Language of document : ECLI:EU:C:2022:322

DOMSTOLENS DOM (tredje avdelningen)

den 28 april 2022 (*)

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 80 – Registrerade företräds av en sammanslutning utan vinstsyfte – Grupptalan som väcks av en konsumentskyddsförening utan mandat och oberoende av något åsidosättande av en registrerads konkreta rättigheter – Talan grundad på förbudet mot otillbörliga affärsmetoder, åsidosättande av en konsumentskyddslag eller förbudet mot ogiltiga allmänna villkor”

I mål C‑319/20,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesgerichtshof (Federala högsta domstolen, Tyskland) genom beslut av den 28 maj 2020, som inkom till domstolen den 15 juli 2020, i målet

Meta platforms Ireland Limited, tidigare Facebook Ireland Limited,

mot

Bundesverband der Verbraucherzentralen und Verbraucherverbände ‐ Verbraucherzentrale Bundesverband e.V.,

meddelar

DOMSTOLEN (tredje avdelningen)

sammansatt av ordföranden på andra avdelningen A. Prechal, tillika tillförordnad ordförande på tredje avdelningen, samt domarna J. Passer, F. Biltgen, L.S. Rossi (referent) och N. Wahl,

generaladvokat: J. Richard de la Tour,

justitiesekreterare: handläggare M. Krausenböck,

efter det skriftliga förfarandet och förhandlingen den 23 september 2021,

med beaktande av de yttranden som avgetts av:

–        Meta Platforms Ireland Limited, genom H.-G. Kamann, M. Braun och H. Frey, Rechtsanwälte, samt V. Wettner, Rechtsanwältin,

–        Bundesverband der Verbraucherzentralen und Verbraucherverbände ‐ Verbraucherzentrale Bundesverband e.V., genom P. Wassermann, Rechtsanwalt,

–        Tysklands regering, genom D. Klebs och J. Möller, båda i egenskap av ombud,

–        Österrikes regering, genom A. Posch, G. Kunnert och J. Schmoll, samtliga i egenskap av ombud,

–        Portugals regering, genom L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa och L Medeiros, samtliga i egenskap av ombud,

–        Europeiska kommissionen, inledningsvis genom F. Erlbacher, H. Kranenborg och D. Nardi, därefter av F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 2 december 2021 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artiklarna 80.1 och 80.2 samt 84.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), (EUT L 119, 2016, s. 1), (nedan kallad dataskyddsförordningen).

2        Begäran har framställts i ett mål mellan Meta platforms Ireland Limited, tidigare Facebook Ireland Limited, med säte i Irland, och Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federal sammanslutning av konsumentcentra och konsumentföreningar, Tyskland) (nedan kallad Bundesverband) angående Meta platforms Irelands åsidosättande av den tyska lagstiftningen om skydd för personuppgifter, vilket samtidigt utgjorde en otillbörlig affärsmetod samt ett åsidosättande av en konsumentskyddslag och av förbudet mot ogiltiga allmänna villkor.

 Tillämpliga bestämmelser

 Unionsrätt

 Dataskyddsförordningen

3        Skälen 9, 10, 13 och 142 i dataskyddsförordningen har följande lydelse:

”(9)      Målen och principerna för [Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31)] är fortfarande giltiga, men det har inte kunnat förhindra bristande enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och tillämpningen av direktiv 95/46/EG.

(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …

(13)      För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt. …

(142)      Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den registrerades mandat.”

4        I artikel 1 i dataskyddsförordningen, med rubriken ”Syfte”, föreskrivs följande i punkt 1:

”I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.”

5        I artikel 4.1 i dataskyddsförordningen föreskrivs följande:

”I denna förordning avses med

1)      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet, …”

6        Kapitel III i dataskyddsförordningen, som består av artiklarna 12–23, har rubriken ”Den registrerades rättigheter”.

7        I artikel 12 i förordningen, med rubriken ”Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter”, föreskrivs följande i punkt 1:

”Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.”

8        I artikel 13 i förordningen, med rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”, föreskrivs följande i punkt 1 c och e:

”Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

c)      Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

e)      Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.”


9        Kapitel VIII i dataskyddsförordningen, som består av artiklarna 77–84, har rubriken ”Rättsmedel, ansvar och sanktioner”.

10      I artikel 77 i förordningen, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet” föreskrivs följande i punkt 1:

”Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.”

11      I artikel 78 i förordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot en tillsynsmyndighet”, föreskrivs följande i punkt 1:

”Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.”

12      I artikel 79 i förordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, föreskrivs följande i punkt 1:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

13      I artikel 80 i förordningen, med rubriken ”Företrädande av registrerade”, föreskrivs följande:

”1. Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78 och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82 om så föreskrivs i medlemsstatens nationella rätt.

2. Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.”

14      I artikel 82 i förordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande i punkt 1:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”

15      I artikel 84 i förordningen, med rubriken ”Sanktioner”, föreskrivs följande i punkt 1:

”Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.”

 Direktiv 2005/29/EG

16      Syftet med Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder) (EUT 2005, L 149, s. 22) är enligt artikel 1 i direktivet att bidra till att den inre marknaden fungerar korrekt och att säkerställa en hög konsumentskyddsnivå genom att tillnärma medlemsstaternas lagar och andra författningar avseende otillbörliga affärsmetoder som skadar konsumenternas ekonomiska intressen.

