zoekmachines nog in de kinderschoenen. De bepalingen van de richtlijn houden domweg geen rekening met het feit dat enorme aantallen decentraal opgeslagen elektronische documenten en dossiers vanaf overal ter wereld toegankelijk zijn, en dat de inhoud ervan kan worden gekopiëerd, geanalyseerd en verspreid door partijen die in geen enkel verband staan tot de auteurs ervan, of tot degenen die deze op het internet hebben geplaatst.

79. Ik wijs erop dat het Hof in het arrest Lindqvist niet meeging met de door de Commissie voorgestelde maximalistische benadering ten aanzien van de uitlegging van het begrip doorgifte van gegevens naar derde landen. Het Hof oordeelde: „Gezien de ontwikkeling van internet ten tijde van de opstelling van richtlijn 95/46 en het ontbreken van criteria voor het gebruik van internet in hoofdstuk IV, kan niet worden aangenomen dat het de bedoeling was van de gemeenschapswetgever [...] het begrip doorgifte van gegevens naar een derde land ook te laten gelden voor de handeling van een persoon in de situatie van Lindqvist die gegevens op een internetpagina plaatst, ook wanneer die gegevens daarmee toegankelijk worden gemaakt voor personen uit derde landen die de technische middelen hebben om zich toegang daartoe te verschaffen”.(56) Hieruit vloeit mijns inziens voort dat bij de uitlegging van de richtlijn in het licht van nieuwe technologische ontwikkelingen, rekening moet worden gehouden met het evenredigheidsbeginsel, de doelstellingen van de richtlijn en de middelen die deze biedt voor de verwezenlijking ervan, wil men komen tot een evenwichtige en redelijke conclusie.

80. Naar mijn mening is hier een van de centrale vragen of belang moet worden toegekend aan het feit dat de richtlijn in haar definitie van de „voor de verwerking verantwoordelijke” vermeldt dat deze „het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” (mijn cursivering). De partijen die Google als zodanig aanmerken, baseren dit oordeel op het onmiskenbare feit dat de dienstverlener die een internetzoekmachine exploiteert, het doel van en de middelen voor de verwerking van gegevens vaststelt.

81. Ik betwijfel echter of dit een waarheidsgetrouwe uitlegging van de richtlijn is wanneer de verwerking betrekking heeft op bestanden met persoonsgegevens en andere gegevens die op geen enkele manier georganiseerd, onderscheiden of geordend zijn. Stelt de hoogleraar Europees recht van mijn in punt 29 genoemde voorbeeld, doel en middelen vast van de verwerking van de persoonsgegevens genoemd in de arresten van het Hof die hij op zijn laptop heeft gedownload? Het oordeel van de groep gegevensbescherming artikel 29 dat „[g]ebruikers van de zoekmachine [...], strikt genomen, ook [zouden] kunnen worden beschouwd als voor de verwerking verantwoordelijke personen” legt de irrationaliteit bloot van een blind-letterlijke uitlegging van de richtlijn in de context van het internet.(57) Het Hof dient niet een uitlegging te aanvaarden waardoor vrijwel iedere bezitter van een smartphone, tablet of laptopcomputer valt aan te merken als verantwoordelijke voor de verwerking van op het internet gepubliceerde persoonsgegevens.

82. Ik ben van mening dat de algemene opzet van de richtlijn, de meeste taalversies ervan en de individuele verplichtingen die worden opgelegd aan „voor de verwerking verantwoordelijken”, berusten op de veronderstelling van een verantwoordelijkheid ten aanzien van de persoonlijke gegevens die worden verwerkt, in de zin dat de verantwoordelijke voor de verwerking zich bewust is van het bestaan van een bepaalde afgebakende categorie informatie, te weten persoonsgegevens, en dat de verantwoordelijke deze gegevens verwerkt met een zekere intentie verband houdend met de verwerking ervan als persoonsgegevens.(58)

83. De groep gegevensbescherming artikel 29 merkt terecht op: „Het begrip ,voor de verwerking verantwoordelijke’ is een functioneel begrip, dat is bedoeld om verantwoordelijkheden te leggen op de plaats waar de feitelijke invloed ligt. Het is dus meer op een feitelijke dan op een formele analyse gebaseerd.”(59) Zij merkt elders op dat de voor de verwerking verantwoordelijke moet vaststellen welke gegevens moeten worden verwerkt voor het beoogde doel.(60) De materiële bepalingen van de richtlijn, inzonderheid de artikelen 6, 7 en 8 ervan, berusten naar mijn mening op de veronderstelling dat de voor de verwerking verantwoordelijke weet waarmee hij bezig is ten aanzien van de persoonsgegevens in kwestie, in de zin dat hij zich ervan bewust is wat voor persoonsgegevens hij aan het verwerken is en waarom. Met andere woorden, de gegevensverwerking moet hem op een of andere semantisch relevante wijze voorkomen als verwerking van persoonsgegevens, dat wil zeggen „informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”, en niet als verwerking van enkel een computercode.(61)

C – Een aanbieder van een internetzoekmachine is geen „verantwoordelijke voor de verwerking” van persoonsgegevens op bronpagina’s van derden

84. De aanbieder van de internetzoekmachine die enkel een instrument levert voor het lokaliseren van informatie, oefent geen controle uit over persoonsgegevens die op webpagina’s van derden staan. De aanbieder van deze dienst is zich niet „bewust” van het bestaan van persoonsgegevens in enige andere zin dan dat webpagina’s statistisch gezien waarschijnlijk persoonsgegevens zullen bevatten. Tijdens de verwerking – in de vorm van het doorzoeken, analyseren en indexeren – van de bronpagina’s maken persoonsgegevens zich op geen enkele bijzondere manier als zodanig kenbaar.

85. Om deze reden vind ik de benadering van de groep gegevensbescherming artikel 29 juist, waar deze een scheidslijn aanbrengt tussen de geheel passieve en intermediaire functies van zoekmachines en de gevallen waarin zij een werkelijke controle uitoefenen over de verwerkte persoonsgegevens.(62) Omwille van de volledigheid dient hieraan te worden toegevoegd dat de vraag of de persoonsgegevens aan de openbaarheid zijn prijsgegeven(63) of rechtmatig zijn vermeld op bronpagina’s van een derde, niet ter zake doet voor de toepassing van de richtlijn.(64)

86. De aanbieder van de internetzoekmachine heeft niets te maken met de content van bronpagina’s van derden die mogelijk persoonsgegevens bevatten. Gegeven het feit dat de zoekmachine opereert op basis van kopieën van de bronpagina’s die zij met behulp van de spiderfunctie heeft gevonden en gekopieerd, beschikt de aanbieder ervan over geen enkel middel om de bij de hostservers berustende informatie te veranderen. Levering van een instrument om informatie te lokaliseren brengt geen controle mee over de inhoud daarvan. Het stelt de aanbieder van de internetzoekmachine zelfs niet in staat om te onderscheiden tussen persoonsgegevens in de zin van de richtlijn, die identificeerbare natuurlijke personen betreffen, en andere gegevens.

87. Hiervoor put ik steun uit het in punt 47 van de considerans van de richtlijn uitgedrukte beginsel. Daar wordt uitgesproken dat de verantwoordelijke voor de verwerking van via een telecommunicatie- of elektronische postdienst verzonden berichten die persoonsgegevens bevatten, de persoon is van wie het bericht uitgaat, en niet degene die de dienst aanbiedt. Dit punt van de considerans bouwt voort, evenals de in richtlijn 2000/31 inzake de elektronische handel (artikelen 12, 13 en 14) neergelegde uitzonderingen op de aansprakelijkheid, op het juridische beginsel dat een geautomatiseerde, technische en passieve verhouding tot elektronisch opgeslagen of overgebrachte content geen controle daarover of aansprakelijkheid daarvoor meebrengt.

88. De groep gegevensbescherming artikel 29 heeft erop gewezen dat de functie van het begrip verantwoordelijke voor de verwerking in de eerste plaats is te bepalen bij wie de verantwoordelijkheid berust om te voldoen aan de regels inzake gegevensbescherming, en die verantwoordelijkheid te koppelen aan de locatie waar de feitelijke invloed ligt.(65) De groep stelt: „Krachtens het evenredigheidsbeginsel dient een exploitant van een zoekmachine, voor zover deze zuiver als tussenpersoon optreedt, met betrekking tot de inhoudelijke verwerking van persoonsgegevens niet te worden beschouwd als de eerstverantwoordelijke persoon. In dit geval zijn de eerstverantwoordelijken voor de verwerking van persoonsgegevens de informatieverstrekkers.”(66)

89. Naar mijn mening kan de aanbieder van een internetzoekmachine ten aanzien van persoonsgegevens op bronpagina’s die zijn ondergebracht op de servers van derden, juridisch noch feitelijk voldoen aan de verplichtingen die de artikelen 6, 7 en 8 van de richtlijn een verantwoordelijke voor de verwerking oplegt. Een redelijke uitlegging van de richtlijn vereist derhalve dat de dienstverlener over het algemeen niet wordt geacht in de positie van verantwoordelijke voor de verwerking te verkeren.(67)

90. De tegengestelde opvatting zou meebrengen dat internetzoekmachines in strijd met het Unierecht zijn, wat mijns inziens een absurde conclusie is. Met name zouden de activiteiten van aanbieders van internetzoekmachines, wanneer zij werden beschouwd als verantwoordelijken voor de verwerking van de persoonsgegevens op bronpagina’s van derden die ergens „bijzondere” gegevens in de zin van artikel 8 van de richtlijn zouden bevatten (namelijk persoonsgegevens waaruit politieke opvattingen, godsdienstige overtuigingen, of gegevens die de gezondheid of het seksuele leven betreffen), automatisch illegaal worden zodra niet is voldaan aan de strenge voorwaarden die dat artikel stelt aan de verwerking van zulke gegevens.

