CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

J. RICHARD DE LA TOUR

fremsat den 2. december 2021 (1)

Sag C-319/20

Facebook Ireland Limited

mod

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (forbundsdomstol, Tyskland))

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 80, stk. 2 – ret til effektive retsmidler – repræsentation af registrerede ved en sammenslutning, der ikke arbejder med gevinst for øje – søgsmålskompetence for en forbrugerbeskyttelsesorganisation«

I. Indledning

1. I den moderne økonomi, der er præget af den stadig større digitale økonomi, vil behandlingen af personoplysninger sandsynligvis ikke alene berøre personer i deres egenskab af fysiske personer, der er omfattet af de rettigheder, som er fastsat i forordning (EU) 2016/679 (2), men også i deres egenskab af forbrugere.

2. Denne egenskab betyder, at forbrugerbeskyttelsesorganisationer oftere anlægger sager, der har til formål at bringe visse registeransvarliges adfærd, der både krænker rettigheder, der er beskyttet ved denne forordning, og andre regler, der følger af såvel EU-retten som national lovgivning på området for forbrugerbeskyttelse og bekæmpelse af urimelig handelspraksis, til ophør.

3. Den foreliggende anmodning om præjudiciel afgørelse er blevet indgivet i forbindelse med en tvist mellem Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (forbundssammenslutning for forbrugercentraler og ‑organisationer, herefter »Bundesverband«) og Facebook Ireland Limited, der har hjemsted i Irland. Bundesverband har kritiseret dette selskab for at have tilsidesat den tyske lovgivning om beskyttelse af personoplysninger, hvilket på samme tid udgør en urimelig handelspraksis, en tilsidesættelse af en lov om forbrugerbeskyttelse og en tilsidesættelse af forbuddet mod anvendelse af ugyldige almindelige forretningsbetingelser.

4. Med denne anmodning anmodes Domstolen i det væsentlige om at fortolke artikel 80, stk. 2, i forordning 2016/679 med henblik på at afgøre, om denne bestemmelse er til hinder for, at forbrugerbeskyttelsesorganisationer efter denne forordnings ikrafttrædelse bevarer deres beføjelser i henhold til national ret til at anlægge søgsmål med henblik på at bringe adfærd, der på samme tid krænker de rettigheder, der fastsættes i denne forordning, og de regler, der har til formål at beskytte forbrugernes rettigheder og bekæmpe urimelig handelspraksis, til ophør. For så vidt som Domstolen har fundet (3), at en sådan søgsmålskompetence er forenelig med direktiv 95/46/EF (4), skal den afgøre, om forordning 2016/679 har ændret retstilstanden på dette punkt eller ej.

II. Retsforskrifter

A. Forordning 2016/679

5. Artikel 80 i forordning 2016/679 med overskriften »Repræsentation af registrerede« har følgende ordlyd (5):

»1. Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 77, 78 og 79, på sine vegne og til, hvis det er fastsat i medlemsstaternes nationale ret, at udøve retten til at modtage erstatning som omhandlet i artikel 82 på sine vegne.

2. Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis det eller den har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.«

B. National ret

6. § 3, stk. 1, i Gesetz gegen den unlauteren Wettbewerb (lov om illoyal konkurrence) (6) af 3. juli 2004 i den affattelse, der finder anvendelse på tvisten i hovedsagen, bestemmer:

»Urimelig handelspraksis er ulovlig.«

7. UWG’s § 3a har følgende ordlyd:

»Illoyalt handler den, som handler i strid med en lovbestemmelse, der også har til formål at regulere de handlendes adfærd på markedet i markedsaktørernes interesse, for så vidt som overtrædelsen mærkbart kan skade forbrugernes, øvrige markedsaktørers eller konkurrenters interesser.«

8. UWG’s § 8, stk. 1 og 3, bestemmer:

»(1) Den, der gør sig skyldig i ulovlig handelspraksis som omhandlet i § 3 eller § 7, kan meddeles påbud om at ophøre med den retsstridige handling og kan, såfremt der er risiko for gentagelse, meddeles forbud mod denne. Der kan meddeles forbud, allerede såfremt der er risiko for en praksis i strid med § 3 eller § 7.