17      I artikel 5 i direktiv 2005/29, med rubriken ”Förbud mot otillbörliga affärsmetoder”, föreskrivs följande:

”1. Otillbörliga affärsmetoder skall vara förbjudna.

2. En affärsmetod skall vara otillbörlig om den

a)      strider mot god yrkessed,

och

b)      innebär, eller sannolikt kommer att innebära, avsevärd snedvridning av det ekonomiska beteendet i förhållande till produkten hos den genomsnittskonsument som affärsmetoden riktar sig till eller som nås av metoden, eller den genomsnittliga gruppmedlemmen om affärsmetoden riktar sig till en viss konsumentgrupp.

5. Bilaga I innehåller förteckningen över de affärsmetoder som under alla omständigheter skall betraktas som otillbörliga. …”

18      I artikel 11 i direktivet, med rubriken ”Efterlevnad av bestämmelserna”, föreskrivs följande i punkt 1:

”1. Medlemsstaterna skall i konsumenternas intresse se till att det finns adekvata och effektiva metoder för att bekämpa otillbörliga affärsmetoder så att efterlevnaden av bestämmelserna i detta direktiv säkerställs.

Sådana medel skall innefatta rättsliga bestämmelser enligt vilka personer eller organisationer, som enligt den nationella lagstiftningen anses ha ett rättmätigt intresse av att otillbörliga affärsmetoder bekämpas, inbegripet konkurrenter, får

a)      vidta rättsliga åtgärder mot otillbörliga affärsmetoder,

och/eller

b)      anmäla sådana otillbörliga affärsmetoder till en förvaltningsmyndighet som är behörig antingen att fatta beslut rörande klagomål eller att inleda lämpliga rättsliga förfaranden.

Det skall ankomma på varje enskild medlemsstat att avgöra vilken av dessa möjligheter som skall tillämpas, och om domstolarna eller förvaltningsmyndigheterna skall få rätt att kräva att andra etablerade medel för att behandla klagomål först skall tillgripas, däribland de som nämns i artikel 10. Dessa möjligheter skall kunna utnyttjas oavsett om de berörda konsumenterna befinner sig i den medlemsstat där näringsidkaren finns eller i en annan medlemsstat.

…”

19      I bilaga I till direktiv 2005/29, som innehåller förteckningen över de affärsmetoder som under alla omständigheter ska betraktas som otillbörliga, föreskrivs följande i punkt 26:

”Ta upprepade och oönskade kontakter per telefon, fax, e-post eller annat medium utom under de förhållanden och i den utsträckning som enligt nationell lagstiftning är motiverat för att få en avtalsmässig skyldighet fullgjord. Detta skall inte påverka tillämpningen av … direktiven 95/46/EG …”

 Direktiv 2009/22/EG

20      I artikel 1 i Europaparlamentets och rådets direktiv 2009/22/EG av den 23 april 2009 om förbudsföreläggande för att skydda konsumenternas intressen (EUT L 2009, 110, s. 30), med rubriken ”Tillämpningsområde”, föreskrivs följande:

”1. Syftet med detta direktiv är att närma medlemsstaternas lagar och andra författningar till varandra när det gäller åtgärder för förbudsföreläggande enligt artikel 2 för skydd för de kollektiva konsumentintressen som omfattas av de direktiv som anges i förteckningen i bilaga I för att säkerställa att den inre marknaden fungerar väl.

2. Med överträdelse avses i detta direktiv varje handling som strider mot de direktiv som anges i förteckningen i bilaga I, så som de införlivats i medlemsstaternas nationella rättsordningar, och som skadar de kollektiva intressen som avses i punkt 1.”

21      I artikel 7 i direktiv 2009/22, med rubriken ”Bestämmelser om mer omfattande åtgärder”, föreskrivs följande:

”Detta direktiv ska inte utgöra hinder för medlemsstaterna att anta eller behålla bestämmelser som är utarbetade för att tillerkänna godkända inrättningar och alla andra berörda personer mer vittgående rättigheter att väcka talan på nationell nivå.”

22      Bilaga I till direktiv 2009/22 innehåller en förteckning över de unionsdirektiv som avses i artikel 1 i direktivet. I punkt 11 i denna bilaga nämns direktiv 2005/29.

 Direktiv (EU) 2020/1828

23      Skälen 11, 13 och 15 i Europaparlamentets och rådets direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22 (EUT L 409, 2020, s. 1) har följande lydelse:

”(11) Detta direktiv bör inte ersätta befintliga nationella processuella mekanismer som skyddar konsumenters kollektiva eller individuella intressen. Med beaktande av deras rättsliga traditioner bör det överlåtas på medlemsstaterna att avgöra huruvida de ska utforma den processuella mekanism för grupptalan som krävs enligt detta direktiv som en del av en befintlig eller som en del av en ny processuell mekanism för kollektiva åtgärder för förbudsföreläggande eller åtgärder för gottgörelse, eller som en separat processuell mekanism, förutsatt att minst en nationell processuell mekanism för grupptalan är förenlig med detta direktiv. … Om det finns processuella mekanismer på nationell nivå utöver den processuella mekanism som krävs enligt detta direktiv bör den godkända enheten kunna välja vilken processuell mekanism som ska användas.

