Domstolens dom (tredje avdelningen) den 28 april 2022
Hänvisat till av
I mål C‑319/20, angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesgerichtshof (Federala högsta domstolen, Tyskland) genom beslut av den 28 maj 2020, som inkom till domstolen den 15 juli 2020, i målet
DOMSTOLEN (tredje avdelningen) sammansatt av ordföranden på andra avdelningen A. Prechal, tillika tillförordnad ordförande på tredje avdelningen, samt domarna J. Passer, F. Biltgen, L.S. Rossi (referent) och N. Wahl, generaladvokat: J. Richard de la Tour, justitiesekreterare: handläggare M. Krausenböck,
efter det skriftliga förfarandet och förhandlingen den 23 september 2021,
med beaktande av de yttranden som avgetts av: Meta Platforms Ireland Limited, genom H.-G. Kamann, M. Braun och H. Frey, Rechtsanwälte, samt V. Wettner, Rechtsanwältin, Bundesverband der Verbraucherzentralen und Verbraucherverbände ‐ Verbraucherzentrale Bundesverband e.V., genom P. Wassermann, Rechtsanwalt, Tysklands regering, genom D. Klebs och J. Möller, båda i egenskap av ombud, Österrikes regering, genom A. Posch, G. Kunnert och J. Schmoll, samtliga i egenskap av ombud, Portugals regering, genom L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa och L Medeiros, samtliga i egenskap av ombud, Europeiska kommissionen, inledningsvis genom F. Erlbacher, H. Kranenborg och D. Nardi, därefter av F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,
och efter att den 2 december 2021 ha hört generaladvokatens förslag till avgörande,
följande
Dom
Tillämpliga bestämmelser
Unionsrätt
Dataskyddsförordningen
Direktiv 2005/29/EG
Direktiv 2009/22/EG
Direktiv (EU) 2020/1828
Tysk rätt
Lagen om förbudsföreläggande
Lagen om illojal konkurrens
Lagen om elektroniska informations- och kommunikationstjänster
Målet vid den nationella domstolen och tolkningsfrågan
Tolkningsfrågan
Rättegångskostnader
1 Begäran om förhandsavgörande avser tolkningen av artiklarna 80.1 och 80.2 samt 84.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), (EUT L 119, 2016, s. 1), (nedan kallad dataskyddsförordningen).
2 Begäran har framställts i ett mål mellan Meta platforms Ireland Limited, tidigare Facebook Ireland Limited, med säte i Irland, och Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federal sammanslutning av konsumentcentra och konsumentföreningar, Tyskland) (nedan kallad Bundesverband) angående Meta platforms Irelands åsidosättande av den tyska lagstiftningen om skydd för personuppgifter, vilket samtidigt utgjorde en otillbörlig affärsmetod samt ett åsidosättande av en konsumentskyddslag och av förbudet mot ogiltiga allmänna villkor.
3 Skälen 9, 10, 13 och 142 i dataskyddsförordningen har följande lydelse:
4 I artikel 1 i dataskyddsförordningen, med rubriken Syfte, föreskrivs följande i punkt 1:
5 I artikel 4.1 i dataskyddsförordningen föreskrivs följande:
6 Kapitel III i dataskyddsförordningen, som består av artiklarna 12–23, har rubriken Den registrerades rättigheter.
7 I artikel 12 i förordningen, med rubriken Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter, föreskrivs följande i punkt 1:
8 I artikel 13 i förordningen, med rubriken Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade, föreskrivs följande i punkt 1 c och e:
9 Kapitel VIII i dataskyddsförordningen, som består av artiklarna 77–84, har rubriken Rättsmedel, ansvar och sanktioner.
10 I artikel 77 i förordningen, med rubriken Rätt att lämna in klagomål till en tillsynsmyndighet föreskrivs följande i punkt 1:
11 I artikel 78 i förordningen, med rubriken Rätt till ett effektivt rättsmedel mot en tillsynsmyndighet, föreskrivs följande i punkt 1:
12 I artikel 79 i förordningen, med rubriken Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, föreskrivs följande i punkt 1:
13 I artikel 80 i förordningen, med rubriken Företrädande av registrerade, föreskrivs följande:
14 I artikel 82 i förordningen, med rubriken Ansvar och rätt till ersättning, föreskrivs följande i punkt 1:
15 I artikel 84 i förordningen, med rubriken Sanktioner, föreskrivs följande i punkt 1:
16 Syftet med Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder) (EUT 2005, L 149, s. 22) är enligt artikel 1 i direktivet att bidra till att den inre marknaden fungerar korrekt och att säkerställa en hög konsumentskyddsnivå genom att tillnärma medlemsstaternas lagar och andra författningar avseende otillbörliga affärsmetoder som skadar konsumenternas ekonomiska intressen.
17 I artikel 5 i direktiv 2005/29, med rubriken Förbud mot otillbörliga affärsmetoder, föreskrivs följande:
18 I artikel 11 i direktivet, med rubriken Efterlevnad av bestämmelserna, föreskrivs följande i punkt 1:
19 I bilaga I till direktiv 2005/29, som innehåller förteckningen över de affärsmetoder som under alla omständigheter ska betraktas som otillbörliga, föreskrivs följande i punkt 26:
20 I artikel 1 i Europaparlamentets och rådets direktiv 2009/22/EG av den 23 april 2009 om förbudsföreläggande för att skydda konsumenternas intressen (EUT L 2009, 110, s. 30), med rubriken Tillämpningsområde, föreskrivs följande:
21 I artikel 7 i direktiv 2009/22, med rubriken Bestämmelser om mer omfattande åtgärder, föreskrivs följande:
22 Bilaga I till direktiv 2009/22 innehåller en förteckning över de unionsdirektiv som avses i artikel 1 i direktivet. I punkt 11 i denna bilaga nämns direktiv 2005/29.
23 Skälen 11, 13 och 15 i Europaparlamentets och rådets direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22 (EUT L 409, 2020, s. 1) har följande lydelse:
24 I artikel 2 i direktivet, med rubriken Tillämpningsområde, föreskrivs följande i punkt 1:
25 I artikel 24 i direktivet, med rubriken Införlivande, föreskrivs följande i punkt 1:
26 I bilaga I till direktiv 2020/1828, som innehåller en förteckning över de unionsrättsliga bestämmelser som avses i artikel 2.1 i direktivet, anges i punkt 56 dataskyddsförordningen.
27 I 2 § Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Lagen om förbudsföreläggande vid brott mot konsumentskyddet och andra kränkningar), av den 26 november 2001 (BGBl. 2001 I, s. 3138), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om förbudsföreläggande) anges följande:
28 Bundesgerichtshof (Federala högsta domstolen, Tyskland) har påpekat att enligt 3 § 1, första meningen, punkt 1, i lagen om förbudsföreläggande får organisationer som har talerätt i den mening som avses i 4 § i denna lag dels, i enlighet med 1 §, begära att tillämpningen av ogiltiga allmänna villkor enligt artikel 307 i Bürgerliches Gesetzbuch (civillagen) ska upphöra, dels begära att åsidosättanden av konsumentskyddslagstiftningen i den mening som avses i 2 § 2 i samma lag ska upphöra.
29 I 3 § stycke 1 i Gesetz gegen den unlauteren Wettbewerb – UWG (lag om illojal konkurrens), (nedan kallad lagen om illojal konkurrens) av den 3 juli 2004, (BGB1. 2004 I, s. 1414), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om illojal konkurrens), föreskrivs följande:
30 I 3 § i lagen om illojal konkurrens anges följande:
31 I 8 § i lagen om illojal konkurrens anges följande:
32 Bundesgerichtshof (Federala högsta domstolen) har angett att 13 § 1 Telemediengesetz (lagen om elektroniska informations- och kommunikationstjänster) av den 26 februari 2007 (BGBl. 2007 I, s. 179), var tillämplig till dess att dataskyddsförordningen trädde i kraft. Sedan dess har denna bestämmelse ersatts av artiklarna 12–14 i dataskyddsförordningen.