[…]

(3) Påbud og forbud i henhold til stk. 1 kan begæres af:

[…]

3. godkendte organer/organisationer, som dokumenterer, at de er optaget på listen over godkendte organer/organisationer i henhold til § 4 i [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (lov om søgsmål med nedlæggelse af påstand om forbud i forbindelse med overtrædelser af lovgivningen om forbrugerrettigheder og andre love (7) af 26.11.2001), i den affattelse, der finder anvendelse på tvisten i hovedsagen,] eller i Europa-Kommissionens fortegnelse, der er omhandlet i artikel 4, stk. 3, i Europa-Parlamentets og Rådets direktiv 2009/22/EF af 23. april 2009 om søgsmål med påstand om forbud på området beskyttelse af forbrugernes interesser [(8)]

[…]«

9. UKlaG’s § 2 bestemmer:

»(1) Ud fra forbrugerbeskyttelseshensyn kan der nedlægges forbud over for en person, der på anden måde end ved anvendelse eller anbefaling af almindelige forretningsbetingelser tilsidesætter forskrifter, der tjener til forbrugerbeskyttelse (forbrugerbeskyttelseslove) […]

(2) Forbrugerbeskyttelseslove i denne bestemmelses forstand er navnlig:

[…]

11. bestemmelserne om lovligheden af

a) en virksomheds indsamling af en forbrugers personoplysninger eller

b) behandling eller anvendelse af en forbrugers personoplysninger, som er indsamlet af en erhvervsdrivende,

såfremt oplysningerne indsamles, behandles eller anvendes til reklameformål, markeds- og opinionsforskning, drift af et oplysningsbureau, udarbejdelse af personligheds- og brugerprofiler, anden handel med oplysninger eller til sammenlignelige kommercielle formål.

[…]«

10. Bundesgerichtshof (forbundsdomstol, Tyskland) har anført, at organer, der har søgsmålskompetence som omhandlet i denne bestemmelse, i henhold til UKlaG’s § 3, stk. 1, første punktum, nr. 1, kan anlægge sag for at bringe overtrædelser af forbrugerbeskyttelseslovgivningen til ophør, hvilket i overensstemmelse med UKlaG’s § 2, stk. 2, første punktum, nr. 11, ligeledes omfatter bestemmelser om lovligheden af en erhvervsdrivendes indsamling, behandling og anvendelse til reklameformål. Endvidere kan organer, der har søgsmålskompetence i henhold til UKlaG’s § 3, stk. 1, første punktum, nr. 1, i henhold til UKlaG’s § 1 kræve, at anvendelsen af ugyldige generelle betingelser i henhold til § 307 i Bürgerliches Gesetzbuch (borgerlig lovbog) bringes til ophør, når de finder, at de almindelige betingelser er i strid med en bestemmelse om databeskyttelse.

11. § 13, stk. 1, i Telemediengesetz (lov om elektroniske medier) (9) af 26. februar 2007 har følgende ordlyd:

»Tjenesteudbyderen skal ved sessionens begyndelse informere brugeren om arten og omfanget af samt formålet med at indsamle og anvende personoplysninger samt om behandlingen af hans oplysninger i stater uden for anvendelsesområdet for [direktiv 95/46] i almindeligt forståelig form, medmindre en sådan orientering allerede har fundet sted. I forbindelse med automatiserede procedurer, som muliggør en senere identifikation af brugeren og forbereder indsamling eller anvendelse af personoplysninger, skal brugeren orienteres allerede ved begyndelsen af denne procedure. Brugeren skal til enhver tid kunne hente indholdet af denne information.«

III. De faktiske omstændigheder i hovedsagen og det præjudicielle spørgsmål

12. I Tyskland er Bundesverband opført på listen over organer, der har søgsmålskompetence i henhold til UKlaG’s § 4. Facebook Ireland driver på adressen www.facebook.de internetplatformen Facebook, der gør det muligt at udveksle personoplysninger og andre oplysninger.

13. På internetplatformen Facebook findes et område ved navn »App-Zentrum« (app-center), hvor Facebook Ireland bl.a. stiller gratis spil, der leveres af tredjemand, til rådighed for sine brugere. Under søgningen efter bestemte spil i app-center den 26. november 2012 kunne brugeren se en række oplysninger under knappen »Sofort spielen« (»Spil«). Det fulgte i det væsentlige af disse oplysninger, at brugen af den pågældende applikation gav det selskab, der udbød spillene, mulighed for at indhente en række personoplysninger og gav det tilladelse til at offentliggøre visse oplysninger på brugerens vegne såsom dennes pointresultater. Denne brug havde til følge, at brugeren accepterede de almindelige forretningsbetingelser for applikationen og dens politik vedrørende databeskyttelse. Desuden er det angivet for spillet »Scrabble«, at appen har tilladelse til at offentliggøre status, fotos og andre oplysninger i brugerens navn.