(13)      Tillämpningsområdet för detta direktiv bör återspegla den senaste utvecklingen på konsumentskyddsområdet. Eftersom konsumenter nu är verksamma på en större och allt mer digitaliserad marknadsplats krävs det, för att en hög konsumentskyddsnivå ska uppnås, att områden såsom dataskydd, finansiella tjänster, resor och turism, energi och telekommunikationer omfattas av direktivet, utöver allmän konsumenträtt. …

(15)      Detta direktiv bör inte påverka de rättsakter som förtecknas i bilaga I och bör därför inte ändra eller utvidga de definitioner som fastställs i dessa rättsakter eller ersätta eventuella efterlevnadsmekanismer som dessa rättsakter skulle kunna innehålla. Exempelvis kan de efterlevnadsmekanismer som föreskrivs i eller grundar sig på Europaparlamentets och rådets förordning (EU) 2016/679 i tillämpliga fall fortfarande användas för att skydda konsumenternas kollektiva intressen. …”

24      I artikel 2 i direktivet, med rubriken ”Tillämpningsområde”, föreskrivs följande i punkt 1:

”Detta direktiv är tillämpligt på grupptalan som väcks med avseende på näringsidkares överträdelser av de unionsrättsliga bestämmelser som avses i bilaga I, inbegripet sådana bestämmelser som har införlivats i nationell rätt, som skadar eller kan skada konsumenters kollektiva intressen. Detta direktiv ska inte påverka tillämpningen av de unionsbestämmelser som avses i bilaga I.”

25      I artikel 24 i direktivet, med rubriken ”Införlivande”, föreskrivs följande i punkt 1:

”1. Medlemsstaterna ska senast den 25 december 2022 anta och offentliggöra de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska genast underrätta kommissionen om detta.

De ska tillämpa dessa bestämmelser från och med den 25 juni 2023.

…”

26      I bilaga I till direktiv 2020/1828, som innehåller en förteckning över de unionsrättsliga bestämmelser som avses i artikel 2.1 i direktivet, anges i punkt 56 dataskyddsförordningen.

 Tysk rätt

 Lagen om förbudsföreläggande

27      I 2 § Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Lagen om förbudsföreläggande vid brott mot konsumentskyddet och andra kränkningar), av den 26 november 2001 (BGBl. 2001 I, s. 3138), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om förbudsföreläggande) anges följande:

”1)      Den som åsidosätter de bestämmelser som har till syfte att skydda konsumenter (lagar om konsumentskydd), på annat sätt än vid tillämpning av eller genom rekommendationer om allmänna försäljningsvillkor, kan föreläggas att upphöra med detta, eller förbjudas att fortsätta med detta, till skydd för konsumenterna. …

2)      Med ’lagar om konsumentskydd’ menas vid tillämpningen av denna bestämmelse särskilt:

11.      De bestämmelser som reglerar tillåtligheten för

a)      ett företags insamling av en konsuments personuppgifter eller

b)      ett företags behandling eller användning av insamlade personuppgifter om en konsument

i de fall då dessa uppgifter insamlas, behandlas eller används för reklamändamål, marknads- och opinionsundersökningar, upplysningsinstituts verksamhet, framtagande av personlighets- och användarprofiler, adresshandel, övrig datahandel eller andra jämförbara kommersiella ändamål.”

28      Bundesgerichtshof (Federala högsta domstolen, Tyskland) har påpekat att enligt 3 § 1, första meningen, punkt 1, i lagen om förbudsföreläggande får organisationer som har talerätt i den mening som avses i 4 § i denna lag dels, i enlighet med 1 §, begära att tillämpningen av ogiltiga allmänna villkor enligt artikel 307 i Bürgerliches Gesetzbuch (civillagen) ska upphöra, dels begära att åsidosättanden av konsumentskyddslagstiftningen i den mening som avses i 2 § 2 i samma lag ska upphöra.

 Lagen om illojal konkurrens

29      I 3 § stycke 1 i Gesetz gegen den unlauteren Wettbewerb – UWG (lag om illojal konkurrens), (nedan kallad lagen om illojal konkurrens) av den 3 juli 2004, (BGB1. 2004 I, s. 1414), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om illojal konkurrens), föreskrivs följande:

”Otillbörliga affärsmetoder är förbjudna.”

30      I 3 § i lagen om illojal konkurrens anges följande:

”Personer agerar illojalt om de åsidosätter bestämmelser som bland annat är avsedda att reglera beteendet på marknaden i marknadsaktörernas intresse och denna överträdelse är ägnad att märkbart påverka konsumenters, andra marknadsaktörers eller konkurrenters intressen.”

31      I 8 § i lagen om illojal konkurrens anges följande:

”1)      Den som använder affärsmetoder som är förbjudna enligt 3 eller 7 §§ kan bli föremål för ett föreläggande om upphörande och, om det föreligger risk för att beteendet upprepas, ett förbudsföreläggande. …

3)      Följande personer kan ansöka om de förelägganden som avses i första stycket:

3.      godkända organisationer som styrker att de är upptagna på förteckningen över godkända organisationer, i enlighet med 4 § [lagen om förbudsförelägganden] …”

 Lagen om elektroniska informations- och kommunikationstjänster

32      Bundesgerichtshof (Federala högsta domstolen) har angett att 13 § 1 Telemediengesetz (lagen om elektroniska informations- och kommunikationstjänster) av den 26 februari 2007 (BGBl. 2007 I, s. 179), var tillämplig till dess att dataskyddsförordningen trädde i kraft. Sedan dess har denna bestämmelse ersatts av artiklarna 12–14 i dataskyddsförordningen.