33 13 § 1, första meningen, i lagen om elektroniska informations- och kommunikationstjänster hade följande lydelse:
34 Meta platforms Ireland, som hanterar utbudet av online-tjänster inom det sociala nätverket Facebook i unionen, är ansvarig för behandlingen av personuppgifter avseende användare av detta sociala nätverk i unionen. Facebook Germany GmbH, som har sitt säte i Tyskland, främjar försäljning av reklamutrymme på adressen www.facebook.de. Webbplattformen Facebook innehåller, bland annat på webbadressen www.facebook.de, en plats kallad App-Zentrum (Appcenter) på vilken Meta platforms Ireland gör spel som tillhandahålls av tredje man tillgängliga för användarna utan vederlag. När sidorna för vissa spel på Appcenter besöks informeras användaren om att användningen av den aktuella applikationen gör det möjligt för spelbolaget att erhålla vissa personuppgifter och ger bolaget rätt att publicera viss information för användarens räkning, såsom erhållna poäng och andra uppgifter. Denna användning medför att användaren godtar de allmänna tillämpningsvillkoren och spelbolagets policy vad gäller dataskydd. Vad avser ett visst spel finns det dessutom en angivelse att applikationen får tillåtelse att för samma användares räkning publicera personens status, foton och andra uppgifter.
35 Bundesverband, som är en organisation som har talerätt enligt 4 § i lagen om förbudsföreläggande, anser att den information som tillhandahålls av de ifrågavarande spelen i Appcenter är otillbörlig, bland annat med avseende på åsidosättandet av de lagstadgade villkor som gäller för inhämtande av ett giltigt samtycke från användaren enligt bestämmelserna om dataskydd. Den hänskjutande domstolen anser dessutom att angivelsen att applikationen får tillåtelse att för användarens räkning publicera vissa personliga uppgifter utgör ett allmänt villkor som otillbörligt missgynnar användaren.
36 Mot denna bakgrund väckte Bundesverband talan vid Landgericht Berlin (Regiondomstolen i Berlin, Tyskland) mot Meta Platforms Ireland med stöd av 3a § i lagen om illojal konkurrens, 2 § 2, första meningen, led 11, i lagen om förbudsföreläggande och civillagen. Talan väcktes oberoende av något konkret åsidosättande av en registrerads rätt till skydd för personuppgifter och utan något uppdrag från en sådan person.
37 Landgericht Berlin (Regiondomstolen i Berlin) meddelade ett föreläggande mot Meta Platforms Ireland i enlighet med Bundesverbands yrkanden. Meta Platforms Irelands överklagande ogillades av Kammergericht Berlin (Regionöverdomstolen i Berlin). Meta platforms Ireland överklagade regionöverdomstolens avslagsbeslut till den hänskjutande domstolen.
38 Den hänskjutande domstolen anser att Bundesverbands talan är välgrundad, eftersom Meta platforms Ireland har åsidosatt 3 § i lagen om illojal konkurrens samt 2 § 2, första meningen, led 11 i lagen om förbudsföreläggande och har tillämpat ett ogiltigt allmänt villkor i den mening som avses i 1 § i lagen om förbudsförelägganden.
39 Den hänskjutande domstolen hyser emellertid tvivel om huruvida Bundesverbands talan kan tas upp till sakprövning. Den hänskjutande domstolen anser nämligen att det inte är uteslutet att Bundesverband, som vid den tidpunkt då talan väcktes hade talerätt – med stöd av 8 § 3 i lagen om illojal konkurrens och 3 § 1, första meningen, led 1, i lagen om förbudsföreläggande – förlorade denna ställning under förfarandets gång till följd av att dataskyddsförordningen trädde i kraft, särskilt med avseende på artiklarna 80.1, 80.2 och 84.1 i förordningen. Om så är fallet ska den hänskjutande domstolen bifalla Meta platforms Irelands överklagande och ogilla den talan som väckts av Bundesverband, eftersom talerätt enligt relevanta processuella bestämmelser i tysk rätt ska bestå fram till dess att målet har avgjorts i sista instans.
40 Enligt den hänskjutande domstolen framgår svaret i detta avseende inte klart av ordalydelsen av, systematiken i och syftet med dataskyddsförordningen.