D – Omstandigheden waaronder de aanbieder van de internetzoekmachine een „voor de verwerking verantwoordelijke” is

91. Aanbieders van een internetzoekmachine oefenen duidelijk controle uit over de index van de zoekmachine, die trefwoorden koppelt aan relevante URL-adressen. De aanbieder bepaalt de wijze waarop de index is opgezet, en kan bepaalde zoekresultaten technisch blokkeren, bijvoorbeeld door URL-adressen uit bepaalde landen of bepaalde domeinen niet te tonen in de zoekresultaten.(68) Bovendien heeft de aanbieder van de internetzoekmachine controle over zijn index in de zin dat hij beslist welke uitsluitingscodes(69) op een bronpagina worden gerespecteerd en welke niet.

92. De inhoud van het cachegeheugen van de internetzoekmachine kan daarentegen niet geacht worden onder de controle van de aanbieder te staan, omdat deze cache het resultaat is van volkomen technische en geautomatiseerde processen die een afspiegeling opleveren van de tekstgegevens van de doorzochte webpagina’s, met uitzondering van gegevens die van indexering en archivering zijn uitgesloten. Het is belangwekkend dat sommige lidstaten op de aansprakelijkheid van zoekmachines speciale horizontale uitzonderingen lijken te hebben vastgesteld, die paralellen vertonen met de uitzonderingen die richtlijn 2000/31 inzake elektronische handel kent voor bepaalde aanbieders van diensten van de informatiemaatschappij.(70)

93. Wat de inhoud van de cache betreft, vormt een beslissing om uitsluitingscodes(71) op een webpagina niet te respecteren, naar mijn mening controle over de desbetreffende persoonsgegevens in de zin van de richtlijn. Hetzelfde geldt in situaties waarin de aanbieder van de internetzoekmachine een webpagina in zijn cachegeheugen niet bijwerkt ondanks een verzoek daartoe van de website van oorsprong.

E – De verplichtingen van een aanbieder van een internetzoekmachine als „voor de verwerking verantwoordelijke”

94. Het is duidelijk dat indien en voor zover de aanbieder van de internetzoekmachine kan worden aangemerkt als „voor de verwerking verantwoordelijke”, hij moet voldoen aan de bij de richtlijn ingevoerde verplichtingen.

95. Met betrekking tot de criteria volgens welke gegevens mogen worden verwerkt zonder de toestemming van de betrokkene (artikel 7, sub a, van de richtlijn), lijkt het eveneens duidelijk dat de verlening van internetzoekmachinediensten op zichzelf legitieme doeleinden in de zin van artikel 7, sub f, dient, omdat deze diensten (i) informatie voor internetgebruikers makkelijker toegankelijk en (ii) de verspreiding van de op internet geplaatste informatie effectiever maken, en (iii) de levering door de aanbieder van de internetzoekmachine mogelijk maken van verschillende daarmee verband houdende diensten van de informatiemaatschappij, zoals reclame met behulp van trefwoorden. Deze drie functies houden respectievelijk verband met drie door het Handvest beschermde grondrechten, namelijk de vrijheid van informatie, de vrijheid van meningsuiting (beide in artikel 11) en de ondernemingsvrijheid (artikel 16). De aanbieder van een internetzoekmachine dient derhalve gerechtvaardigde belangen in de zin van artikel 7, sub f, van de richtlijn wanneer hij op het internet gepubliceerde gegevens, met inbegrip van persoonsgegevens, verwerkt.

96. De aanbieder van een internetzoekmachine dient, als voor de verwerking verantwoordelijke, de vereisten van artikel 6 van de richtlijn in acht te nemen. De persoonsgegevens moeten met name toereikend, ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden verzameld, en moeten voorts worden bijgewerkt en niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld. Bovendien moeten de belangen van de „voor de verwerking verantwoordelijke” of van derden ten behoeve van wie de verwerking plaatsvindt, worden afgewogen tegen die van de betrokkene.

97. In casu vordert de betrokkene verwijdering uit Google’s index van de koppeling van zijn voor- en achternaam aan de URL-adressen van de dagbladpagina’s die de gewraakte persoonsgegevens bevatten. Het is waar dat persoonsnamen worden gebruikt als zoektermen en vervolgens als trefwoorden worden opgeslagen in de indexen van zoekmachines. Een naam volstaat op zichzelf echter niet om een natuurlijk persoon rechtstreeks op het internet te identificeren, omdat er over de hele wereld meerdere, zelfs duizenden of miljoenen personen bestaan met dezelfde naam of combinatie van bepaalde voor- en achternamen.(72) Niettemin neem ik aan dat de combinatie van een bepaalde voor- en achternaam als zoekterm in de meeste gevallen de indirecte identificatie van een natuurlijk persoon in de zin van artikel 2, sub a, van de richtlijn mogelijk maakt, in zoverre het zoekresultaat in de index van een zoekmachine een beperkt aantal links oplevert aan de hand waarvan de internetgebruiker verschillende personen met dezelfde naam kan onderscheiden.

98. De index van een zoekmachine koppelt namen en andere identificatiefactoren die als zoektermen worden gebruikt, aan een of meer links naar webpagina’s. Mits de link toereikend is, in de zin dat de met de zoekterm overeenkomende gegevens inderdaad voorkomen of voorkwamen op de webpagina’s waarnaar wordt verwezen, voldoet de index mijns inziens aan de criteria van toereikendheid, relevantie, proportionaliteit, nauwkeurigheid en volledigheid van artikel 6, sub c en d, van de richtlijn. Wat betreft de temporele vereisten (dat de persoonsgegevens worden bijgewerkt en niet langer worden bewaard dan nodig is) van artikel 6, sub d en e, dienen ook deze aspecten te worden bezien vanuit het oogpunt van de betrokken verwerking, namelijk de levering van een dienst voor de lokalisering van informatie, en niet als een vraag die de inhoud van de bronpagina’s betreft.(73)

F – Conclusie met betrekking tot de tweede groep vragen

99. Op basis van deze redenering meen ik dat een nationale gegevensbeschermingsautoriteit niet van een aanbieder van een internetzoekmachine kan verlangen informatie uit zijn index te verwijderen, behalve in gevallen waarin die aanbieder geen gehoor heeft gegeven aan uitsluitingscodes(74) of aan een verzoek van de uitgever van een bronpagina om het cachegeheugen bij te werken. Deze gevallen lijken zich in de onderhavige prejudiciële verwijzing niet voor te doen. Een eventuele „procedure voor kennisgeving en verwijzing”(75) met betrekking tot links naar bronpagina’s met onwettige of ongepaste inhoud is een kwestie die onder het nationale burgerlijke aansprakelijkheidsrecht valt, waarbij andere overwegingen dan die van de bescherming van persoonsgegevens een rol spelen.(76)

100. Ik geef het Hof derhalve in overweging, de tweede groep vragen aldus te beantwoorden dat de activiteiten van een aanbieder van een internetzoekmachine onder de in de prejudiciële verwijzing omschreven omstandigheden „verwerking” van persoonsgegevens opleveren in de zin van artikel 2, sub b, van de richtlijn. De aanbieder van deze dienst kan echter niet worden aangemerkt als „voor de verwerking verantwoordelijke” ten aanzien van zulke persoonsgegevens in de zin van artikel 2, sub d, van de richtlijn, behoudens de hierboven genoemde uitzondering.

VII – De derde vraag, met betrekking tot het bestaan van een „recht om vergeten te worden” van de betrokkene

A – Opmerkingen vooraf

101. De derde prejudiciële vraag is enkel relevant wanneer het Hof mijn bovenstaande conclusie verwerpt dat Google in het algemeen niet kan worden aangemerkt als „voor de verwerking verantwoordelijke” in de zin van artikel 2, sub d, van de richtlijn, dan wel indien en voor zover het Hof mijn stelling overneemt dat een aanbieder van een internetzoekmachine als Google onder bepaalde omstandigheden wel geacht kan worden in de positie van verantwoordelijke te verkeren. In ieder ander geval is het onderstaande overbodig.