33      13 § 1, första meningen, i lagen om elektroniska informations- och kommunikationstjänster hade följande lydelse:

”Från och med den tidpunkt då behandlingen påbörjas ankommer det på tjänsteleverantören att på ett allmänt begripligt sätt informera användaren om sättet, omfattningen och syftet med insamlingen och användningen av personuppgifter samt om behandlingen av hans eller hennes uppgifter i stater som inte omfattas av tillämpningsområdet för direktiv 95/46… om användaren inte redan har informerats om detta.”

 Målet vid den nationella domstolen och tolkningsfrågan

34      Meta platforms Ireland, som hanterar utbudet av online-tjänster inom det sociala nätverket Facebook i unionen, är ansvarig för behandlingen av personuppgifter avseende användare av detta sociala nätverk i unionen. Facebook Germany GmbH, som har sitt säte i Tyskland, främjar försäljning av reklamutrymme på adressen www.facebook.de. Webbplattformen Facebook innehåller, bland annat på webbadressen www.facebook.de, en plats kallad App-Zentrum (Appcenter) på vilken Meta platforms Ireland gör spel som tillhandahålls av tredje man tillgängliga för användarna utan vederlag. När sidorna för vissa spel på Appcenter besöks informeras användaren om att användningen av den aktuella applikationen gör det möjligt för spelbolaget att erhålla vissa personuppgifter och ger bolaget rätt att publicera viss information för användarens räkning, såsom erhållna poäng och andra uppgifter. Denna användning medför att användaren godtar de allmänna tillämpningsvillkoren och spelbolagets policy vad gäller dataskydd. Vad avser ett visst spel finns det dessutom en angivelse att applikationen får tillåtelse att för samma användares räkning publicera personens status, foton och andra uppgifter.

35      Bundesverband, som är en organisation som har talerätt enligt 4 § i lagen om förbudsföreläggande, anser att den information som tillhandahålls av de ifrågavarande spelen i Appcenter är otillbörlig, bland annat med avseende på åsidosättandet av de lagstadgade villkor som gäller för inhämtande av ett giltigt samtycke från användaren enligt bestämmelserna om dataskydd. Den hänskjutande domstolen anser dessutom att angivelsen att applikationen får tillåtelse att för användarens räkning publicera vissa personliga uppgifter utgör ett allmänt villkor som otillbörligt missgynnar användaren.

36      Mot denna bakgrund väckte Bundesverband talan vid Landgericht Berlin (Regiondomstolen i Berlin, Tyskland) mot Meta Platforms Ireland med stöd av 3a § i lagen om illojal konkurrens, 2 § 2, första meningen, led 11, i lagen om förbudsföreläggande och civillagen. Talan väcktes oberoende av något konkret åsidosättande av en registrerads rätt till skydd för personuppgifter och utan något uppdrag från en sådan person.

37      Landgericht Berlin (Regiondomstolen i Berlin) meddelade ett föreläggande mot Meta Platforms Ireland i enlighet med Bundesverbands yrkanden. Meta Platforms Irelands överklagande ogillades av Kammergericht Berlin (Regionöverdomstolen i Berlin). Meta platforms Ireland överklagade regionöverdomstolens avslagsbeslut till den hänskjutande domstolen.

38      Den hänskjutande domstolen anser att Bundesverbands talan är välgrundad, eftersom Meta platforms Ireland har åsidosatt 3 § i lagen om illojal konkurrens samt 2 § 2, första meningen, led 11 i lagen om förbudsföreläggande och har tillämpat ett ogiltigt allmänt villkor i den mening som avses i 1 § i lagen om förbudsförelägganden.

39      Den hänskjutande domstolen hyser emellertid tvivel om huruvida Bundesverbands talan kan tas upp till sakprövning. Den hänskjutande domstolen anser nämligen att det inte är uteslutet att Bundesverband, som vid den tidpunkt då talan väcktes hade talerätt – med stöd av 8 § 3 i lagen om illojal konkurrens och 3 § 1, första meningen, led 1, i lagen om förbudsföreläggande – förlorade denna ställning under förfarandets gång till följd av att dataskyddsförordningen trädde i kraft, särskilt med avseende på artiklarna 80.1, 80.2 och 84.1 i förordningen. Om så är fallet ska den hänskjutande domstolen bifalla Meta platforms Irelands överklagande och ogilla den talan som väckts av Bundesverband, eftersom talerätt enligt relevanta processuella bestämmelser i tysk rätt ska bestå fram till dess att målet har avgjorts i sista instans.

40      Enligt den hänskjutande domstolen framgår svaret i detta avseende inte klart av ordalydelsen av, systematiken i och syftet med dataskyddsförordningen.

41      Vad gäller lydelsen av bestämmelserna i dataskyddsförordningen har den hänskjutande domstolen påpekat att en förutsättning för att ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, ska ha talerätt enligt artikel 80.1 i dataskyddsförordningen är att den registrerade har gett ett organ, en organisation eller sammanslutning i uppdrag att för dess räkning utöva de rättigheter som avses i artiklarna 77–79 i dataskyddsförordningen samt den rätt till skadestånd som avses i artikel 82 i dataskyddsförordningen när detta föreskrivs i en medlemsstats lagstiftning.