41 Vad gäller lydelsen av bestämmelserna i dataskyddsförordningen har den hänskjutande domstolen påpekat att en förutsättning för att ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, ska ha talerätt enligt artikel 80.1 i dataskyddsförordningen är att den registrerade har gett ett organ, en organisation eller sammanslutning i uppdrag att för dess räkning utöva de rättigheter som avses i artiklarna 77–79 i dataskyddsförordningen samt den rätt till skadestånd som avses i artikel 82 i dataskyddsförordningen när detta föreskrivs i en medlemsstats lagstiftning.
42 Den hänskjutande domstolen har emellertid understrukit att rätten att väcka talan enligt 8 § 3 led 3 i lagen om illojal konkurrens inte avser ett sådant klagomål som ingetts på uppdrag från en registrerad och för dess räkning för att kunna göra den registrerades personliga rättigheter gällande. Den innebär tvärtom att en förening, med stöd av en rättighet som är dess egen samt följer av 3 § 1 och 3a § i lagen om illojal konkurrens, tillerkänns en objektiv talerätt mot överträdelser av dataskyddsförordningen, oberoende av åsidosättanden av registrerades konkreta rättigheter eller något uppdrag från registrerade.
43 Den hänskjutande domstolen har dessutom påpekat att det i artikel 80.2 i dataskyddsförordningen inte föreskrivs någon talerätt för en förening för att, på ett objektivt sätt, säkerställa tillämpningen av rätten till skydd av personuppgifter. Enligt denna bestämmelse förutsätts nämligen att en registrerads rättigheter enligt dataskyddsförordningen faktiskt har åsidosatts genom en specifik behandling av uppgifter.
44 En sådan talerätt för en organisation, som den som föreskrivs i 8 § 3 i lagen om illojal konkurrens, kan inte heller följa av artikel 84.1 i dataskyddsförordningen, enligt vilken medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. En sådan talerätt för en organisation, som den som föreskrivs i 8 § 3 i lagen om illojal konkurrens, kan nämligen inte anses utgöra en sanktion i den mening som avses i nämnda bestämmelse i dataskyddsförordningen.
45 Vad gäller systematiken i dataskyddsförordningen anser den hänskjutande domstolen att det av den omständigheten att bland annat tillsynsmyndigheternas befogenheter har harmoniserats genom denna förordning framgår att det huvudsakligen ankommer på dessa myndigheter att kontrollera förordningens tillämpning. Formuleringen [u]tan att det påverkar något annat … prövningsförfarande eller rättsmedel, som återfinns i artiklarna 77.1, 78.1 och 78.2 samt 79.1 i förordningen, skulle kunna innebära att det antagandet att kontrollen av rättstillämpningen är uttömmande reglerad genom denna förordning vederläggs.
46 Vad gäller syftet med dataskyddsförordningen, har den hänskjutande domstolen anfört att dess ändamålsenliga verkan skulle kunna tala för att organisationer har talerätt enligt konkurrensrätten, med stöd av 8 § 3, punkt 3, i lagen om illojal konkurrens, oavsett huruvida det föreligger kränkningar av registrerades konkreta rättigheter, eftersom det skulle innebära ytterligare en möjlighet att kontrollera rättstillämpningen, i syfte att säkerställa en så hög nivå som möjligt på skyddet av personuppgifter i enlighet med skäl 10 i förordningen. Den omständigheten att organisationer medges talerätt enligt konkurrensrätten skulle emellertid kunna anses strida mot det harmoniseringsmål som eftersträvas med dataskyddsförordningen.
47 Mot denna bakgrund beslutade Bundesgerichtshof (Federala högsta domstolen) att vilandeförklara målet och ställa följande tolkningsfråga till EU-domstolen:
48 Det nationella målet avser, såsom framgår av punkterna 36 och 41–44 i denna dom, en tvist mellan en konsumentskyddsförening, nämligen Bundesverband, och Meta platforms Ireland samt avser frågan huruvida en sådan förening kan väcka talan mot detta bolag i avsaknad av något uppdrag i detta avseende och oberoende av huruvida en registrerads konkreta rättigheter har åsidosatts.