102. Hoe dan ook wenst de nationale rechter met zijn derde vraag te vernemen of het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, van de richtlijn, en het recht van verzet in de zin van artikel 14, sub a, van de richtlijn aldus moeten worden uitgelegd dat de betrokkene zich tot de aanbieder van de internetzoekmachines kan wenden om de indexering te verhinderen van op webpagina’s van derden gepubliceerde gegevens betreffende zijn persoon. De betrokkene wenst hiermee te voorkomen dat voor hem nadelige informatie bekend wordt bij internetgebruikers, of geeft zijn hoop te kennen dat deze informatie in de vergetelheid zal raken, ook al was de publicatie ervan door een derde rechtmatig. De nationale rechter vraagt met andere woorden in wezen of op de artikelen 12, sub b, en 14, sub a, van de richtlijn een „recht om vergeten te worden” kan worden gebaseerd. Hieronder zal eerst dit vraagstuk worden behandeld, aan de hand van de bewoordingen en doelstellingen van die bepalingen.

103. Na mijn conclusie dat de artikelen 12, sub b, en 14, sub a, van de richtlijn, op zichzelf beschouwd, deze bescherming niet verlenen, zal ik bespreken of een uitlegging van die strekking in overeenstemming is met het Handvest.(77) Daarbij zal ik ingaan op het recht op de bescherming van persoonsgegevens in artikel 8, het recht op eerbiediging van het privé- en gezinsleven in artikel 7, de vrijheid van meningsuiting en informatie als beschermd in artikel 11 (zowel in verhouding tot de vrijheid van meningsuiting van de uitgevers van internetpagina’s als de vrijheid van internetgebruikers om informatie te ontvangen), en de vrijheid van ondernemerschap in artikel 16. De rechten van de betrokkenen uit hoofde van de artikelen 7 en 8 zullen moeten worden afgezet tegen de door de artikelen 11 en 16 beschermde rechten van degenen die toegang tot bepaalde gegevens willen verschaffen of verkrijgen.

B – Kan op de in de richtlijn voorziene rechten op rectificatie, uitwissing en afscherming en het recht van verzet een recht van betrokkene worden gebaseerd „om te worden vergeten”?

104. Het door artikel 12, sub b, van de richtlijn toegekende recht op rectificatie, uitwissing en afscherming van gegevens heeft betrekking op gegevens waarvan de verwerking niet voldoet aan de bepalingen daarvan, met name op grond van het onvolledige of onjuiste karakter van de gegevens (mijn cursivering).

105. De verwijzingsbeslissing erkent dat de informatie die op de litigieuze internetpagina’s voorkomt, niet als onvolledig of onjuist kan worden aangemerkt, en stelt evenmin dat de indexering door Google of de inhoud van het cachegeheugen dat deze gegevens bevat, als zodanig kan worden omschreven. Het recht op rectificatie, uitwissing of afscherming van artikel 12, sub b, van de richtlijn is derhalve alleen aan de orde wanneer Google’s verwerking van op bronpagina’s van derden voorkomende persoonsgegevens om andere redenen niet met de richtlijn in overeenstemming is.

106. Artikel 14, sub a, van de richtlijn legt de lidstaten de verplichting op om betrokkene het recht toe te kennen zich te allen tijde om zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie, ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. Dit geldt inzonderheid voor de in artikel 7, sub e en f, van de richtlijn genoemde gevallen, namelijk wanneer verwerking noodzakelijk is met het oog op een algemeen belang of voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van derden. Voorts mag volgens artikel 14, sub a, wanneer het verzet gerechtvaardigd is, „de door de voor de verwerking verantwoordelijke persoon verrichte verwerking” niet langer betrekking hebben op de litigieuze gegevens.

107. Wanneer aanbieders van een internetzoekmachine zijn aan te merken als voor de verwerking van persoonsgegevens verantwoordelijken, legt artikel 6, lid 2, van de richtlijn hun de verplichting op om de belangen van die verantwoordelijke of van derden in wier belang de verwerking wordt verricht, af te wegen tegen die van de betrokkene. Zoals het Hof opmerkte in zijn arrest ASNEF en FECEMD, kan bij deze afweging de omstandigheid van belang zijn of de litigieuze gegevens reeds zijn opgenomen in voor het publiek toegankelijke bronnen.(78)

108. Ik ben echter, evenals vrijwel alle deelnemers aan de onderhavige procedure die schriftelijke opmerkingen hebben ingediend, van oordeel dat de richtlijn geen algemeen recht toekent om vergeten te worden, in de zin dat een betrokkene de verspreiding van persoonsgegevens die hij schadelijk of in strijd met zijn belangen acht, kan beperken of beëindigen. Het doel waarvoor de verwerking wordt verricht en de daarmee gediende belangen in vergelijking met die van de betrokkene, zijn de maatstaven waaraan moet worden getoetst bij de verwerking van gegevens zonder toestemming van de betrokkene, en niet diens subjectieve voorkeuren. Zulke subjectieve voorkeuren vormen als zodanig geen zwaarwegende en gerechtvaardigde reden in de zin van artikel 14, sub a, van de richtlijn.

109. Zelfs indien het Hof aanbieders van een internetzoekmachine zou aanmerken (wat ik uitsluit) als verantwoordelijken voor de verwerking van persoonsgegevens op bronpagina’s van derden, dan zou een betrokkene nog altijd geen absoluut „recht om vergeten te worden” hebben dat hij tegen die aanbieders zou kunnen inroepen. De aanbieder in kwestie zou zichzelf dan in de positie van de uitgever van de bronpagina moeten plaatsen en nagaan of de verspreiding van de persoonsgegevens op die pagina thans vanuit het oogpunt van de richtlijn rechtmatig en legitiem geacht kan worden. Met andere woorden, de aanbieder zou zijn functie van schakel tussen de gebruiker en de uitgever moeten loslaten en verantwoordelijkheid aanvaarden voor de inhoud van de bronpagina, en die inhoud zonodig censureren door de toegang ertoe te voorkomen of te beperken.

110. Ter wille van de volledigheid wijs ik erop dat het Commissievoorstel voor een algemene verordening gegevensbescherming in artikel 17 voorziet in een recht om vergeten te worden. Dit voorstel schijnt echter op aanzienlijke tegenstand te zijn gestuit en pretendeert niet een codificatie van geldend recht te zijn, maar een belangrijke juridische vernieuwing. Het lijkt dan ook geen gevolgen te kunnen hebben voor het antwoord op de prejudiciële vraag. Interessant is echter wel de formulering van artikel 17, lid 2, van het voorstel: „Wanneer de [...] voor de verwerking verantwoordelijke de persoonsgegevens openbaar heeft gemaakt, neemt hij alle redelijke maatregelen [...] ten aanzien van de gegevens die onder zijn verantwoordelijkheid openbaar zijn gemaakt, teneinde derden die deze gegevens verwerken ervan op de hoogte te stellen dat een betrokkene hun verzoekt iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.” Hier lijken de aanbieders van een internetzoekmachine meer als derden dan als zelf verantwoordelijk voor de verwerking te worden beschouwd.

111. Ik kom derhalve tot de slotsom dat de artikelen 12, sub b, en 14, sub a, van de richtlijn niet voorzien in een recht om vergeten te worden. Ik zal nu bespreken of deze uitlegging van de genoemde bepalingen in overeenstemming is met het Handvest.

C – De relevante grondrechten

112. Artikel 8 van het Handvest waarborgt voor eenieder het recht op bescherming van zijn persoonsgegevens. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.

113. Mijns inziens bevestigt dit grondrecht, dat de verworvenheden van de Europese Unie en de Raad van Europa vastlegt, het belang van de bescherming van persoonsgegevens, maar voegt het op zichzelf geen nieuwe gezichtspunten toe voor de uitlegging van de richtlijn.

114. Krachtens artikel 7 van het Handvest heeft eenieder recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Deze bepaling, die inhoudelijk overeenkomt met artikel 8 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, ondertekend te Rome op 4 november 1950 (hierna: „EVRM”), moet naar behoren in aanmerking worden genomen bij de uitlegging van de relevante bepalingen van de richtlijn, die de lidstaten inzonderheid opdraagt het recht op het privéleven te eerbiedigen.

115. Ik wijs erop dat ook het EVRM, met name in artikel 8, vraagstukken van de bescherming van persoonsgegevens bestrijkt. Om deze reden, en in overeenstemming met artikel 52, lid 3, van het Handvest, is de rechtspraak van het Europees Hof voor de Rechten van de Mens inzake artikel 8 EVRM van belang voor zowel de uitlegging van artikel 7 van het Handvest als een toepassing van de richtlijn in overeenstemming met artikel 8 van het Handvest.

116. Het Europees Hof voor de Rechten van de Mens oordeelde in zijn arrest Niemietz, dat professionele en zakelijke activiteiten van een persoon kunnen vallen onder het begrip privéleven in de zin van artikel 8 EVRM.(79) Het heeft dit standpunt in latere uitspraken bevestigd.

117. Het Hof oordeelde in zijn arrest Volker und Markus Schecke en Eifert(80) dat „de eerbiediging van het in de artikelen 7 en 8 van het Handvest erkende recht op persoonlijke levenssfeer bij de verwerking van persoonsgegevens gelijk welke informatie [mijn cursivering] betreft aangaande een geïdentificeerde of identificeerbare natuurlijke persoon [...] en, anderzijds, dat de beperkingen die mogen worden gesteld aan het recht op bescherming van de persoonsgegevens, overeenkomen met die welke worden toegelaten in het kader van artikel 8 EVRM”.