14. Bundesverband har kritiseret præsentationen af de oplysninger, der er givet under knappen »Spil« i app-centret med den begrundelse, at de er urimelige, bl.a. på grund af den manglende overholdelse af de retlige betingelser, der gælder indhentelse af et gyldigt samtykke fra brugeren i henhold til bestemmelserne om databeskyttelse. Desuden anser Bundesverband de endelige oplysninger i forbindelse med spillet »Scrabble« for en almindelig forretningsbetingelse, der stiller brugeren urimeligt dårligt.

15. I denne forbindelse anlagde Bundesverband et søgsmål med påstand om, at Facebook Ireland pålægges at afstå fra den beskrevne praksis, ved Landgericht Berlin (den regionale ret i første instans i Berlin, Tyskland). Den forelæggende ret har præciseret, at dette søgsmål er blevet anlagt uafhængigt af den konkrete tilsidesættelse af en registrerets databeskyttelsesrettigheder og uden bemyndigelse fra en sådan person.

16. Bundesverband har nedlagt påstand om, at Facebook Ireland forbydes at »præsentere spil i forbindelse med kommercielle aktiviteter rettet mod forbrugere med fast bopæl i […] Tyskland på webstedet, der svarer til adressen www.facebook.com, i et »app-center«, således at forbrugeren ved at klikke på en knap som »[Spil]« tilkendegiver, at spiloperatøren gennem det sociale netværk, som drives af [Facebook Ireland], modtager information om de personoplysninger, der findes heri, og får tilladelse til at poste (offentliggøre) oplysninger i forbrugerens navn […]«, og at Facebook Ireland pålægges tvangsbøder ved manglende efterlevelse heraf.

17. Bundesverband har ligeledes nedlagt påstand om, at Facebook Ireland forbydes »i aftaler med forbrugere, der har deres sædvanlige opholdssted i […] Tyskland, at medtage følgende bestemmelse eller bestemmelser med tilsvarende indhold vedrørende brugen af applikationer (apps) inden for rammerne af et socialt netværk og at påberåbe sig bestemmelserne om overførsel af data til spiludbydere: »Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten« (»Denne applikation må poste statusmeddelelser, fotos m.m. i dit navn«)«.

18. Landgericht Berlin (den regionale ret i første instans i Berlin) afsagde dom mod Facebook Ireland i overensstemmelse med Bundesverbands påstande. Den af Facebook Ireland iværksatte appel ved Kammergericht Berlin (den regionale appeldomstol i Berlin, Tyskland) blev ikke taget til følge.

19. Facebook Ireland har iværksat revisionsanke ved den forelæggende ret til prøvelse af appeldomstolens afgørelse.

20. Med hensyn til realiteten er den forelæggende ret af den opfattelse, at det var med rette, at appelretten fandt, at Bundesverbands påstande var begrundede. Ved ikke at overholde de oplysningsforpligtelser, der følger af TMG’s § 13, stk. 1, første punktum, første del af punktummet, har Facebook Ireland tilsidesat UWG’s § 3a og UKlaG’s § 2, stk. 2, første punktum, nr. 11. Appelretten fandt med rette, at de i den foreliggende sag omhandlede bestemmelser i TMG’s § 13 er markedsadfærdsbestemmelser som omhandlet i UWG’s § 3a. Der er desuden tale om bestemmelser, som i henhold til UKlaG’s § 2, stk. 2, første punktum, nr. 11, litra a), regulerer lovligheden af en erhvervsdrivendes indsamling, behandling eller brug af en forbrugers personoplysninger, som er blevet indsamlet, behandlet eller anvendt til reklameformål. Den forelæggende ret er i øvrigt af den opfattelse, at Facebook Ireland ved ikke at overholde de i sagen relevante databeskyttelsesmæssige oplysningsforpligtelser har anvendt en ugyldig almindelig forretningsbetingelse i henhold til UKlaG’s § 1.