49 Under dessa omständigheter, och såsom kommissionen har påpekat i sitt skriftliga yttrande, beror svaret på tolkningsfrågan endast på tolkningen av artikel 80.2 i dataskyddsförordningen, eftersom artiklarna 80.1 och 84 i denna förordning saknar relevans i förevarande fall. Tillämpningen av artikel 80.1 i dataskyddsförordningen förutsätter nämligen att den registrerade har gett ett organ, en organisation eller sammanslutning utan vinstsyfte, i den mening som avses i bestämmelsen, i uppdrag att för dess räkning vidta de rättsliga åtgärder som föreskrivs i artiklarna 77–79 i förordningen. Detta är emellertid inte fallet i det nationella målet, eftersom Bundesverband agerar oberoende av något uppdrag från en registrerad. Det är vidare utrett att artikel 84 i dataskyddsförordningen avser administrativa och straffrättsliga påföljder för överträdelser av förordningen, vilket inte heller är aktuellt i det nationella målet.
50 Det nationella målet avser vidare inte frågan huruvida en konkurrent har talerätt. Domstolen ska således besvara den enda del av frågan som gäller talerätt för ett organ, en organisation eller en sammanslutning, vilka är behöriga enligt nationell rätt, i den mening som avses i artikel 80.2 i dataskyddsförordningen.
51 Av detta följer att den hänskjutande domstolens fråga ska förstås så, att den syftar till att få klarhet i huruvida artikel 80.2 i dataskyddsförordningen ska tolkas så, att den utgör hinder för nationell lagstiftning enligt vilken en konsumentskyddsförening kan väcka talan vid domstol, utan något uppdrag som denna förening anförtrotts i detta avseende och oberoende av något åsidosättande av en registrerads konkreta rättigheter, mot den som påstås ha gjort intrång i skyddet av personuppgifter, med åberopande av förbudet mot otillbörliga avtalsvillkor, ett åsidosättande av en konsumentskyddslag eller förbudet mot ogiltiga allmänna villkor.
52 Det framgår av skäl 10 i dataskyddsförordningen att denna förordning bland annat syftar till att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen och att undanröja hindren för flödena av personuppgifter inom unionen.
53 I detta sammanhang reglerar kapitel VIII i förordningen bland annat de rättsmedel som gör det möjligt att skydda den registrerades rättigheter när personuppgifter som rör honom eller henne har behandlats i strid med bestämmelserna i förordningen. Skyddet för dessa rättigheter kan göras gällande antingen direkt av den registrerade eller av en bemyndigad enhet, med eller utan något uppdrag i detta avseende, enligt artikel 80 i dataskyddsförordningen.
54 Den registrerade har således rätt att själv inge ett klagomål till en tillsynsmyndighet i en medlemsstat eller väcka talan vid de nationella tvistemålsdomstolarna. Den registrerade har närmare bestämt rätt att lämna in ett klagomål till en tillsynsmyndighet enligt artikel 77 i dataskyddsförordningen, rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut enligt artikel 78 i förordningen, rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt artikel 79 i förordningen samt rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan enligt artikel 82 i dataskyddsförordningen.
55 Vidare har den registrerade, enligt artikel 80.1 i dataskyddsförordningen, rätt att på vissa villkor ge ett organ, en organisation eller sammanslutning utan vinstsyfte i uppdrag att lämna in ett klagomål eller, för hans eller hennes räkning, utöva de rättigheter som avses i ovannämnda artiklar.
56 Slutligen får medlemsstaterna, enligt artikel 80.2 i dataskyddsförordningen, föreskriva att ett organ, en organisation eller en sammanslutning, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt förordningen har kränkts som en följd av behandlingen.
57 Såsom framgår av artikel 1.1 i dataskyddsförordningen, jämförd med skälen 9, 10 och 13 i denna förordning, syftar förordningen till att säkerställa en i princip fullständig harmonisering av nationell lagstiftning om skydd av personuppgifter. Enligt förordningen finns emellertid en möjlighet för medlemsstaterna att införa ytterligare nationella bestämmelser, som är strängare eller avviker, vilket ger dem ett utrymme för skönsmässig bedömning av hur sådana bestämmelser ska genomföras (öppningsklausuler).