118. Ik leid uit het arrest Volker und Markus Schecke en Eifert af, dat de bescherming van het privéleven uit hoofde van het Handvest, wat de verwerking van persoonsgegevens aangaat, zich uitstrekt over alle informatie met betrekking tot een natuurlijke persoon, los van het feit of hij optreedt in een louter particuliere sfeer, als marktdeelnemer of bijvoorbeeld als politicus. Gelet op de ruime betekenis die in het Unierecht wordt gegeven aan de begrippen van persoonsgegevens en van de verwerking ervan, lijkt uit de bovengenoemde rechtspraak te volgen dat elke communicatiehandeling die gebruikmaakt van automatische middelen, zoals telecommunicatie, e‑mail of sociale media, en een natuurlijke persoon betreft, als zodanig een vermoedelijke inbreuk op dat grondrecht vormt, die rechtvaardiging behoeft.(81)

119. In punt 75 heb ik vastgesteld dat een aanbieder van een internetzoekmachine met betrekking tot persoonsgegevens die voorkomen op bronpagina’s van derden, verwerkingsactiviteiten verricht. Uit het arrest Volker und Markus Schecke en Eifert volgt derhalve dat, ongeacht hoe die verwerkende rol voor de richtlijn wordt gekwalificeerd, er sprake is van een inbreuk op het recht van artikel 7 van het Handvest op eerbiediging van het privéleven van de betrokkenen. Volgens het EVRM en het Handvest moet elke inbreuk op een beschermd recht berusten op de wet en in een democratische samenleving noodzakelijk zijn. In de onderhavige zaak hebben we niet van doen met de vraag naar de rechtvaardiging van een inbreuk door openbare autoriteiten, maar met de vraag of een inbreuk door particulieren geduld kan worden. De grenzen hieraan worden gesteld in de richtlijn en berusten derhalve op de wet, zoals het EVRM en het Handvest verlangen. Uitlegging van de richtlijn komt hier dus juist neer op uitlegging van de grenzen die worden gesteld aan de gegevensverwerking door particulieren in het licht van het Handvest. Hieruit vloeit de vraag voort of er een positieve verplichting op de Unie en de lidstaten rust om een recht om vergeten te worden af te dwingen van aanbieders van internetzoekmachines, die particulieren zijn.(82) Dit leidt vervolgens tot vragen naar de rechtvaardiging voor een inbreuk op de artikelen 7 en 8 van het Handvest, en de verhouding met de concurrerende rechten van de vrijheid van meningsuiting en informatie en de vrijheid van ondernemerschap.

D – De vrijheid van meningsuiting en informatie en de vrijheid van ondernemerschap

120. Bij de onderhavige zaak is in verschillende opzichten de vrijheid van meningsuiting en informatie betrokken, die is verankerd in artikel 11 van het Handvest, dat overeenkomt met artikel 10 EVRM. Artikel 11, lid 1, van het Handvest luidt: „Eenieder heeft recht op vrijheid van meningsuiting. Dit recht omvat de vrijheid een mening te koesteren en de vrijheid om inlichtingen of denkbeelden te ontvangen of te verstrekken, zonder inmenging van enig openbaar gezag en ongeacht grenzen.”(83)

121. Het recht van internetgebruikers om op internet geplaatste informatie op te zoeken en te ontvangen wordt beschermd door artikel 11 van het Handvest.(84) Dit betreft zowel de informatie op bronpagina’s als de informatie die wordt verstrekt door internetzoekmachines. Zoals ik reeds heb opgemerkt, heeft het internet de toegang tot en de verspreiding van allerlei informatie gerevolutionaliseerd en nieuwe manieren van communicatie en sociale interactie tussen mensen mogelijk gemaakt. Naar mijn mening verdient het grondrecht op informatie bijzondere bescherming in het Unierecht, vooral tegen de achtergrond van de groeiende tendens van autoritaire regimes elders in de wereld om de toegang tot internet te beperken of de daarop aangeboden content aan censuur te onderwerpen.(85)

122. Uitgevers van webpagina’s genieten evenzeer de bescherming van artikel 11 van het Handvest. Wie content op internet ter beschikking stelt, maakt daarmee gebruik van de vrijheid van meningsuiting(86), vooral wanneer de uitgever zijn pagina heeft voorzien van links naar andere pagina’s en de indexering of archivering ervan door zoekmachines niet heeft beperkt, en daarmee heeft laten blijken de desbetreffende content alom te willen verspreiden. Publicatie op internet is een middel voor natuurlijke personen om deel te nemen aan discussies of om hun eigen of door anderen op het internet geplaatste content te verspreiden.(87)

123. De onderhavige prejudiciële verwijzing betreft persoonsgegevens die werden gepubliceerd in het historische archief van een dagblad. In zijn arrest Times Newspapers Ltd/Verenigd Koninkrijk (nrs. 1 en 2) merkte het Europees Hof voor de Rechten van de Mens op dat internetarchieven een belangrijke bijdrage leveren aan het bewaren en beschikbaar maken van nieuws en informatie. „Zulke archieven vormen een belangrijke bron voor onderwijs en historisch onderzoek, met name omdat zij goed toegankelijk zijn voor het publiek en over het algemeen gratis zijn. [...] De beoordelingsmarge van de staten bij het tot stand brengen van een evenwicht tussen concurrerende rechten zal echter ruimer zijn waar het gaat om nieuwsarchieven over gebeurtenissen in het verleden, dan wanneer het actuele gebeurtenissen betreft. Met name zal de verplichting van de pers om beginselen van verantwoordelijke verslaggeving in acht te nemen door het betrachten van nauwkeurigheid [mijn cursivering] van gepubliceerde historische, in tegenstelling tot vergankelijke informatie, strenger zijn wanneer publicatie van het materiaal in kwestie niet spoedeisend is.”(88)

124. Commerciële aanbieders van een internetzoekmachine verrichten hun diensten van informatielokalisering bedrijfsmatig, met het oogmerk inkomsten te verwerven uit de trefwoordgerelateerde reclame. Zij doen dit derhalve als ondernemers en worden als zodanig beschermd door de vrijheid van ondernemerschap als erkend in artikel 16 van het Handvest, in overeenstemming met het nationale en het Unierecht.(89)

125. Bovendien dient erop gewezen te worden dat geen van de onderhavige grondrechten absolute gelding heeft. Zij kunnen aan beperkingen worden onderworpen, mits de daarvoor in artikel 52, lid 1, van het Handvest omschreven voorwaarden in acht worden genomen.(90)

E – Kan een „recht om vergeten te worden” van een betrokkene worden afgeleid uit artikel 7 van het Handvest?

126. Ten slotte moet worden stilgestaan bij de vraag of de uitlegging van de artikelen 12, sub b, en 14, sub a, van de richtlijn in het licht van het Handvest, en met name van artikel 7 daarvan, zou kunnen leiden tot de erkenning van een „recht om vergeten te worden” in de door de nationale rechter omschreven betekenis. Een bevestigend antwoord zou niet op voorhand in strijd zijn met artikel 51, lid 2, van het Handvest, omdat het een precisering betreft van de omvang van de rechten van toegang en verzet van betrokkenen die in de richtlijn reeds worden erkend, en geen nieuwe rechten scheppen of de werkingssfeer van het Unierecht uitbreiden.

127. Het Europees Hof voor de Rechten van de Mens oordeelde in het arrest Aleksey Ovchinnikov/Rusland(91) dat „in bepaalde omstandigheden een beperking van de weergave van informatie die reeds deel uitmaakt van het publieke domein gerechtvaardigd kan zijn, bijvoorbeeld om te voorkomen dat ruimere bekendheid wordt gegeven aan bijzonderheden van het privéleven van een persoon, die niet tot de sfeer behoren van een politieke of publieke discussie over een aangelegenheid van algemeen belang.” Het grondrecht op bescherming van het privéleven kan derhalve in beginsel ook dan worden ingeroepen wanneer de informatie in kwestie al aan de openbaarheid is prijsgegeven.

128. Het recht van een betrokkene op bescherming van zijn privéleven moet evenwel worden afgewogen tegen andere grondrechten, met name de vrijheid van meningsuiting en van informatie

129. De vrijheid van informatie van de uitgever van een dagblad beschermt diens recht om de gedrukte editie van zijn krant in digitale vorm opnieuw te publiceren op internet. Mijns inziens kunnen instanties, met inbegrip van gevensbeschermingsautoriteiten, de herpublicatie niet censureren. Het arrest Times Newspapers Ltd/Verenigd Koninkrijk (nrs. 1 en 2) van het Europees Hof voor de Rechten van de Mens(92) toont aan dat de aansprakelijkheid van de uitgever ter zake van de nauwkeurigheid strikter kan zijn voor oudere publicaties dan voor nieuws met een hogere actualiteitswaarde, en dat een aantekening ter aanvulling van de litigieuze content op zijn plaats kan zijn. Mijns inziens kan er echter geen rechtvaardiging zijn om te verlangen dat digitale herpublicatie van een editie van een dagblad een andere inhoud heeft dan de oorspronkelijke papieren editie; dat zou immers neerkomen op geschiedsvervalsing.