42      Den hänskjutande domstolen har emellertid understrukit att rätten att väcka talan enligt 8 § 3 led 3 i lagen om illojal konkurrens inte avser ett sådant klagomål som ingetts på uppdrag från en registrerad och för dess räkning för att kunna göra den registrerades personliga rättigheter gällande. Den innebär tvärtom att en förening, med stöd av en rättighet som är dess egen samt följer av 3 § 1 och 3a § i lagen om illojal konkurrens, tillerkänns en objektiv talerätt mot överträdelser av dataskyddsförordningen, oberoende av åsidosättanden av registrerades konkreta rättigheter eller något uppdrag från registrerade.

43      Den hänskjutande domstolen har dessutom påpekat att det i artikel 80.2 i dataskyddsförordningen inte föreskrivs någon talerätt för en förening för att, på ett objektivt sätt, säkerställa tillämpningen av rätten till skydd av personuppgifter. Enligt denna bestämmelse förutsätts nämligen att en registrerads rättigheter enligt dataskyddsförordningen faktiskt har åsidosatts genom en specifik behandling av uppgifter.

44      En sådan talerätt för en organisation, som den som föreskrivs i 8 § 3 i lagen om illojal konkurrens, kan inte heller följa av artikel 84.1 i dataskyddsförordningen, enligt vilken medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. En sådan talerätt för en organisation, som den som föreskrivs i 8 § 3 i lagen om illojal konkurrens, kan nämligen inte anses utgöra en ”sanktion” i den mening som avses i nämnda bestämmelse i dataskyddsförordningen.

45      Vad gäller systematiken i dataskyddsförordningen anser den hänskjutande domstolen att det av den omständigheten att bland annat tillsynsmyndigheternas befogenheter har harmoniserats genom denna förordning framgår att det huvudsakligen ankommer på dessa myndigheter att kontrollera förordningens tillämpning. Formuleringen ”[u]tan att det påverkar något annat … prövningsförfarande eller rättsmedel”, som återfinns i artiklarna 77.1, 78.1 och 78.2 samt 79.1 i förordningen, skulle kunna innebära att det antagandet att kontrollen av rättstillämpningen är uttömmande reglerad genom denna förordning vederläggs.

46      Vad gäller syftet med dataskyddsförordningen, har den hänskjutande domstolen anfört att dess ändamålsenliga verkan skulle kunna tala för att organisationer har talerätt enligt konkurrensrätten, med stöd av 8 § 3, punkt 3, i lagen om illojal konkurrens, oavsett huruvida det föreligger kränkningar av registrerades konkreta rättigheter, eftersom det skulle innebära ytterligare en möjlighet att kontrollera rättstillämpningen, i syfte att säkerställa en så hög nivå som möjligt på skyddet av personuppgifter i enlighet med skäl 10 i förordningen. Den omständigheten att organisationer medges talerätt enligt konkurrensrätten skulle emellertid kunna anses strida mot det harmoniseringsmål som eftersträvas med dataskyddsförordningen.

47      Mot denna bakgrund beslutade Bundesgerichtshof (Federala högsta domstolen) att vilandeförklara målet och ställa följande tolkningsfråga till EU-domstolen:

”Utgör bestämmelserna i kapitel VIII, särskilt artikel 80.1 och 80.2 samt artikel 84.1 i [dataskyddsförordningen] hinder för nationell lagstiftning som – vid sidan av ingripandebefogenheterna för de tillsynsmyndigheter som är ansvariga för att övervaka och säkerställa efterlevnaden av förordningen och de möjligheter som registrerade ges att erhålla rättsligt skydd – ger dels konkurrenter, dels enligt nationell rätt bemyndigade sammanslutningar, organ och nämnder rätt att, med åberopande av förbudet mot otillbörliga affärsmetoder, ett åsidosättande av en konsumentskyddslag eller förbudet mot ogiltiga allmänna villkor, väcka talan vid allmän domstol för åsidosättande av dataskyddsförordningen mot den som påstås ha åsidosatt förordningen, oberoende av någon konkret kränkning av enskilda registrerades rättigheter och utan något uppdrag från en registrerad?”

 Tolkningsfrågan

48      Det nationella målet avser, såsom framgår av punkterna 36 och 41–44 i denna dom, en tvist mellan en konsumentskyddsförening, nämligen Bundesverband, och Meta platforms Ireland samt avser frågan huruvida en sådan förening kan väcka talan mot detta bolag i avsaknad av något uppdrag i detta avseende och oberoende av huruvida en registrerads konkreta rättigheter har åsidosatts.

49      Under dessa omständigheter, och såsom kommissionen har påpekat i sitt skriftliga yttrande, beror svaret på tolkningsfrågan endast på tolkningen av artikel 80.2 i dataskyddsförordningen, eftersom artiklarna 80.1 och 84 i denna förordning saknar relevans i förevarande fall. Tillämpningen av artikel 80.1 i dataskyddsförordningen förutsätter nämligen att den registrerade har gett ett organ, en organisation eller sammanslutning utan vinstsyfte, i den mening som avses i bestämmelsen, i uppdrag att för dess räkning vidta de rättsliga åtgärder som föreskrivs i artiklarna 77–79 i förordningen. Detta är emellertid inte fallet i det nationella målet, eftersom Bundesverband agerar oberoende av något uppdrag från en registrerad. Det är vidare utrett att artikel 84 i dataskyddsförordningen avser administrativa och straffrättsliga påföljder för överträdelser av förordningen, vilket inte heller är aktuellt i det nationella målet.

