lagen.
EU-domstolen

Domstolens dom (fjärde avdelningen) den 11 juli 2024

CELEX
62022CJ0757
Typ
EU-domstolen
Datum
20221110
ECLI
ECLI:EU:C:2024:598

Källa

Hänvisat till av

Begäran om förhandsavgörandeSkydd för fysiska personer med avseende på behandling av personuppgifterFörordning (EU) 2016/679Artikel 12.1 första meningenKlar och tydlig informationArtikel 13.1 c och eDen personuppgiftsansvariges skyldighet att lämna informationArtikel 80.2Registrerade företräds av en konsumentskyddsföreningGrupptalan som väcks utan mandat och oberoende av något åsidosättande av en registrerads konkreta rättigheterTalan som grundar sig på ett åsidosättande av den personuppgiftsansvariges skyldighet att lämna informationBegreppet kränkning av en registrerad persons rättigheter som en följd av behandlingen

I mål C‑757/22, angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesgerichtshof (Federala högsta domstolen, Tyskland) genom beslut av den 10 november 2022, som inkom till domstolen den 15 december 2022, i målet

DOMSTOLEN (fjärde avdelningen) sammansatt av avdelningsordföranden C. Lycourgos samt domarna O. Spineanu-Matei, J.-C. Bonichot, S. Rodin och L.S. Rossi (referent), generaladvokat: J. Richard de la Tour, justitiesekreterare: enhetschefen D. Dittert,

efter det skriftliga förfarandet och förhandlingen den 23 november 2023,

med beaktande av de yttranden som avgetts av: Meta Platforms Ireland Ltd, genom M. Braun, H.-G. Kamann och V. Wettner, Rechtsanwälte, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., genom P. Wassermann, Rechtsanwalt, Tysklands regering, genom J. Möller och P.-L. Krüger, båda i egenskap av ombud, Portugals regering, genom P. Barros da Costa, J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud, Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 25 januari 2024 ha hört generaladvokatens förslag till avgörande,

följande

Dom

Tillämpliga bestämmelser

Dataskyddsförordningen

Tysk rätt

Lagen om förbudsföreläggande

Lagen om illojal konkurrens

Lagen om elektroniska informations- och kommunikationstjänster

Målet vid den nationella domstolen och tolkningsfrågan

Prövning av tolkningsfrågan

Rättegångskostnader

1 Begäran om förhandsavgörande avser tolkningen av artikel 80.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen), jämförd med artikel 12.1 första meningen och artikel 13.1 c och e i denna förordning.

2 Begäran har framställts i ett mål mellan Meta Platforms Ireland Ltd, tidigare Facebook Ireland Ltd, med säte i Irland, och Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federal sammanslutning av konsumentcentra och konsumentföreningar, Tyskland) (nedan kallat Bundesverband) angående Meta Platforms Irelands åsidosättande av den tyska lagstiftningen om skydd av personuppgifter vilket samtidigt utgör en otillbörlig affärsmetod, ett åsidosättande av en konsumentskyddslag och ett åsidosättande av förbudet mot att använda ogiltiga allmänna villkor.

3 Skälen 10, 13, 39, 58, 60, 50 och 142 i dataskyddsförordningen har följande lydelse:

4 I artikel 1 i denna förordning, med rubriken Syfte, föreskrivs följande i punkt 1:

5 Artikel 4 leden 1, 2, 9 och 11 i nämnda förordning har följande lydelse:

6 I artikel 5 i samma förordning, med rubriken Principer för behandling av personuppgifter, föreskrivs följande:

7 I artikel 6.1 a i dataskyddsförordningen, med rubriken Laglig behandling av personuppgifter, föreskrivs följande:

8 Kapitel III i dataskyddsförordningen, som består av artiklarna 12–23, har rubriken Den registrerades rättigheter.

9 I artikel 12 i denna förordning, med rubriken Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter, föreskrivs följande i punkt 1:

10 I artikel 13 i nämnda förordning, med rubriken Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade, föreskrivs följande i punkt 1 c och e:

11 Kapitel VIII i samma förordning, som består av artiklarna 77–84, har rubriken Rättsmedel, ansvar och sanktioner.

12 I artikel 77 i dataskyddsförordningen, med rubriken Rätt att lämna in klagomål till en tillsynsmyndighet föreskrivs följande i punkt 1:

13 I artikel 78 i denna förordning, med rubriken Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut, föreskrivs följande i punkt 1:

14 I artikel 79 i nämnda förordning, med rubriken Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, föreskrivs följande i punkt 1:

15 Artikel 80 i samma förordning, med rubriken Företrädande av registrerade, har följande lydelse:

16 I artikel 82 i dataskyddsförordningen, med rubriken Ansvar och rätt till ersättning, föreskrivs följande i punkt 1:

17 I artikel 84 i dataskyddsförordningen, med rubriken Sanktioner, föreskrivs följande i punkt 1:

18 I 2 § i Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (lagen om förbudsföreläggande vid brott mot konsumentskyddet och andra kränkningar), av den 26 november 2001 (BGBl. 2001 I, s. 3138), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om förbudsföreläggande), föreskrivs följande:

19 Bundesgerichtshof (Federala högsta domstolen, Tyskland) har påpekat att enligt 3 § stycke 1 första meningen punkt 1 i lagen om förbudsföreläggande får organisationer som har talerätt i den mening som avses i 4 § i denna lag dels, i enlighet med 1 §, begära att tillämpningen av ogiltiga allmänna villkor enligt 307 § i Bürgerliches Gesetzbuch (civillagen) ska upphöra, dels begära att åsidosättanden av konsumentskyddslagstiftningen, i den mening som avses i 2 § stycke 2 i samma lag, ska upphöra.

20 I 3 § stycke 1 i Gesetz gegen den unlauteren Wettbewerb (lag om illojal konkurrens) av den 3 juli 2004 (BGBI. 2004 I, s. 1414), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om illojal konkurrens), föreskrivs följande:

21 I 3a § i lagen om illojal konkurrens föreskrivs följande:

22 I 8 § i denna lag föreskrivs följande:

23 Bundesgerichtshof (Federala högsta domstolen) har angett att 13 § stycke 1 Telemediengesetz (lagen om elektroniska informations- och kommunikationstjänster) av den 26 februari 2007 (BGBl. 2007 I, s. 179), var tillämplig fram till dess att dataskyddsförordningen trädde i kraft. Sedan dess har denna bestämmelse ersatts av artiklarna 12–14 i dataskyddsförordningen.

24 I 13 § stycke 1 första meningen i lagen om elektroniska informations- och kommunikationstjänster föreskrevs följande:

25 Meta Platforms Ireland, som hanterar utbudet av online-tjänster inom det sociala nätverket Facebook i unionen, är ansvarig för behandlingen av personuppgifter som avser användare av detta sociala nätverk i unionen. Facebook Germany GmbH, som har sitt säte i Tyskland, gör på webbadressen www.facebook.de reklam för försäljning av reklamutrymme. Webbplattformen Facebook innehöll, bland annat på webbadressen www.facebook.de, en sida kallad App-Zentrum (Appcenter) på vilken Meta Platforms Ireland erbjöd användarna gratis spel som tillhandahölls av tredje man. När användarna besökte denna sida informerades de om att de genom att använda vissa av dessa applikationer gjorde det möjligt för applikationerna att samla in olika personuppgifter och att de tillät applikationerna att i användarnas namn publicera vissa av dessa uppgifter, såsom användarnas poängantal och, för ett av de aktuella spelen, användarnas status och foton. Användarna informerades även om att de genom att använda de berörda applikationerna godtog de allmänna villkoren för desamma och deras policy i fråga om dataskydd.