130. Het gegevensbeschermingsprobleem dat aan de onderhavige zaak ten grondslag ligt, doet zich enkel voor wanneer een internetgebruiker de voor- en achternaam van de betrokkene invoert in de zoekmachine en vervolgens een link ontvangt naar de webpagina’s van het dagblad die de litigieuze aankondigingen bevatten. In een dergelijke situatie maakt de internetgebruiker actief gebruik van zijn recht om van een openbare bron informatie over de betrokkene te ontvangen om redenen die alleen hij kent.(93)

131. In de hedendaagse informatiemaatschappij vormt het recht om door middel van zoekmachines op het internet gepubliceerde informatie op te zoeken, een van de belangrijkste uitingen van dat grondrecht. Het omvat ongetwijfeld mede het recht om informatie op te zoeken over andere personen, die in beginsel onder de bescherming valt van het recht op het privéleven, zoals informatie op internet over iemands activiteiten als ondernemer of politicus. Het recht op informatie van een internetgebruiker zou geweld worden aangedaan wanneer zijn zoekactie naar informatie met betrekking tot een persoon zoekresultaten zou opleveren die geen waarheidsgetrouwe weergave zijn van de relevante webpagina’s, maar een gekuiste („bowdlerised”)(94) versie daarvan.

132. Wanneer een aanbieder van een internetzoekmachine instrumenten voor het opsporen van informatie op internet door middel van die zoekmachine beschikbaar stelt, maakt hij op rechtmatige wijze gebruik van zowel zijn vrijheid van ondernemerschap als van zijn vrijheid van meningsuiting.

133. De bijzonder complexe en lastige grondrechtenconstellatie in de onderhavige zaak staat in de weg aan de rechtspositie van betrokkenen onder de richtlijn te versterken en aan te vullen met een recht om vergeten te worden. Dat zou ten koste gaan van centrale rechten als de vrijheid van meningsuiting en informatie. Ik zou het Hof eveneens willen ontraden te beslissen dat tussen deze conflicterende belangen telkens van geval tot geval een bevredigende afweging kan worden gemaakt, die wordt overgelaten aan het oordeel van de aanbieder van de internetzoekmachine. Zulke procedures van „kennisgeving en verwijdering” zullen, wanneer het Hof hiervoor kiest, waarschijnlijk ertoe leiden hetzij dat links naar bestreden contents automatisch worden ingetrokken, hetzij dat de aanbieders van de meest populaire en belangrijke internetzoekmachines een onhanteerbaar aantal verzoeken te behandelen krijgen.(95) In dit verband dient eraan te worden herinnerd dat de procedures van „kennisgeving en verwijdering” waarin richtlijn 2000/31 inzake elektronische handel voorziet, illegale content betreffen, terwijl we in het kader van de onderhavige zaak te maken hebben met een verzoek tot verwijdering van legitieme en legale informatie die in de openbaarheid is geraakt.

134. Vooral moeten de aanbieders van internetzoekmachines niet met een dergelijke verplichting worden opgezadeld. Het zou een inbreuk vormen op de vrijheid van meningsuiting van de uitgever van de webpagina, die in een dergelijk geval geen toereikende rechtsbescherming zou genieten, aangezien een dergelijke ongereguleerde procedure van „kennisgeving en verwijdering” een privé-aangelegenheid tussen de betrokkene en de aanbieder van de zoekmachine zou zijn.(96) Het zou erop neerkomen dat een particulier door hem gepubliceerde content zou kunnen censureren.(97) Iets heel anders is, dat de staten de positieve verplichting hebben om een doeltreffende rechtsgang te bieden tegen een uitgever die inbreuk maakt op de persoonlijke levenssfeer, wat in de context van internet de uitgever van de webpagina zou zijn.

135. Zoals de groep gegevensbescherming artikel 29 heeft opgemerkt, kan de secundaire aansprakelijkheid van de aanbieder van een zoekmachine naar nationaal recht leiden tot een verplichting tot afscherming van websites van derden met illegale content, zoals webpagina’s die inbreuk maken op IP-rechten of informatie van lasterlijke of criminele aard bevatten.(98)

136. Op grond van de richtlijn kan daarentegen geen algemeen recht om te worden vergeten tegen aanbieders van een zoekmachine worden ingeroepen, zelfs niet bij uitlegging ervan conform het Handvest.

137. Derhalve stel ik het Hof voor de derde prejudiciële vraag aldus te beantwoorden dat de rechten op uitwissing en afscherming van gegevens in artikel 12, sub b, en het recht van verzet in artikel 14, sub a, van de richtlijn niet een recht om vergeten te worden omvatten als omschreven in de prejudiciële verwijzing.

VIII – Conclusie

138. Mitsdien geef ik het Hof in overweging, de prejudiciële vragen van de Audiencia Nacional te beantwoorden als volgt:

„1) Verwerking van persoonsgegevens vindt plaats in het kader van de activiteiten van een ‚vestiging’ van de voor de verwerking verantwoordelijke in de zin van artikel 4, lid 1, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, wanneer de onderneming die de internetzoekmachine aanbiedt, in een lidstaat ten behoeve van de (bevordering van de) verkoop van advertentieruimte op de zoekmachine een kantoor of dochteronderneming opricht en de activiteiten daarvan gericht zijn op de inwoners van die staat.

2) Een aanbieder van een internetzoekmachine die met zijn zoekmachine door derden op internet gepubliceerde of geplaatste informatie lokaliseert, automatisch indexeert, tijdelijk opslaat en uiteindelijk volgens een bepaalde volgorde ter beschikking stelt aan internetgebruikers, ‚verwerkt’ persoonsgegevens in de zin van artikel 2, sub b, van richtlijn 95/46 wanneer die informatie persoonsgegevens bevat.

De aanbieder van de internetzoekmachine kan ten aanzien van zulke persoonsgegevens echter niet worden aangemerkt als ‚voor de verwerking verantwoordelijke’ in de zin van artikel 2, sub d, van richtlijn 95/46, behalve voor zover het de inhoud van de index van zijn zoekmachine betreft, mits de aanbieder van deze dienst geen persoonsgegevens indexeert of archiveert tegen de aanwijzingen of verzoeken van de uitgever van de webpagina in.

3) Het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, en het recht van verzet als bedoeld in artikel 14, sub a, van richtlijn 95/46 verlenen de betrokkene niet het recht zich tot de exploitant van een zoekmachine te wenden teneinde indexering te verhinderen van op webpagina’s van derden rechtmatig gepubliceerde informatie die zijn persoon betreft, daarbij als zijn wens te kennen gevend dat deze informatie niet aan internetgebruikers bekend wordt, wanneer hij meent dat deze informatie hem kan benadelen of wanneer hij deze aan de vergetelheid wenst prijs te geven.”

1 – Oorspronkelijke taal: Engels.

2 – Harvard Law Review, deel IV, nr. 5, 15 december 1890.

3 – Met de uitdrukking „internet” worden in feite hoofdzakelijk twee diensten aangeduid, te weten het world wide web en het aanbieden van e-mail. Hoewel het internet, als netwerk van onderling verbonden computers, in verschillende vormen al enige tijd bestond, te beginnen met het Arpanet (in de Verenigde Staten), nam het vrij toegankelijke open netwerk met zijn www-addressen en gemeenschappelijke coderingsstructuur zijn aanvang eerst in het begin van de jaren negentig. Al lijkt „world wide web” de historisch juiste term, ik zal, gezien het huidige spraakgebruik en de in de rechtspraak van het Hof gehanteerde terminologie, hierna de term „internet” gebruiken voor het world wide web-gedeelte van dit netwerk.

4 – De locatie van een webpagina wordt geïdentificeerd aan de hand van een individueel adres, de „URL” (Uniform Resource Locator), een in 1994 gecreëerd systeem. Toegang tot een webpagina wordt verkregen door, rechtstreeks of met behulp van een domeinnaam, de URL in de zoekbalk te typen. De webpagina’s moeten gecodeerd zijn in een of andere mark-uptaal. Hypertext Markup Language (HTML) is de voornaamste mark-uptaal voor het aanmaken van webpagina’s en andere informatie die in een zoekbalk kan worden getoond.

5 – De omvang van deze drie verschijnselen wordt geïllustreerd door de volgende informatie (hoewel exacte gegevens niet voorhanden zijn). Ten eerste wordt geschat dat er wellicht meer dan 600 miljoen websites op het internet zijn, die samen meer dan 40 miljard webpagina’s omvatten. Ten tweede is het aantal zoekmachines veel kleiner: er lijken minder dan 100 belangrijke zoekmachines te bestaan, en op het moment lijkt Google op veel markten daarin een enorm aandeel te hebben. Beweerd is, dat het succes van de zoekmachine van Google berust op bijzonder sterke crawlers of spiders, efficiënte indexeringssystemen en een technologie die het mogelijk maakt de zoekresultaten te rangschikken naar hun relevantie voor de gebruiker (waaronder het gepatenteerde PageRank-algoritme), zie Lopez‑Tarruella, A., „Introduction: Google Pushing the Boundaries of law”, Google and the Law. Empirical Approaches to Legal Aspects of Knowledge‑Economy Business Models, Ed. López‑Tarruella, A., T.M.C. Asser Press, Den Haag, 2012, blz. 2. Ten derde is meer dan driekwart van de Europeanen internetgebruiker, en voor zover zij gebruikmaken van internetzoekmachines kunnen hun persoonlijke gegevens, als gebruikers van zulke machines, worden verzameld en verwerkt door de gebruikte internetzoekmachines.