58 Enligt domstolens fasta rättspraxis har bestämmelser i förordningar – enligt artikel 288 FEUF och på grund av förordningarnas beskaffenhet och deras funktion i unionens rättskällesystem – i allmänhet omedelbara verkningar i de nationella rättsordningarna, utan att det krävs att de nationella myndigheterna vidtar tillämpningsåtgärder. Icke desto mindre kan vissa av dessa bestämmelser erfordra att medlemsstaterna vidtar tillämpningsåtgärder för att genomföra dem (dom av den 15 juni 2021, Facebook Ireland m.fl., C‑645/19, EU:C:2021:483, punkt 110 och där angiven rättspraxis).
59 Så är bland annat fallet med artikel 80.2 i dataskyddsförordningen, enligt vilken medlemsstaterna medges ett utrymme för skönsmässig bedömning vid dess genomförande. För att en sådan grupptalan i avsaknad av uppdrag avseende skyddet av personuppgifter som föreskrivs i denna bestämmelse ska kunna genomföras, måste medlemsstaterna använda sig av den möjlighet som de medges genom denna bestämmelse att i sin nationella rätt föreskriva ett sådant tillvägagångssätt för att företräda registrerade.
60 Såsom generaladvokaten påpekade i punkterna 51 och 52 i sitt förslag till avgörande ska medlemsstaterna, när de utnyttjar den möjlighet som de ges genom en sådan öppningsklausul, använda sitt utrymme för skönsmässig bedömning under de förutsättningar och begränsningar som följer av dataskyddsförordningen och ska således lagstifta på ett sådant sätt att de inte inkräktar på förordningens innehåll och syften.
61 I förevarande fall har den tyska lagstiftaren, såsom den tyska regeringen bekräftade vid förhandlingen i det nationella målet, till följd av dataskyddsförordningens ikraftträdande inte antagit några särskilda bestämmelser som specifikt syftar till att införliva artikel 80.2 i denna förordning med sin nationella rätt. Den nationella lagstiftning som är relevant i det nationella målet, vilken antagits för att införliva direktiv 2009/22, gör det nämligen redan möjligt för konsumentskyddsföreningar att väcka talan mot den som påstås kränka skyddet av personuppgifter. Den tyska regeringen har dessutom understrukit att domstolen i sin dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629), som rörde tolkningen av bestämmelserna i direktiv 95/46, slog fast att dessa bestämmelser inte utgör hinder för denna nationella lagstiftning.
62 Under dessa omständigheter ska det, såsom generaladvokaten framförde i punkt 60 i sitt förslag till avgörande, i huvudsak prövas huruvida de bestämmelser som är i fråga i det nationella målet omfattas av det utrymme för skönsmässig bedömning som varje medlemsstat medges enligt artikel 80.2 i dataskyddsförordningen och denna bestämmelse tolkas med beaktande av såväl dess lydelse som av förordningens systematik och syften.
63 Enligt artikel 80.2 i dataskyddsförordningen medges medlemsstaterna en möjlighet att föreskriva en mekanism för grupptalan mot den som påstås göra intrång i skyddet av personuppgifter, samtidigt som det i artikeln uppställs ett antal krav vad gäller den personkrets och det materiella tillämpningsområde som ska iakttas i detta syfte.
64 Vad för det första gäller den personkrets som omfattas av tillämpningsområdet för en sådan mekanism tillerkänns ett organ, en organisation eller en sammanslutning som uppfyller de kriterier som uppställs i artikel 80.1 i dataskyddsförordningen talerätt. I denna bestämmelse hänvisas särskilt till ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter.
65 Domstolen konstaterar att en konsumentskyddsförening, såsom Bundesverband, kan omfattas av detta begrepp, eftersom den eftersträvar ett mål av allmänt intresse som består i att säkerställa de registrerades rättigheter och friheter i egenskap av konsumenter, i den mån förverkligandet av ett sådant mål kan ha samband med skyddet av konsumenternas personuppgifter.