26 Bundesverband, som är ett organ som har talerätt enligt 4 § i lagen om förbudsförelägganden, ansåg att den information som tillhandahölls i de aktuella spelapplikationerna i Appcenter var otillbörlig, bland annat på grund av att de inte uppfyllde de lagstadgade villkoren om att erhålla ett giltigt samtycke från användaren enligt bestämmelserna om skydd av personuppgifter. Bundesverband ansåg dessutom att informationen om att dessa applikationer hade rätt att i användarnas namn publicera vissa av deras personuppgifter utgjorde ett allmänt villkor som på ett otillbörligt sätt missgynnade dem.

27 Mot denna bakgrund väckte Bundesverband talan vid Landgericht Berlin (Regiondomstolen i Berlin, Tyskland) om förbudsföreläggande med stöd av 3 § i lagen om illojal konkurrens, 2 § stycke 2 första meningen punkt 11 i lagen om förbudsförelägganden och civillagen, och yrkade bland annat att Meta Platforms Ireland skulle förbjudas att i Appcenter tillhandahålla sådana spelapplikationer som de aktuella. Talan väcktes oberoende av något konkret åsidosättande av en registrerads rätt till skydd för personuppgifter och utan mandat från en sådan person.

28 Landgericht Berlin (Regiondomstolen i Berlin) biföll Bundesverbands yrkanden. Meta Platforms Irelands överklagande ogillades av Kammergericht Berlin (Regionöverdomstolen i Berlin). Meta Platforms Ireland överklagade därefter regionöverdomstolens avslagsbeslut till den hänskjutande domstolen.

29 Den hänskjutande domstolen ansåg att Bundesverbands talan var välgrundad, eftersom Meta Platforms Ireland hade åsidosatt 3a § i lagen om illojal konkurrens samt 2 § stycke 2 första meningen led 11 i lagen om förbudsförelägganden och hade tillämpat ett ogiltigt allmänt villkor i den mening som avses i 1 § i lagen om förbudsförelägganden.

30 Den hänskjutande domstolen hyste emellertid tvivel om huruvida Bundesverbands talan kunde tas upp till sakprövning. Den fann nämligen att det inte var uteslutet att Bundesverband, som hade talerätt vid den tidpunkt då talan väcktes – med stöd av 8 § stycke 3 i lagen om illojal konkurrens och 3 § stycke 1 första meningen punkt 1 i lagen om förbudsföreläggande – hade förlorat denna ställning under förfarandets gång till följd av att dataskyddsförordningen hade trätt i kraft, särskilt artikel 80.1 och 80.2 samt artikel 84.1 i förordningen. Om så var fallet skulle den hänskjutande domstolen varit tvungen att bifalla Meta Platforms Ireland överklagande och ogilla Bundesverbands talan om förbudsföreläggande, eftersom talerätt enligt tillämpliga processuella bestämmelser i tysk rätt ska bestå fram till dess att sista instans har avgjort målet.

31 Genom beslut av den 28 maj 2020 beslutade Bundesgerichtshof (Federala högsta domstolen) sålunda att vilandeförklara målet och ställa en fråga till EU-domstolen om tolkningen av artikel 80.1 och 80.2 samt artikel 84.1 i dataskyddsförordningen.

32 I sin dom av den 28 april 2022, Meta Platforms Ireland ( C‑319/20, EU:C:2022:322), besvarade domstolen denna fråga med att artikel 80.2 i dataskyddsförordningen ska tolkas så, att den inte utgör hinder för nationell lagstiftning enligt vilken en konsumentskyddsförening, utan något mandat som anförtrotts denna förening i detta avseende och oberoende av någon kränkning av registrerades konkreta rättigheter, tillerkänns talerätt mot den som påstås ha gjort intrång i skyddet av personuppgifter, genom att åberopa ett åsidosättande av förbudet mot otillbörliga affärsmetoder, av en lag gällande konsumentskydd eller av förbudet mot ogiltiga allmänna villkor, när behandlingen av de ifrågavarande uppgifterna kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt denna förordning.