21. Den forelæggende ret ønsker imidlertid oplyst, om det var med rette, at appelretten fandt, at Bundesverbands søgsmål kunne antages til realitetsbehandling. Den forelæggende ret ønsker således oplyst, om en forbrugerbeskyttelsesorganisation som Bundesverband efter ikrafttrædelsen af forordning 2016/679 fortsat har kompetence til at anlægge et søgsmål ved de civile domstole til prøvelse af tilsidesættelser af denne forordning, og dette uafhængigt af den konkrete tilsidesættelse af berørte individuelle personers rettigheder og uden bemyndigelse fra disse personer, ved at påberåbe sig, at der foreligger en tilsidesættelse af retten i henhold til UWG’s § 3a, tilsidesættelse af en forbrugerbeskyttelseslov i henhold til UKlaG’s § 2, stk. 2, første punktum, nr. 11, eller anvendelse af en ugyldig almindelig forretningsbetingelse i henhold til UKlaG’s § 1.

22. Den forelæggende ret har anført, at der ikke var tvivl om, at søgsmålet kunne antages til realitetsbehandling før ikrafttrædelsen af forordning 2016/679. Bundesverband var nemlig beføjet til at anlægge søgsmål ved de civile domstole for at bringe overtrædelserne til ophør i henhold til UWG’s § 8, stk. 3, nr. 3, og UKlaG’s § 3, stk. 1, første punktum, nr. 1.

23. Ifølge den forelæggende ret er det muligt, at denne retlige ordning er blevet ændret som følge af ikrafttrædelsen af forordning 2016/679.

24. Med hensyn til realiteten har den forelæggende ret anført, at bestemmelserne i TMG’s § 13, stk. 1, ikke længere finder anvendelse efter denne forordnings ikrafttræden, idet de relevante oplysningsforpligtelser nu er dem, der følger af artikel 12-14 i forordning 2016/679. Ifølge den forelæggende ret har Facebook Ireland således ikke overholdt sin forpligtelse i henhold til denne forordnings artikel 12, stk. 1, første punktum, som består i at give den registrerede de oplysninger, der følger af denne forordnings artikel 13, stk. 1, litra c) og e), om formålet med databehandlingen og modtageren af personoplysninger i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.

25. Hvad angår spørgsmålet om, hvorvidt søgsmålet kan antages til realitetsbehandling, er der ifølge den forelæggende ret uenighed om, hvorvidt organer, der har søgsmålskompetence som omhandlet i UKlaG’s § 4, siden ikrafttrædelsen af forordning 2016/679 og i overensstemmelse med UWG’s § 8, stk. 3, nr. 3, har ret til at anlægge sag til prøvelse af tilsidesættelser af denne forordnings bestemmelser, som finder direkte anvendelse i henhold til artikel 288, stk. 2, TEUF, idet de gør gældende, at der er sket en tilsidesættelse af rettigheder som omhandlet i UWG’s § 3a.

26. I denne henseende har den forelæggende ret henvist til, at der findes forskellige synspunkter med hensyn til spørgsmålet om, hvorvidt forordning 2016/679 selv udtømmende regulerer kontrollen med anvendelsen af dens bestemmelser.

27. Den forelæggende ret har med hensyn til ordlyden af forordning 2016/679 anført, at søgsmålskompetence for et organ som Bundesverband i henhold til UWG’s § 8, stk. 3, nr. 3, ikke er omfattet af denne forordnings artikel 80, stk. 1, for så vidt som det i hovedsagen omhandlede søgsmål med påstand om at afstå fra den beskrevne praksis ikke er blevet anlagt på vegne af og med bemyndigelse fra en registreret for at gøre dennes personlige rettigheder gældende. Der er derimod tale om Bundesverbands søgsmålskompetence i henhold til en rettighed, som er dens egen, og som gør det muligt for Bundesverband i tilfælde af tilsidesættelse af retten som omhandlet i UWG’s § 3a at anlægge sag til prøvelse af tilsidesættelser af nævnte forordnings bestemmelser på et objektivt grundlag, uafhængigt af, om individuelle personers konkrete rettigheder er blevet krænket, og uafhængigt af bemyndigelse fra disse personer.