66 Ett åsidosättande av de bestämmelser som har till syfte att skydda konsumenterna eller bekämpa otillbörliga affärsmetoder – ett åsidosättande som en konsumentskyddsförening, såsom Bundesverband, avser att förebygga och sanktionera bland annat genom att väcka talan om förbudsföreläggande enligt tillämplig nationell lagstiftning – kan nämligen, såsom i förevarande fall, ha samband med åsidosättandet av bestämmelserna om skyddet av konsumenternas personuppgifter.
67 Vad för det andra gäller det materiella tillämpningsområdet för denna mekanism, förutsätter en sådan grupptalan som föreskrivs i artikel 80.2 i dataskyddsförordningen av en enhet som uppfyller de villkor som anges i punkt 1 i samma artikel att denna enhet, oberoende av vilka mandat som den innehar, anser att den registrerades rättigheter enligt … förordningen har kränkts som en följd av behandlingen av vederbörandes personuppgifter.
68 För att kunna väcka en sådan grupptalan som avses i artikel 80.2 i dataskyddsförordningen kan det inte krävas att en sådan enhet i förväg identifierar de personer som specifikt berörs av en sådan behandling av uppgifter som påstås strida mot bestämmelserna i förordningen.
69 Det räcker nämligen att framhålla att begreppet registrerad person, i den mening som avses i artikel 4.1 i förordningen, inte bara omfattar en identifierad fysisk person, utan även en identifierbar fysisk person, det vill säga en fysisk person som kan identifieras, direkt eller indirekt, med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer. Under dessa omständigheter kan det vara tillräckligt att avgränsa en kategori eller grupp av personer som berörs av en sådan behandling för att en grupptalan ska kunna väckas.
70 Det följer vidare av artikel 80.2 i dataskyddsförordningen att en grupptalan inte heller förutsätter att det föreligger ett konkret åsidosättande av de rättigheter som en person tillerkänns enligt bestämmelserna om skydd av personuppgifter.
71 Såsom framgår av själva ordalydelsen av denna bestämmelse, vilken det erinrats om i punkt 67 i förevarande dom, är en förutsättning för att väcka grupptalan endast att den berörda enheten anser att registrerades rättigheter enligt förordningen har åsidosatts genom behandling av deras personuppgifter och således gör gällande att det föreligger en sådan behandling av uppgifter som strider mot denna förordning.
72 Härav följer att det, för att en sådan enhet ska tillerkännas talerätt enligt nämnda bestämmelse, räcker att åberopa att behandlingen av uppgifter kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt förordningen, utan att det är nödvändigt att styrka att en registrerad har lidit faktisk skada till följd av intrång i dennes rättigheter i en viss situation.
73 En sådan tolkning är förenlig med de krav som följer av artikel 16 FEUF och artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna samt följaktligen med det mål som eftersträvas med dataskyddsförordningen, nämligen att säkerställa ett effektivt skydd av fysiska personers grundläggande fri- och rättigheter och, i synnerhet, att säkerställa en hög skyddsnivå för var och en av de personuppgifter som rör honom eller henne (se, för ett liknande resonemang, dom av den 15 juni 2021, Facebook Ireland m.fl., C‑645/19, EU:C:2021:483, punkterna 44, 45 och 91).
74 Det förhållandet att konsumentskyddsföreningar, såsom Bundesverband, tillerkänns behörighet att genom en mekanism för att väcka grupptalan i syfte att avbryta en sådan behandling av personuppgifter som strider mot dataskyddsförordningen, oberoende av något åsidosättande av rättigheterna för en person som påverkas personligen och konkret av detta intrång, bidrar obestridligen till att stärka de registrerades rättigheter och att säkerställa en hög skyddsnivå för dem.
75 Det ska dessutom påpekas att en sådan mekanism för grupptalan, i den mån denna gör det möjligt att förhindra ett stort antal kränkningar av rättigheter för personer som påverkas av behandlingen av deras personuppgifter, skulle kunna visa sig vara effektivare än en talan som en person som enskilt och konkret påverkas av ett intrång i skyddet av vederbörandes personuppgifter kan väcka mot den som gjort sig skyldig till intrånget.