33 Mot bakgrund av denna dom anser den hänskjutande domstolen att en enhets talerätt i den mening som avses i artikel 80.2 i dataskyddsförordningen inte förutsätter att en sådan enhet i förväg identifierar den person som berörs av en behandling av uppgifter som påstås strida mot bestämmelserna i dataskyddsförordningen. Begreppet en registrerad, i den mening som avses i artikel 4.1 i dataskyddsförordningen, omfattar inte bara en identifierad fysisk person, utan även en identifierbar fysisk person, det vill säga en fysisk person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer. Under dessa omständigheter kan det vara tillräckligt att avgränsa en kategori eller grupp av personer som berörs av en sådan behandling för att en grupptalan ska kunna väckas. I förevarande fall har Bundesverband identifierat en sådan grupp eller kategori.

34 Enligt den hänskjutande domstolen prövades emellertid inte i den ovannämnda domen det villkor som anges i artikel 80.2 i dataskyddsförordningen, enligt vilket en konsumentskyddsorganisation, för att kunna utnyttja de rättsmedel som föreskrivs i denna förordning, måste anse att en registrerads rättigheter enligt förordningen har kränkts som en följd av behandlingen.

35 Till att börja med anser den hänskjutande domstolen att det inte klart framgår av den domen huruvida ett åsidosättande av skyldigheten enligt artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen att, i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, lämna information till den registrerade om ändamålen med den behandling för vilken personuppgifterna är avsedda och om mottagarna av personuppgifterna, innebär att rättigheter har kränkts som en följd av behandlingen, eller huruvida begreppet behandling, i den mening som avses i artikel 4 led 2 i förordningen, omfattar situationer som föregår insamlingen av sådana uppgifter.

36 Vidare anser den hänskjutande domstolen att det inte är klarlagt huruvida åsidosättandet av informationsskyldigheten i ett sådant fall som det här aktuella har skett som en följd av en behandling av personuppgifter i den mening som avses i artikel 80.2 i dataskyddsförordningen. Den hänskjutande domstolen har i detta avseende understrukit att om denna formulering skulle kunna tyda på att den enhet som väcker en grupptalan, för att denna talan ska kunna tas upp till sakprövning, måste åberopa en kränkning av en registrerads rättigheter till följd av en behandling av personuppgifter, i den mening som avses i artikel 4 led 2 i förordningen, och som således inträffar efter en sådan behandling, skulle syftet med förordningen, att bland annat säkerställa en hög skyddsnivå för personuppgifter, kunna tala för att denna enhets talerätt ska utvidgas till att omfatta ett åsidosättande av informationsskyldigheten, trots att denna skyldighet måste uppfyllas innan personuppgifter behandlas.

37 Mot denna bakgrund beslutade Bundesgerichtshof (Federala högsta domstolen) att vilandeförklara målet och ställa följande tolkningsfråga till EU-domstolen:

38 Den hänskjutande domstolen har ställt sin fråga för att få klarhet i huruvida artikel 80.2 i dataskyddsförordningen ska tolkas så, att villkoret att en bemyndigad enhet, för att kunna väcka grupptalan enligt denna bestämmelse, ska göra gällande att den anser att en registrerads rättigheter har kränkts som en följd av behandlingen, i den mening som avses i denna bestämmelse, är uppfyllt när en sådan talan grundar sig på ett åsidosättande av den personuppgiftsansvariges skyldighet enligt artikel 12.1 första meningen och artikel 13.1 c och e i samma förordning, att i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, informera den registrerade om ändamålet med behandlingen av uppgifterna och om mottagarna av dessa uppgifter, senast vid insamlingen av uppgifterna.