6 – Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31).

7 – Zie in het algemeen: advies 1/2008 over gegevensbescherming en zoekmachines (WP 148) van de groep gegevensbescherming artikel 29. Google’s privacybeleid ten aanzien van de gebruikers van haar internetzoekmachines wordt door de gegevensbeschermingsautoriteiten van de lidstaten onder de loep genomen, onder leiding van de Franse gegevensbeschermingsautoriteit (de CNIL). Voor recente ontwikkelingen, zie de brief van 6 oktober 2012 van de groep gegevensbescherming artikel 29 aan Google (te vinden op de in voetnoot 22 genoemde website).

8 – Zie infra, punt 19.

9 – Onder „internetzoekmachine” versta ik de combinatie van software en apparatuur waarmee het mogelijk is tekst en audiovisuele content te doorzoeken op het internet. Ik zal in deze conclusie niet ingaan op de specifieke vraagstukken met betrekking tot zoekmachines die opereren binnen een omschreven internetdomein (of website), zoals http://curia.europa.eu. De dienstverlener die toegang verschaft tot een zoekmachine, noem ik „aanbieder van de internetzoekmachine”. In de onderhavige zaak lijkt Google Inc. de aanbieder te zijn die toegang verschaft tot de zoekmachine van Google, alsmede tot diverse andere zoekfuncties zoals maps.google.com en news.google.com.

10 – Arrest van 6 november 2003 (C‑101/01, Jurispr. blz. I‑12971).

11 – Arrest van 20 mei 2003 (C‑465/00, C‑138/01 en C‑139/01, Jurispr. blz. I‑4989).

12 – Arrest van 16 december 2008 (C‑73/07, Jurispr. blz. I‑9831).

13 – Arrest van 9 november 2010 (C‑92/09 en C‑93/09, Jurispr. blz. I‑11063).

14 – Arresten van 23 maart 2010, Google France en Google (C‑236/08–C‑238/08, Jurispr. blz. I‑2417); 8 juli 2010, Portakabin (C‑558/08, Jurispr. blz. I‑6963); 18 juni 2011, L’Oréal e.a. (C‑324/09, Jurispr. blz. I‑6011); 22 september 2011, Interflora en Interflora British Unit (C‑323/09, Jurispr. blz. I‑8625), en 19 april 2012, Wintersteiger (C‑523/10).

15 – Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) [COM(2012) 11 final.].

16 – BOE nr. 298 van 14 december 1999, blz. 43088.

17 – In punt 11 van de considerans wordt verklaard dat „de in deze richtlijn vervatte beginselen met betrekking tot de bescherming van de rechten en de vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, de beginselen van het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ter zake van de geautomatiseerde verwerking van persoonsgegevens verduidelijken en versterken”.

18 – Zie advies 1/2010 over de begrippen „voor de verwerking verantwoordelijke” en „verwerker” van de groep gegevensbescherming artikel 29 (WP 169), blz. 3 en 4.

19 – Zie bijvoorbeeld arrest van 25 oktober 2011, eDate Advertising en Martinez (C‑509/09 en C‑161/10, Jurispr. blz. I‑10269, punt 45).

20 – Een dagblad bevat normaliter persoonlijke gegevens zoals namen van natuurlijke personen, die worden verwerkt bij automatische raadpleging daarvan. De verwerking valt binnen de werkingssfeer van de richtlijn wanneer deze niet door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht (zie artikelen 2, sub a en b, en 3, lid 2, van de richtlijn). Het lezen van een papieren document of het tonen van beelden die persoonlijke gegevens bevatten vormt bovendien eveneens gegevensverwerking. Zie Dammann, U. en Simitis, S., „EG‑Datenschutzrichtlinie”, Nomos Verlagsgesellschaft, Baden-Baden, 1997, blz. 110.

21 – Arrest Lindqvist (aangehaald in voetnoot 10, punten 67‑70), met betrekking tot de uitlegging van artikel 25 van de richtlijn.

22 – De adviezen zijn te vinden op: http://ec.europa.eu/justice/data‑protection/index_en.htm.

23 – Internetzoekmachines zijn voortdurend in ontwikkeling; hier wordt slechts een overzicht gegeven van de thans relevante, meest saillante kenmerken.

24 – Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt („richtlijn inzake elektronische handel”) (PB L 178, blz. 1).

25 – Zie punt 18 van de considerans en artikel 2, sub a, van richtlijn 2000/31 inzake elektronische handel, juncto artikel 1, lid 2, van richtlijn 98/34/EG van het Europees Parlement en de Raad van 22 juni 1998 betreffende een informatieprocedure op het gebied van normen en technische voorschriften (PB L 204, blz. 37), zoals gewijzigd bij richtlijn 98/48/EG van het Europees Parlement en de Raad van 20 juli 1998 (PB L 217, blz. 18).

26 – Arrest Lindqvist (aangehaald in voetnoot 10, punten 25‑27).

27 – Een thans gangbare uitsluitingscode (of „robot exclusion protocol”) draagt de naam „robots.txt”; zie http://en.wikipedia.org/wiki/Robots.txt, of http://www.robotstxt.org/.

28 – Technisch gesproken verhinderen uitsluitingscodes evenwel niet dat gegevens geïndexeerd of getoond worden, omdat de aanbieder van de zoekmachine kan besluiten deze te negeren. De belangrijkste aanbieders van internetzoekmachines, waaronder Google, zeggen dergelijke codes op een bronpagina te respecteren. Zie dienaangaande advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14).

29 – Zie arrest van het Europees Hof voor de Rechten van de Mens (hierna: „EHRM”) van 2 december 2008, K.U./Finland, nr. 2872/02, §§ 43 en 48, ECHR 2008, waar het EHRM verwijst naar het bestaan van positieve verplichtingen die een daadwerkelijke inachtneming van het privé- of gezinsleven meebrengen. Deze verplichtingen kunnen zelfs de vaststelling omvatten van maatregelen ter verzekering van de eerbiediging van andermans privéleven op het gebied van de onderlinge relaties van individuele personen. In de zaak K.U./Finland had de staat een positieve verplichting om te zorgen voor een doeltreffende rechtsgang tegen de verantwoordelijke voor de openbaarmaking.

30 – Het internet is evenwel niet één enkele, door „big brother” ingestelde, enorme databank, maar een gedecentraliseerd systeem met informatie die afkomstig is van ontelbare onafhankelijke bronnen, waar de toegankelijkheid en de verspreiding van informatie afhankelijk is van intermediaire diensten die als zodanig met de inhoud ervan niets te maken hebben.

31 – Zie in dit opzicht mijn conclusie in de zaak L’Oréal e.a. (aangehaald in voetnoot 14, punten 54 e.v.).

32 – Dit komt overeen met de hierboven in punt 3 genoemde derde situatie.

33 – Voor een voorbeeld van het advertentiesysteem met behulp van trefwoorden (Google’s AdWords), zie arrest Google France en Google (aangehaald in voetnoot 14, punten 22 en 23); arrest van 25 maart 2010, BergSpechte (C‑278/08, Jurispr. blz. I‑2517, punten 5‑7), en de arresten Portakabin (aangehaald in voetnoot 14, punten 8‑10) en Interflora en Interflora British Unit (aangehaald in voetnoot 14, punten 9‑13).

34 – Arresten van 5 oktober 2010, McB. (C‑400/10 PPU, Jurispr. blz. I‑8965, punten 51 en 59); 15 november 2011, Dereci e.a. (C‑256/11, Jurispr. blz. I‑11315, punten 71 en 72); 8 november 2012, Iida (C‑40/11, punt 78), en 26 februari 2013, Åkerberg Fransson (C‑617/10, punt 23).

35 – Zo verzette het Hof zich in het arrest McB. (zojuist aangehaald) tegen een op grond van artikel 7 van het Handvest voorgestelde ruimere uitlegging van het begrip „gezagsrecht” in artikel 2, lid 9, van verordening (EG) nr. 2201/2003 van de Raad van 27 november 2003 betreffende de bevoegdheid en de erkenning en tenuitvoerlegging van beslissingen in huwelijkszaken en inzake de ouderlijke verantwoordelijkheid, en tot intrekking van verordening (EG) nr. 1347/2000 (PB L 338, blz. 1). Dit doet natuurlijk niet eraan af dat, wanneer het niet mogelijk is een wetgevingsbepaling van de Unie in overeenstemming met door het Unierecht beschermde grondrechten uit te leggen, die bepaling moet worden nietig verklaard (zie arrest van 1 maart 2011, Association belge des Consommateurs Test‑Achats e.a., C‑236/09, Jurispr. blz. I‑773, punten 30‑34).