50      Det nationella målet avser vidare inte frågan huruvida en konkurrent har talerätt. Domstolen ska således besvara den enda del av frågan som gäller talerätt för ett organ, en organisation eller en sammanslutning, vilka är behöriga enligt nationell rätt, i den mening som avses i artikel 80.2 i dataskyddsförordningen.

51      Av detta följer att den hänskjutande domstolens fråga ska förstås så, att den syftar till att få klarhet i huruvida artikel 80.2 i dataskyddsförordningen ska tolkas så, att den utgör hinder för nationell lagstiftning enligt vilken en konsumentskyddsförening kan väcka talan vid domstol, utan något uppdrag som denna förening anförtrotts i detta avseende och oberoende av något åsidosättande av en registrerads konkreta rättigheter, mot den som påstås ha gjort intrång i skyddet av personuppgifter, med åberopande av förbudet mot otillbörliga avtalsvillkor, ett åsidosättande av en konsumentskyddslag eller förbudet mot ogiltiga allmänna villkor.

52      Det framgår av skäl 10 i dataskyddsförordningen att denna förordning bland annat syftar till att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen och att undanröja hindren för flödena av personuppgifter inom unionen.

53      I detta sammanhang reglerar kapitel VIII i förordningen bland annat de rättsmedel som gör det möjligt att skydda den registrerades rättigheter när personuppgifter som rör honom eller henne har behandlats i strid med bestämmelserna i förordningen. Skyddet för dessa rättigheter kan göras gällande antingen direkt av den registrerade eller av en bemyndigad enhet, med eller utan något uppdrag i detta avseende, enligt artikel 80 i dataskyddsförordningen.

54      Den registrerade har således rätt att själv inge ett klagomål till en tillsynsmyndighet i en medlemsstat eller väcka talan vid de nationella tvistemålsdomstolarna. Den registrerade har närmare bestämt rätt att lämna in ett klagomål till en tillsynsmyndighet enligt artikel 77 i dataskyddsförordningen, rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut enligt artikel 78 i förordningen, rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt artikel 79 i förordningen samt rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan enligt artikel 82 i dataskyddsförordningen.

55      Vidare har den registrerade, enligt artikel 80.1 i dataskyddsförordningen, rätt att på vissa villkor ge ett organ, en organisation eller sammanslutning utan vinstsyfte i uppdrag att lämna in ett klagomål eller, för hans eller hennes räkning, utöva de rättigheter som avses i ovannämnda artiklar.

56      Slutligen får medlemsstaterna, enligt artikel 80.2 i dataskyddsförordningen, föreskriva att ett organ, en organisation eller en sammanslutning, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt förordningen har kränkts som en följd av behandlingen.

57      Såsom framgår av artikel 1.1 i dataskyddsförordningen, jämförd med skälen 9, 10 och 13 i denna förordning, syftar förordningen till att säkerställa en i princip fullständig harmonisering av nationell lagstiftning om skydd av personuppgifter. Enligt förordningen finns emellertid en möjlighet för medlemsstaterna att införa ytterligare nationella bestämmelser, som är strängare eller avviker, vilket ger dem ett utrymme för skönsmässig bedömning av hur sådana bestämmelser ska genomföras (”öppningsklausuler”).

58      Enligt domstolens fasta rättspraxis har bestämmelser i förordningar – enligt artikel 288 FEUF och på grund av förordningarnas beskaffenhet och deras funktion i unionens rättskällesystem – i allmänhet omedelbara verkningar i de nationella rättsordningarna, utan att det krävs att de nationella myndigheterna vidtar tillämpningsåtgärder. Icke desto mindre kan vissa av dessa bestämmelser erfordra att medlemsstaterna vidtar tillämpningsåtgärder för att genomföra dem (dom av den 15 juni 2021, Facebook Ireland m.fl., C‑645/19, EU:C:2021:483, punkt 110 och där angiven rättspraxis).

59      Så är bland annat fallet med artikel 80.2 i dataskyddsförordningen, enligt vilken medlemsstaterna medges ett utrymme för skönsmässig bedömning vid dess genomförande. För att en sådan grupptalan i avsaknad av uppdrag avseende skyddet av personuppgifter som föreskrivs i denna bestämmelse ska kunna genomföras, måste medlemsstaterna använda sig av den möjlighet som de medges genom denna bestämmelse att i sin nationella rätt föreskriva ett sådant tillvägagångssätt för att företräda registrerade.

60      Såsom generaladvokaten påpekade i punkterna 51 och 52 i sitt förslag till avgörande ska medlemsstaterna, när de utnyttjar den möjlighet som de ges genom en sådan öppningsklausul, använda sitt utrymme för skönsmässig bedömning under de förutsättningar och begränsningar som följer av dataskyddsförordningen och ska således lagstifta på ett sådant sätt att de inte inkräktar på förordningens innehåll och syften.