39 För att besvara denna fråga ska det inledningsvis erinras om att dataskyddsförordningen bland annat reglerar de rättsmedel som gör det möjligt att skydda den registrerades rättigheter när personuppgifter som rör honom eller henne har behandlats på ett sätt som påstås strida mot bestämmelserna i denna förordning. Skyddet av dessa rättigheter kan sålunda tillvaratas antingen direkt av den registrerade, som har rätt att själv lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat i enlighet med artikel 77 i dataskyddsförordningen, eller att väcka talan vid nationell domstol enligt artiklarna 78 och 79 i denna förordning, eller av en bemyndigad enhet, med stöd av artikel 80 i förordningen, med eller utan ett mandat för detta.

40 I synnerhet öppnar artikel 80.2 i dataskyddsförordningen en möjlighet för medlemsstaterna att föreskriva en mekanism för grupptalan mot den som påstås göra intrång i skyddet av personuppgifter, utan mandat från den registrerade, samtidigt som det i artikeln uppställs ett antal krav vad gäller den personkrets och det materiella tillämpningsområde som ska iakttas i detta syfte (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 63).

41 Vad för det första gäller den personkrets som omfattas av tillämpningsområdet för en sådan mekanism tillerkänns ett organ, en organisation eller en sammanslutning som uppfyller de kriterier som uppställs i artikel 80.1 i dataskyddsförordningen talerätt. Såsom domstolen redan har konstaterats kan en konsumentskyddsförening, såsom Bundesverband, omfattas av detta begrepp, eftersom den eftersträvar ett mål av allmänt intresse som består i att säkerställa de registrerades rättigheter och friheter i egenskap av konsumenter, i den mån förverkligandet av ett sådant mål kan ha samband med skyddet av konsumenternas personuppgifter (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkterna 64 och 65).

42 Vad för det andra gäller det materiella tillämpningsområdet för denna mekanism, förutsätter en sådan grupptalan som föreskrivs i artikel 80.2 i dataskyddsförordningen av en enhet som uppfyller de villkor som anges i punkt 1 i samma artikel att denna enhet, oberoende av vilka mandat som den innehar, anser att den registrerades rättigheter enligt … förordningen har kränkts som en följd av behandlingen av vederbörandes personuppgifter (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 67).

43 Domstolen har i detta avseende klargjort att en grupptalan inte förutsätter att det föreligger ett konkret åsidosättande av de rättigheter som en person tillerkänns enligt bestämmelserna om skydd av personuppgifter. Härav följer att det, för att en sådan enhet ska tillerkännas talerätt, räcker att åberopa att behandlingen av uppgifter kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt förordningen, utan att det är nödvändigt att styrka att en registrerad har lidit faktisk skada till följd av intrång i dennes rättigheter i en viss situation (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkterna 70 och 72).

44 Såsom domstolen redan har slagit fast är emellertid en förutsättning för att väcka grupptalan att den berörda enheten anser att en registrerads rättigheter enligt förordningen har kränkts som en följd av behandlingen av dennes personuppgifter och således gör gällande att det föreligger en sådan behandling av uppgifter som strider mot denna förordning (se, för ett liknande resonemang, dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 71), vilket innebär att en sådan behandling inte kan vara av rent hypotetisk karaktär, såsom generaladvokaten har påpekat i punkt 48 i sitt förslag till avgörande.

45 Såsom framgår av ordalydelsen i artikel 80.2 i dataskyddsförordningen innebär väckandet av en grupptalan med stöd av denna bestämmelse i praktiken att kränkningen av den registrerades rättigheter enligt denna förordning sker i samband med en behandling av personuppgifter.

46 Denna tolkning stöds av en jämförelse av de olika språkversionerna av artikel 80.2 i dataskyddsförordningen och av skäl 142 däri, där det anges att de enheter som uppfyller villkoren i artikel 80.1 i förordningen ska ha skäl att anse att en registrerad persons rättigheter har kränkts till följd av behandling av personuppgifter som strider mot [samma] förordning.