36 – Advies 8/2010 van de groep gegevensbescherming artikel 29 over het toepasselijk recht (WP 179), blz. 8.

37 – Advies 8/2010 van de groep gegevensbescherming artikel 29 (zojuist aangehaald, blz. 24 en 31).

38 – Artikel 3, lid 2, sub a, van het commissievoorstel (aangehaald in voetnoot 15).

39 – Arrest L’Oréal e.a. (aangehaald in voetnoot 14) en richtlijn 2000/31 inzake de elektronische handel.

40 – Verordening (EG) nr. 44/2001 van de Raad van 22 december 2000 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (PB L 12, blz. 1); arrest van 7 december 2010, Pammer en Hotel Alpenhof (C‑585/08 en C‑144/09, Jurispr. blz. I‑12527), en arrest Wintersteiger (aangehaald in voetnoot 14). Zie ook mijn conclusie in de zaak Pinckney (C‑170/12, nog aanhangig).

41 – Richtlijn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij (PB L 167, blz. 10); arrest van 21 juni 2012, Donner (C‑5/11).

42 – In de verwijzingsbeslissing wordt niet nader aangegeven wat met „zwaartepunt” wordt bedoeld; deze uitdrukking werd evenwel gebruikt door advocaat-generaal Cruz Villalón in zijn conclusie in de zaken eDate Advertising en Martinez (arrest aangehaald in voetnoot 19, punten 32 en 55 van de conclusie).

43 – Advies 8/2010 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 36, blz. 8 en 9). De groep wijst erop dat de uitdrukking „equipment” in de Engelse taalversie van de richtlijn minder ruim is dan de in de andere taalversies gebruikte uitdrukking „middelen” („means”), die tevens niet-materiële voorzieningen omvat, zoals cookies (blz. 20‑21).

44 – Zie met name advies 8/2010 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 36, blz. 19), waar wordt gesteld dat artikel 4, lid 1, sub c, van de richtlijn, niettegenstaande de bewoordingen ervan, van toepassing is wanneer de voor de verwerking verantwoordelijke in de Unie wel vestigingen heeft, maar de activiteiten ervan geen verband houden met de verwerking van persoonsgegevens.

45 – Arrest Google France en Google (aangehaald in voetnoot 14, punt 23).

46 – Arrest Google France en Google (aangehaald in voetnoot 14, punt 25), en advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 5‑6). Het valt eenvoudig na te gaan dat het invoeren van dezelfde trefwoorden op verschillende nationale Google-domeinen kan leiden tot verschillende zoekresultaten en advertenties.

47 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 10).

48 – Zie artikel 2, sub a, van de richtlijn, volgens welke bepaling onder „persoonsgegevens” wordt verstaan „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. De groep gegevensbescherming artikel 29 geeft in haar advies 4/2007 over het begrip persoonsgegeven (WP 136) een uitgebreide reeks voorbeelden. Het Hof bevestigde deze ruime uitlegging in zijn arrest Lindqvist (aangehaald in voetnoot 10, punten 24‑27). Zie tevens de arresten Österreichischer Rundfunk e.a. (aangehaald in voetnoot 11, punt 64) en Satakunnan Markkinapörssi en Satamedia (aangehaald in voetnoot 12, punten 35‑37); arresten van 16 december 2008, Huber (C‑524/06, Jurispr. blz. I‑9705, punt 43); 7 mei 2009, Rijkeboer (C‑553/07, Jurispr. blz. I‑3889, punt 62), en 19 april 2012, Bonnier Audio e.a. (C‑461/10, punt 93), en arrest Volker und Markus Schecke en Eifert (aangehaald in voetnoot 13, punten 23, 55 en 56).

49 – De groep gegevensbescherming artikel 29 wijst erop dat „informatie niet in een gestructureerde gegevensbank of een gestructureerd bestand hoeft te zijn opgenomen om als persoonsgegevens te kunnen worden beschouwd. Ook inlichtingen die als vrije tekst in een elektronisch document voorkomen, kunnen persoonsgegevens zijn [...]” (zie advies 4/2007 van de groep gegevensbescherming, aangehaald in voetnoot 48, blz. 8).

50 – Er zijn overigens ook zoekmachines of functies daarvan die zich specifiek richten op persoonlijke gegevens, die als zodanig geïdentificeerd kunnen worden aan de hand van hun vorm (zoals burgerservicenummers) of samenstelling (tekenreeksen die corresponderen met voor- en achternamen) (zie advies 1/2008 van de groep gegevensbescherming artikel 29, aangehaald in voetnoot 7, blz. 15). Zulke zoekmachines kunnen aanleiding geven tot specifieke vraagstukken van gegevensbescherming die buiten het onderwerp van deze conclusie vallen.

51 – De zogeheten „orphan pages”, die geen verwijzingen naar andere webpagina’s bevatten, blijven echter ontoegankelijk voor de zoekmachines.

52 – Door de spider gevonden webpagina’s worden opgeslagen in Google’s indexbank, waar deze alfabetisch per zoekterm worden gesorteerd; onder elke indexterm wordt de lijst van documenten opgeslagen die deze term alsmede de plaats in de tekst waar hij voorkomt, bevatten. Bepaalde woorden als lidwoorden, voornaamwoorden en gangbare bijwoorden of losstaande cijfers of letters worden niet geïndexeerd. Zie http://www.googleguide.com/google_works.html.

53 – Deze kopieën (zogeheten „snapshots”) van de in Google’s cachegeheugen opgeslagen webpagina’s bestaan slechts uit HTML-codes, en niet uit beelden die van de oorspronkelijke locatie worden geladen. Zie Peguera, M., „Copyright Issues Regarding Google Images and Google Cache”, Google and the Law, aangehaald in voetnoot 5, blz. 169–202, blz. 174).

54 – Aanbieders van internetzoekmachines geven de webmasters meestal toestemming om nadat hun webpagina is bijgewerkt, te verzoeken om aanpassing van de cache-kopie. Aanwijzingen dienaangaande zijn te vinden op Google’s pagina „Webmaster Tools”.

55 – Kennelijk spreken andere taalversies van de richtlijn dan de Engelse, waaronder de Franse, de Duitse, de Spaanse, de Zweedse en de Nederlandse, van de „verantwoordelijke” voor de gegevensverwerking, tegenover de Engelse uitdrukking „controller”. Sommige taalversies, waaronder de Finse en Poolse, gebruiken meer neutrale termen (het Fins „rekisterinpitäjä”; het Pools „administrator danych”).

56 – Arrest Lindqvist (aangehaald in voetnoot 10, punt 68).

57 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14, voetnoot 17). Volgens het advies valt de rol van gebruikers over het algemeen niet onder de richtlijn omdat hun activiteiten „uitsluitend persoonlijke [...] doeleinden” dienen. Ik acht deze stelling niet houdbaar. In het algemeen gebruiken internetgebruikers zoekmachines ook voor doeleinden die niet uitsluitend persoonlijk zijn, zoals voor werk, studie, bedrijf of activiteiten in de non-profitsector.

58 – De groep gegevensbescherming artikel 29 geeft in haar advies 4/2007 (aangehaald in voetnoot 48) een groot aantal voorbeelden van het begrip (verwerking van) persoonsgegevens waarbij ook de voor de verwerking verantwoordelijke is betrokken, en naar mijn mening is deze voorwaarde in alle voorbeelden vervuld.

59 – Advies 1/2010 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 18, blz. 9).

60 – Ibidem (blz. 14).

61 – Dammann en Simitis (blz. 120) merken op dat verwerking met behulp van geautomatiseerde procédés niet enkel betrekking moet hebben op de drager waarop de gegevens zijn vastgelegd („Datenträger”), maar tevens op de gegevens zelf in hun semantische of inhoudelijke hoedanigheid. Mijns inziens is cruciaal dat persoonsgegevens volgens de richtlijn „informatie” zijn, met andere woorden semantisch relevante content.

62 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14).

63 – Arrest Lindqvist (aangehaald in voetnoot 10, punt 27).

64 – Arrest Satakunnan Markkinapörssi en Satamedia (aangehaald in voetnoot 12, punt 37).

65 – Advies 1/2010 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 18, blz. 4 en 9).

66 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14).

67 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14), die hier evenwel aan toevoegt dat de omvang van de verplichting om persoonsgegevens te verwijderen of blokkeren, afhankelijk kan zijn van het civiele recht van de betrokken lidstaat inzake onrechtmatige daad en aansprakelijkheidsregelingen. In sommige lidstaten voorziet de nationale wetgeving in procedures voor kennisgeving en verwijdering die de aanbieder van de internetzoekmachine in acht moet nemen om aansprakelijkheid te ontlopen.