61      I förevarande fall har den tyska lagstiftaren, såsom den tyska regeringen bekräftade vid förhandlingen i det nationella målet, till följd av dataskyddsförordningens ikraftträdande inte antagit några särskilda bestämmelser som specifikt syftar till att införliva artikel 80.2 i denna förordning med sin nationella rätt. Den nationella lagstiftning som är relevant i det nationella målet, vilken antagits för att införliva direktiv 2009/22, gör det nämligen redan möjligt för konsumentskyddsföreningar att väcka talan mot den som påstås kränka skyddet av personuppgifter. Den tyska regeringen har dessutom understrukit att domstolen i sin dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629), som rörde tolkningen av bestämmelserna i direktiv 95/46, slog fast att dessa bestämmelser inte utgör hinder för denna nationella lagstiftning.

62      Under dessa omständigheter ska det, såsom generaladvokaten framförde i punkt 60 i sitt förslag till avgörande, i huvudsak prövas huruvida de bestämmelser som är i fråga i det nationella målet omfattas av det utrymme för skönsmässig bedömning som varje medlemsstat medges enligt artikel 80.2 i dataskyddsförordningen och denna bestämmelse tolkas med beaktande av såväl dess lydelse som av förordningens systematik och syften.

63      Enligt artikel 80.2 i dataskyddsförordningen medges medlemsstaterna en möjlighet att föreskriva en mekanism för grupptalan mot den som påstås göra intrång i skyddet av personuppgifter, samtidigt som det i artikeln uppställs ett antal krav vad gäller den personkrets och det materiella tillämpningsområde som ska iakttas i detta syfte.

64      Vad för det första gäller den personkrets som omfattas av tillämpningsområdet för en sådan mekanism tillerkänns ett organ, en organisation eller en sammanslutning som uppfyller de kriterier som uppställs i artikel 80.1 i dataskyddsförordningen talerätt. I denna bestämmelse hänvisas särskilt till ”ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter”.

65      Domstolen konstaterar att en konsumentskyddsförening, såsom Bundesverband, kan omfattas av detta begrepp, eftersom den eftersträvar ett mål av allmänt intresse som består i att säkerställa de registrerades rättigheter och friheter i egenskap av konsumenter, i den mån förverkligandet av ett sådant mål kan ha samband med skyddet av konsumenternas personuppgifter.

66      Ett åsidosättande av de bestämmelser som har till syfte att skydda konsumenterna eller bekämpa otillbörliga affärsmetoder – ett åsidosättande som en konsumentskyddsförening, såsom Bundesverband, avser att förebygga och sanktionera bland annat genom att väcka talan om förbudsföreläggande enligt tillämplig nationell lagstiftning – kan nämligen, såsom i förevarande fall, ha samband med åsidosättandet av bestämmelserna om skyddet av konsumenternas personuppgifter.

67      Vad för det andra gäller det materiella tillämpningsområdet för denna mekanism, förutsätter en sådan grupptalan som föreskrivs i artikel 80.2 i dataskyddsförordningen av en enhet som uppfyller de villkor som anges i punkt 1 i samma artikel att denna enhet, oberoende av vilka mandat som den innehar, ”anser att den registrerades rättigheter enligt … förordningen har kränkts som en följd av behandlingen” av vederbörandes personuppgifter.

68      För att kunna väcka en sådan grupptalan som avses i artikel 80.2 i dataskyddsförordningen kan det inte krävas att en sådan enhet i förväg identifierar de personer som specifikt berörs av en sådan behandling av uppgifter som påstås strida mot bestämmelserna i förordningen.

69      Det räcker nämligen att framhålla att begreppet ”registrerad person”, i den mening som avses i artikel 4.1 i förordningen, inte bara omfattar en ”identifierad” fysisk person, utan även en ”identifierbar” fysisk person, det vill säga en fysisk person ”som kan identifieras”, direkt eller indirekt, med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer. Under dessa omständigheter kan det vara tillräckligt att avgränsa en kategori eller grupp av personer som berörs av en sådan behandling för att en grupptalan ska kunna väckas.

70      Det följer vidare av artikel 80.2 i dataskyddsförordningen att en grupptalan inte heller förutsätter att det föreligger ett konkret åsidosättande av de rättigheter som en person tillerkänns enligt bestämmelserna om skydd av personuppgifter.

71      Såsom framgår av själva ordalydelsen av denna bestämmelse, vilken det erinrats om i punkt 67 i förevarande dom, är en förutsättning för att väcka grupptalan endast att den berörda enheten ”anser” att registrerades rättigheter enligt förordningen har åsidosatts genom behandling av deras personuppgifter och således gör gällande att det föreligger en sådan behandling av uppgifter som strider mot denna förordning.

72      Härav följer att det, för att en sådan enhet ska tillerkännas talerätt enligt nämnda bestämmelse, räcker att åberopa att behandlingen av uppgifter kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt förordningen, utan att det är nödvändigt att styrka att en registrerad har lidit faktisk skada till följd av intrång i dennes rättigheter i en viss situation.

73      En sådan tolkning är förenlig med de krav som följer av artikel 16 FEUF och artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna samt följaktligen med det mål som eftersträvas med dataskyddsförordningen, nämligen att säkerställa ett effektivt skydd av fysiska personers grundläggande fri- och rättigheter och, i synnerhet, att säkerställa en hög skyddsnivå för var och en av de personuppgifter som rör honom eller henne (se, för ett liknande resonemang, dom av den 15 juni 2021, Facebook Ireland m.fl., C‑645/19, EU:C:2021:483, punkterna 44, 45 och 91).