47 Efter detta klargörande ska domstolen, för att besvara tolkningsfrågan, också pröva huruvida åsidosättandet av den personuppgiftsansvariges skyldighet enligt artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen att, i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, informera den registrerade om ändamålet med en behandling av personuppgifter och om mottagarna av sådana uppgifter, senast vid insamlingen av dessa uppgifter, utgör en kränkning av den registrerades rättigheter som en följd av behandlingen, i den mening som avses i artikel 80.2 i dataskyddsförordningen.

48 EU-domstolen erinrar inledningsvis om att syftet med dataskyddsförordningen, såsom det framgår av artikel 1 och skäl 10 i förordningen, bland annat består i att säkerställa en hög nivå på skyddet av fysiska personers grundläggande fri- och rättigheter, i synnerhet rätten till skydd för privatlivet med avseende på behandling av personuppgifter (se, för ett liknande resonemang, dom av den 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, punkt 53).

49 All behandling av personuppgifter ska i detta syfte vara förenlig med de principer som reglerar behandlingen av personuppgifter och de rättigheter som registrerade personer har enligt kapitel II respektive kapitel III i denna förordning. I synnerhet ska all behandling av personuppgifter, med förbehåll för de undantag som anges i artikel 23 i nämnda förordning, vara förenlig med dels de principer som reglerar behandlingen av sådana uppgifter som anges i artikel 5 i förordningen och uppfylla de laglighetsvillkor som anges i artikel 6 i samma förordning, dels med de rättigheter som registrerade personer har enligt artiklarna 12–22 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 208, samt dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkterna 50 och 61 samt där angiven rättspraxis).

50 Det ska i detta hänseende betonas att enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Enligt artikel 5.1 b ska dessa uppgifter dessutom samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

51 Vad gäller tolkningen av artikel 5.1 b i dataskyddsförordningen har domstolen slagit fast att denna bestämmelse bland annat kräver att ändamålen med behandlingen ska vara klart angivna och identifierade senast vid insamlingen av personuppgifterna (dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkterna 64 och 65).

52 Enligt artikel 5.2 i dataskyddsförordningen är det dessutom den personuppgiftsansvarige som har bevisbördan för att uppgifterna bland annat samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

53 Det följer således av artikel 5 i dataskyddsförordningen att en behandling av personuppgifter bland annat måste uppfylla konkreta krav på öppenhet i förhållande till den person som berörs av en sådan behandling. I detta syfte föreskrivs i kapitel III i dataskyddsförordningen dels specifika skyldigheter för den personuppgiftsansvarige, dels en rad rättigheter för den registrerade som berörs av en behandling av personuppgifter. Bland dessa rättigheter återfinns bland annat rätten att från den personuppgiftsansvarige erhålla information om de konkreta mottagare till vilka personuppgifter som rör honom eller henne har lämnats ut eller kommer att lämnas ut (dom av den 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punkt 48).

54 I artikel 13.1 c och e i dataskyddsförordningen föreskrivs särskilt en skyldighet för den personuppgiftsansvarige att, när personuppgifter samlas in från den registrerade, informera den registrerade om ändamålen med den behandling för vilken personuppgifterna är avsedda och den rättsliga grunden för behandlingen samt om mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

55 I artikel 12.1 i förordningen föreskrivs dessutom att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att bland annat se till att den information som avses i föregående punkt och som lämnas till den registrerade är koncis, klar och tydlig, begriplig, lätt tillgänglig och formulerad på ett klart och tydligt språk.

56 Såsom domstolen har slagit fast syftar artikel 12.1 i dataskyddsförordningen, som är ett uttryck för principen om öppenhet, till att garantera att den registrerade fullt ut ska kunna förstå den information som lämnas till honom eller henne (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 38).

57 Vikten av att uppfylla en sådan informationsskyldighet bekräftas även av skäl 60 i dataskyddsförordningen, där det anges att principen om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Det betonas i detta sammanhang att den personuppgiftsansvarige bör lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 36).