76 Såsom generaladvokaten framförde i punkt 76 i sitt förslag till avgörande skulle nämligen den preventiva funktionen hos en talan som väcks av sådana konsumentskyddsföreningar, såsom Bundesverband, inte kunna säkerställas om endast en kränkning av rättigheter för en person som enskilt och konkret påverkas av ett sådant intrång kunde åberopas genom en grupptalan med stöd av artikel 80.2 i dataskyddsförordningen.
77 För det tredje ska det, såsom den hänskjutande domstolen har begärt, även prövas huruvida artikel 80.2 i dataskyddsförordningen utgör hinder för en grupptalan oberoende av ett konkret åsidosättande av en registrerad persons rättigheter eller något mandat från den registrerade, när åsidosättandet av bestämmelserna om skydd för personuppgifter har åberopats inom ramen för en talan som syftar till att kontrollera tillämpningen av andra rättsregler om konsumentskyddets säkerställande.
78 Ett åsidosättande av en bestämmelse om skydd av personuppgifter kan, såsom har påpekats i punkt 66 ovan, samtidigt medföra ett åsidosättande av bestämmelser om konsumentskydd eller om otillbörliga affärsmetoder.
79 Såsom generaladvokaten framförde i punkt 72 i sitt förslag till avgörande, utgör denna bestämmelse således inte hinder för att medlemsstaterna använder sig av den möjlighet som där föreskrivs på så sätt att konsumentskyddsföreningar tillerkänns rätt att väcka talan mot åsidosättanden av rättigheter enligt dataskyddsförordningen, i förekommande fall med hjälp av regler som syftar till att skydda konsumenter eller motverka otillbörliga affärsmetoder, såsom de som föreskrivs i direktiven 2005/29 och 2009/22.
80 Denna tolkning av artikel 80.2 i dataskyddsförordningen vinner för övrigt stöd av direktiv 2020/1828, varigenom direktiv 2009/22 upphävs och ersätts från och med den 25 juni 2023. Enligt artikel 2.1 i direktiv 2020/1828 är detta direktiv nämligen tillämpligt på grupptalan som väcks med avseende på näringsidkares överträdelser av de unionsrättsliga bestämmelser som avses i bilaga I till direktivet. I punkt 56 i denna bilaga nämns dataskyddsförordningen.
81 Direktiv 2020/1828 är visserligen inte tillämpligt i det nationella målet och införlivandefristen har ännu inte löpt ut. Direktivet innehåller emellertid flera uppgifter som bekräftar att artikel 80 i dataskyddsförordningen inte utgör hinder för kompletterande grupptalan inom konsumentskyddsområdet.
82 Det är visserligen, såsom framgår av skäl 11 i direktiv 2020/1828, ändå möjligt att föreskriva processuella mekanismer för kompletterande grupptalan inom konsumentskyddsområdet. De efterlevnadsmekanismer som föreskrivs i eller grundar sig på dataskyddsförordningen, såsom den i artikel 80 i förordningen, kan emellertid inte ersättas eller ändras, vilket anges i skäl 15 i direktivet, och de kan således användas för att skydda konsumenternas kollektiva intressen.
83 Av samtliga ovanstående överväganden följer att tolkningsfrågan ska besvaras enligt följande. Artikel 80.2 i dataskyddsförordningen ska tolkas så, att den inte utgör hinder för nationell lagstiftning enligt vilken en konsumentskyddsförening, utan något mandat som anförtrotts denna förening i detta avseende och oberoende av något åsidosättande av registrerades konkreta rättigheter, tillerkänns talerätt mot den som påstås ha gjort intrång i skyddet av personuppgifter, genom att åberopa ett åsidosättande av förbudet mot otillbörliga affärsmetoder, av en lag gällande konsumentskydd eller av förbudet mot ogiltiga allmänna villkor, när behandlingen av de ifrågavarande uppgifterna kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt denna förordning.
84 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
1 Rättegångsspråk: tyska.