68 – Volgens een auteur past Google in vrijwel alle landen zulke filters toe, bijvoorbeeld wanneer intellectuele-eigendomsrechten geschonden worden. In de Verenigde Staten is bovendien informatie gefilterd die kritisch is over scientology. In Frankrijk en Duitsland filtert Google zoekresultaten voor „Nazi memorabilia, ontkenning van de Holocaust, de superioriteit van het blanke ras en sites die propaganda bevatten tegen de democratische grondwettelijke orde”. Voor meer voorbeelden, zie Friedmann, D., „Paradoxes, Google and China: How Censorship can Harm and Intellectual Property can Harness Innovation”, Google and the Law, aangehaald in voetnoot 5, blz. 303‑327, blz. 307).

69 – Zie supra, punt 41.

70 – Zie het Eerste verslag over de toepassing van [richtlijn 2000/31 inzake elektronische handel], COM(2003) 702 definitief (blz. 15, voetnoot 69), en advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 13, voetnoot 16).

71 – Zie supra, punt 41.

72 – De mate waarin een natuurlijk persoon te identificeren valt aan de hand van diens persoonsnaam, is contextgebonden. Een gangbare naam volstaat wellicht niet om een persoon op het internet te individualiseren, maar wel in bijvoorbeeld een schoolklas. Bij de verwerking van persoonsgegevens met gebruik van computers wordt een persoon meestal aangeduid met een uniek identifcatiemiddel om verwarring tussen twee personen te voorkomen. Een typisch voorbeeld hiervan zijn burgerservicenummers. Zie dienaangaande de adviezen 4/2007 (aangehaald in voetnoot 48, blz. 13) en 1/2008 (aangehaald in voetnoot 7, blz. 9, voetnoot 11) van de groep gegevensbescherming artikel 29.

73 – Het is echter interessant dat het Europees Hof voor de Rechten van de Mens in de context van door overheidsinstanties bewaarde gegevens heeft geoordeeld: „Het nationale recht dient met name te waarborgen dat zulke gegevens ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden opgeslagen, en dat zij niet worden bewaard in een vorm die het mogelijk maakt de betrokkenen langer te identificeren dan nodig is voor het doel waarvoor zij worden opgeslagen (zie arrest EHRM van 4 december 2008, S. en Marper/Verenigd Koninkrijk, nrs. 30562/04 en 30566/04, § 103, ECHR 2008; zie ook bijvoorbeeld arrest EHRM van 6 juni 2006, Wiberg e.a./Zweden, nr. 62332/00, met name § 90, ECHR 2006‑VII). Het Europees Hof voor de Rechten van de Mens heeft echter in het kader van artikel 10 EVRM, inzake de vrijheid van meningsuiting „de belangrijke bijdrage van internetarchieven aan het bewaren en beschikbaar maken van nieuws en informatie” erkend [arrest EHRM van 10 maart 2009, Times Newspapers Ltd/Verenigd Koninkrijk (nrs. 1 en 2), nrs. 3002/03, 23676/03, § 45, ECHR 2009].

74 – Zie supra, punt 41.

75 – Vergelijk artikel 14 van richtlijn 2000/31 inzake elektronische handel.

76– Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14).

77 – Deze benadering volgde het Hof in zijn arrest McB. (aangehaald in voetnoot 34, punten 44 en 49).

78 – Arrest van 24 november 2011, ASNEF en FECEMD (C‑468/10 en C‑469/10, Jurispr. blz. I‑12181, punten 44‑45). Het EHRM heeft opgemerkt dat de openbaarmaking van persoonlijke gegevens elders een einde maakt aan het hogere belang van bescherming van de vertrouwelijkheid (arrest van 16 december 2010, Aleksey Ovchinnikov/Rusland, nr. 24061/04, § 49).

79 – Arresten EHRM van 16 december 1992, Niemietz/Duitsland, nr. 13710/88, § 29, Serie A nr. 251 B; 16 februari 2000, Amann/Zwitserland, nr. 27798/95, § 65, ECHR 2000‑II, en 4 mei 2000, Rotaru/Roemenië, nr. 28341/95, § 43, ECHR 2000 V.

80 – Aangehaald in voetnoot 13, punt 52.

81 – Het EHRM heeft daarentegen ervan afgezien het privéleven in positieve termen te definiëren. Volgens het EHRM is het begrip privéleven veelomvattend en kan het als zodanig niet uitputtend worden omschreven (zie arrest van 25 maart 1993, Costello‑Roberts/Verenigd Koninkrijk, nr. 13134/87, § 36, Serie A nr. 247‑C).

82 – Over positieve verplichtingen van een staat om actief het privéleven te beschermen tegen inbreuken door particulieren, en de noodzaak om een dergelijke verplichting in evenwicht te brengen met het recht van vrije meningsuiting van de laatste, zie bijvoorbeeld arresten EHRM van 24 juni 2004, Von Hannover/Duitsland, nr. 59320/00, ECHR 2004–VI, en 18 april 2013, Ageyevy/Rusland, nr. 7075/10.

83 – Arresten EHRM van 7 december 1976, Handyside/Verenigd Koninkrijk, § 49, Serie A nr. 24; 24 mei 1988, Müller e.a./Zwitserland, § 33, Serie A nr. 133; 26 september 1995, Vogt/Duitsland, § 52, Serie A nr. 323, en 12 februari 2008, Guja/Moldavië [GC], nr. 14277/04, § 69, ECHR 2008. Zie ook arrest Hof van 6 maart 2001, Connolly/Commissie (C‑274/99 P, Jurispr. blz. I‑1611, punt 39), en de conclusie van avocaat-generaal Kokott in de zaak Satakunnan Markkinapörssi en Satamedia (arrest aangehaald in voetnoot 12, punt 38).

84 – Arrest van 16 februari 2012, SABAM (C‑360/10, punt 48).

85 – Verenigde Naties, Mensenrechtenraad, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue (Document A/HRC/17/27), van 16 mei 2011.

86 – Arrest Satakunnan Markkinapörssi en Satamedia (aangehaald in voetnoot 12, punt 60).

87 – Er zij eraan herinnerd dat de uitzonderingen voor de journalistiek in artikel 9 van de richtlijn gelden „niet alleen voor mediaondernemingen maar voor alle in de journalistiek werkzame personen” (arrest Satakunnan Markkinapörssi en Satamedia, aangehaald in voetnoot 12, punt 58).

88 – Arrest EHRM, Times Newspapers Ltd/Verenigd Koninkrijk (nrs. 1 en 2) (aangehaald in voetnoot 73, § 45).

89 – Arrest Hof van 24 november 2011, Scarlet Extended (C‑70/10, Jurispr. blz. I‑11959, punt 46), en arrest SABAM (aangehaald in voetnoot 84, punt 44).

90 – Zie tevens arrest van 18 maart 2010, Alassini e.a. (C‑317/08–C‑320/08, Jurispr. blz. I‑2213, punt 63), waarin het Hof oordeelde dat „volgt uit vaste rechtspraak dat de grondrechten geen absolute gelding hebben, maar beperkingen kunnen bevatten, mits deze werkelijk beantwoorden aan de doeleinden van algemeen belang die met de betrokken maatregel worden nagestreefd, en, het nagestreefde doel in aanmerking genomen, geen onevenredige en onduldbare ingreep impliceren, waardoor de gewaarborgde rechten in hun kern worden aangetast (zie in die zin arrest van 15 juni 2006, Dokter e.a., C‑28/05, Jurispr. blz. I‑5431, punt 75 en aldaar aangehaalde rechtspraak, alsmede arrest EHRM van 21 november 2001, Fogarty/Verenigd Koninkrijk, nr. 37112/97, § 33, Recueil des arrêts et décisions 2001-XI)”.

91 – Aangehaald in voetnoot 78, § 50.

92 – Aangehaald in voetnoot 73.

93 – Over het recht om informatie te ontvangen, zie arresten EHRM van 26 november 1991, Observer en Guardian/Verenigd Koninkrijk, § 60, Serie A nr. 216, en 27 november 2007, Timpul Info‑Magazin en Anghel/Moldavië, nr. 42864/05, § 34.

94 – Thomas Bowdler (1754–1825) deed een gekuiste uitgave van de werken van William Shakespeare het licht zien, die gepaster werd geacht voor de 19e-eeuwse vrouwen en kinderen dan de oorspronkelijke.

95 – Arrest SABAM (aangehaald in voetnoot 84, punten 45‑47).

96 – Zie mijn conclusie in de zaak L’Oréal e.a. (arrest aangehaald in voetnoot 14, punt 155 conclusie).

97 – Arrest SABAM (aangehaald in voetnoot 84, punten 48 en 50).

98 – Advies 1/2008 van de groep gegevensbescherming artikel 29 (aangehaald in voetnoot 7, blz. 14 en 15).

Noot: 

Raf Schoefs, Google moet mensen soms vergeten, De Juristenkrant, 290, 28 mei 2014, p. 2

Gerelateerd
Aangemaakt op: di, 12/06/2012 - 18:17
Laatst aangepast op: di, 08/08/2017 - 10:48

Hebt u nog een vraag?

Hebt u nog een vraag in dit verband, klik dan hier om uw vraag aan ons te stellen, of meteen een afspraak te maken voor een consultatie.

Aanvulling

Heeft u een suggestie, aanvulling of voorstel tot correctie met betrekking tot deze pagina? Gebruik dit adres om het te melden.