58 Av det ovan anförda följer, för det första, att den personuppgiftsansvariges skyldighet att lämna information till registrerade som berörs av en behandling av personuppgifter är en följd av den rätt till information som dessa personer har enligt artiklarna 12 och 13 i dataskyddsförordningen och som således ingår bland de rättigheter som grupptalan enligt artikel 80.2 i denna förordning syftar till att skydda. Såsom framgår av punkterna 56 och 57 ovan säkerställer iakttagandet av denna skyldighet på ett mer allmänt sätt att principerna om öppenhet och likabehandling i artikel 5.1 i nämnda förordning iakttas.

59 För det andra kan, såsom generaladvokaten har påpekat i punkt 47 i sitt förslag till avgörande, den påstådda kränkningen av den registrerades rätt att få tillräcklig information om alla omständigheter kring en behandling av personuppgifter, i synnerhet ändamålet med behandlingen och mottagaren av uppgifterna, utgöra hinder för att kunna lämna informerat samtycke, i den mening som avses i artikel 4.11 i dataskyddsförordningen, vilket kan medföra att behandlingen blir olaglig, i den mening som avses i artikel 5.1 i denna förordning.

60 Giltigheten av det samtycke som lämnats av den registrerade beror nämligen bland annat på huruvida den registrerade i förväg har erhållit informationen med avseende på samtliga omständigheter kring den behandling av de aktuella uppgifterna som vederbörande hade rätt till enligt artikel 12 och 13 i dataskyddsförordningen och som gör det möjligt för vederbörande att ge sitt samtycke med full kännedom om omständigheterna.

61 Eftersom en behandling av personuppgifter som sker i strid med den registrerades rätt till information enligt artiklarna 12 och 13 i dataskyddsförordningen strider mot kraven i artikel 5 i dataskyddsförordningen, ska en kränkning av denna rätt till information anses utgöra en kränkning av den registrerades rättigheter som en följd av behandlingen, i den mening som avses i artikel 80.2 i dataskyddsförordningen.

62 Av detta följer att rätten för den som berörs av en behandling av personuppgifter, som följer av artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen, att från den personuppgiftsansvarige, i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, få information om ändamålet med en sådan behandling och om mottagarna av sådana uppgifter, utgör en rättighet vars kränkning gör det möjligt att använda sig av den mekanism för grupptalan som föreskrivs i artikel 80.2 i förordningen.

63 Denna tolkning bekräftas för det första av syftet med dataskyddsförordningen, som det erinrats om i punkt 48 ovan, nämligen att säkerställa ett effektivt skydd för fysiska personers grundläggande fri- och rättigheter och, i synnerhet, en hög skyddsnivå för var och en av deras rätt till privatliv med avseende på behandling av personuppgifter som rör honom eller henne.

64 För det andra är en sådan tolkning även förenlig med den preventiva funktionen hos den grupptalan som föreskrivs i artikel 80.2 i dataskyddsförordningen vilken väcks av konsumentskyddsföreningar, såsom i förevarande fall Bundesverband (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 76).

65 Mot bakgrund av det ovan anförda ska tolkningsfrågan besvaras enligt följande. Artikel 80.2 i dataskyddsförordningen ska tolkas så, att villkoret att en bemyndigad enhet, för att kunna väcka grupptalan enligt denna bestämmelse, ska göra gällande att den anser att en registrerads rättigheter har kränkts som en följd av behandlingen, i den mening som avses i denna bestämmelse, är uppfyllt när enheten gör gällande att den registrerades rättigheter har kränkts i samband med en behandling av personuppgifter och att denna kränkning är en följd av att den personuppgiftsansvarige har åsidosatt sin skyldighet enligt artikel 12.1 första meningen och artikel 13.1 c och e i nämnda förordning, att i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, informera den registrerade som berörs av denna behandling om ändamålet med behandlingen av uppgifterna och om mottagarna av dessa uppgifter, senast vid insamlingen av uppgifterna.

66 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

1 Rättegångsspråk: tyska.