74      Det förhållandet att konsumentskyddsföreningar, såsom Bundesverband, tillerkänns behörighet att genom en mekanism för att väcka grupptalan i syfte att avbryta en sådan behandling av personuppgifter som strider mot dataskyddsförordningen, oberoende av något åsidosättande av rättigheterna för en person som påverkas personligen och konkret av detta intrång, bidrar obestridligen till att stärka de registrerades rättigheter och att säkerställa en hög skyddsnivå för dem.

75      Det ska dessutom påpekas att en sådan mekanism för grupptalan, i den mån denna gör det möjligt att förhindra ett stort antal kränkningar av rättigheter för personer som påverkas av behandlingen av deras personuppgifter, skulle kunna visa sig vara effektivare än en talan som en person som enskilt och konkret påverkas av ett intrång i skyddet av vederbörandes personuppgifter kan väcka mot den som gjort sig skyldig till intrånget.

76      Såsom generaladvokaten framförde i punkt 76 i sitt förslag till avgörande skulle nämligen den preventiva funktionen hos en talan som väcks av sådana konsumentskyddsföreningar, såsom Bundesverband, inte kunna säkerställas om endast en kränkning av rättigheter för en person som enskilt och konkret påverkas av ett sådant intrång kunde åberopas genom en grupptalan med stöd av artikel 80.2 i dataskyddsförordningen.

77      För det tredje ska det, såsom den hänskjutande domstolen har begärt, även prövas huruvida artikel 80.2 i dataskyddsförordningen utgör hinder för en grupptalan oberoende av ett konkret åsidosättande av en registrerad persons rättigheter eller något mandat från den registrerade, när åsidosättandet av bestämmelserna om skydd för personuppgifter har åberopats inom ramen för en talan som syftar till att kontrollera tillämpningen av andra rättsregler om konsumentskyddets säkerställande.

78      Ett åsidosättande av en bestämmelse om skydd av personuppgifter kan, såsom har påpekats i punkt 66 ovan, samtidigt medföra ett åsidosättande av bestämmelser om konsumentskydd eller om otillbörliga affärsmetoder.

79      Såsom generaladvokaten framförde i punkt 72 i sitt förslag till avgörande, utgör denna bestämmelse således inte hinder för att medlemsstaterna använder sig av den möjlighet som där föreskrivs på så sätt att konsumentskyddsföreningar tillerkänns rätt att väcka talan mot åsidosättanden av rättigheter enligt dataskyddsförordningen, i förekommande fall med hjälp av regler som syftar till att skydda konsumenter eller motverka otillbörliga affärsmetoder, såsom de som föreskrivs i direktiven 2005/29 och 2009/22.

80      Denna tolkning av artikel 80.2 i dataskyddsförordningen vinner för övrigt stöd av direktiv 2020/1828, varigenom direktiv 2009/22 upphävs och ersätts från och med den 25 juni 2023. Enligt artikel 2.1 i direktiv 2020/1828 är detta direktiv nämligen tillämpligt på grupptalan som väcks med avseende på näringsidkares överträdelser av de unionsrättsliga bestämmelser som avses i bilaga I till direktivet. I punkt 56 i denna bilaga nämns dataskyddsförordningen.

81      Direktiv 2020/1828 är visserligen inte tillämpligt i det nationella målet och införlivandefristen har ännu inte löpt ut. Direktivet innehåller emellertid flera uppgifter som bekräftar att artikel 80 i dataskyddsförordningen inte utgör hinder för kompletterande grupptalan inom konsumentskyddsområdet.

82      Det är visserligen, såsom framgår av skäl 11 i direktiv 2020/1828, ändå möjligt att föreskriva processuella mekanismer för kompletterande grupptalan inom konsumentskyddsområdet. De efterlevnadsmekanismer som föreskrivs i eller grundar sig på dataskyddsförordningen, såsom den i artikel 80 i förordningen, kan emellertid inte ersättas eller ändras, vilket anges i skäl 15 i direktivet, och de kan således användas för att skydda konsumenternas kollektiva intressen.

83      Av samtliga ovanstående överväganden följer att tolkningsfrågan ska besvaras enligt följande. Artikel 80.2 i dataskyddsförordningen ska tolkas så, att den inte utgör hinder för nationell lagstiftning enligt vilken en konsumentskyddsförening, utan något mandat som anförtrotts denna förening i detta avseende och oberoende av något åsidosättande av registrerades konkreta rättigheter, tillerkänns talerätt mot den som påstås ha gjort intrång i skyddet av personuppgifter, genom att åberopa ett åsidosättande av förbudet mot otillbörliga affärsmetoder, av en lag gällande konsumentskydd eller av förbudet mot ogiltiga allmänna villkor, när behandlingen av de ifrågavarande uppgifterna kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt denna förordning.

 Rättegångskostnader

84      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

Artikel 80.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att den inte utgör hinder för nationell lagstiftning enligt vilken en konsumentskyddsförening, utan något mandat som anförtrotts denna förening i detta avseende och oberoende av något åsidosättande av registrerades konkreta rättigheter, tillerkänns talerätt mot den som påstås ha gjort intrång i skyddet av personuppgifter, genom att åberopa ett åsidosättande av förbudet mot otillbörliga affärsmetoder, av en lag gällande konsumentskydd eller av förbudet mot ogiltiga allmänna villkor, när behandlingen av de ifrågavarande uppgifterna kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt denna förordning.

Underskrifter

*      Rättegångsspråk: tyska.