28. Den forelæggende ret har imidlertid anført, at artikel 80, stk. 2, i forordning 2016/679 ikke tillægger Bundesverband søgsmålskompetence med henblik på objektiv anvendelse af lovgivningen om beskyttelse af personoplysninger. Selv om denne bestemmelse ganske vist giver mulighed for, at et sådant organ kan handle uafhængigt af enhver bemyndigelse givet af en registreret, er det imidlertid nødvendigt, at en registrerets rettigheder som fastsat i denne forordning er blevet krænket på grund af en behandling. Følgelig giver bestemmelserne i forordningens artikel 80, stk. 2, heller ikke, henset til deres ordlyd, søgsmålskompetence til organisationer, der gør objektive tilsidesættelser af retten til beskyttelse af personoplysninger gældende, uafhængigt af tilsidesættelsen af en konkret registrerets subjektive rettigheder, idet de, som i det foreliggende tilfælde, støtter sig på UWG’s § 3a og § 8, stk. 3, nr. 3. En tilsvarende konklusion kan udledes af andet punktum i 142. betragtning til forordning 2016/679, der ligeledes nævner kravet om krænkelsen af en registrerets rettigheder som betingelse for en organisations søgsmålskompetence, uafhængigt af den pågældendes bemyndigelse.

29. Desuden kan en organisations søgsmålskompetence som den, der er fastsat i UWG’s § 8, stk. 3, ifølge den forelæggende ret ikke støttes på artikel 84, stk. 1, i forordning 2016/679, hvorefter medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Søgsmålskompetence for en organisation, således som den er reguleret i UWG’s § 8, stk. 3, kan nemlig ikke anses for en »sanktion« i denne bestemmelse i forordningens forstand.

30. Den forelæggende ret har endvidere anført, at opbygningen af forordning 2016/679 ikke gør det muligt med sikkerhed at afgøre, om en organisations søgsmålskompetence i henhold til UWG’s § 8, stk. 3, nr. 3, dvs. i henhold til en bestemmelse, der har til formål at bekæmpe illoyal konkurrence, stadig kan anerkendes efter denne forordnings ikrafttræden. Den forelæggende ret er af den opfattelse, at det kan udledes af den omstændighed, at den tillægger tilsynsmyndighederne omfattende tilsynsforpligtelser samt undersøgelsesbeføjelser og korrigerende beføjelser, at det hovedsageligt påhviler disse myndigheder at kontrollere anvendelsen af forordningens bestemmelser. Dette ville være i strid med en vidtrækkende fortolkning af artikel 80, stk. 2, i forordning 2016/679. Den forelæggende ret har ligeledes anført, at vedtagelsen af nationale foranstaltninger til gennemførelse af en forordning i princippet kun er mulig, hvis det udtrykkeligt er tilladt. Imidlertid kan sætningsleddet »uden at det berører andre […] klageadgange«, som fremgår af forordningens artikel 77, stk. 1, artikel 78, stk. 1 og 2, og artikel 79, stk. 1, tale mod antagelsen om, at forordningen udtømmende regulerer kontrollen med retsreglernes anvendelse.

31. Hvad angår formålet med forordning 2016/679 kan effektivitetsprincippet tale for, at organisationer har søgsmålskompetence i henhold til konkurrenceretten i overensstemmelse med UWG’s § 8, stk. 3, nr. 3, uafhængigt af, om de registreredes konkrete rettigheder er blevet krænket, for så vidt som der fortsat består en yderligere mulighed for at kontrollere anvendelsen af retsregler med henblik på at sikre et så højt niveau som muligt for beskyttelsen af personoplysninger i overensstemmelse med tiende betragtning til denne forordning. Ikke desto mindre vil en anerkendelse af organisationers søgsmålskompetence i henhold til konkurrenceretten kunne anses for at være i strid med det harmoniseringsmål, der forfølges med den nævnte forordning.

32. Den forelæggende ret har ligeledes givet udtryk for tvivl med hensyn til, om de organisationer, der er omhandlet i UKlaG’s § 3, stk. 1, første punktum, nr. 1, efter ikrafttrædelsen af forordning 2016/679 fortsat har søgsmålskompetence med henblik på at anlægge søgsmål i tilfælde af tilsidesættelse af denne forordnings bestemmelser i sager anlagt på grund af manglende overholdelse af en lov om forbrugerbeskyttelse som omhandlet i UKlaG’s § 2, stk. 2, første punktum, nr. 11. Det samme gør sig gældende for så vidt angår en forbrugerbeskyttelsesorganisations søgsmålskompetence i henhold til UKlaG’s § 1 med henblik på at kræve et forbud mod anvendelsen af ugyldige almindelige forretningsbetingelser som omhandlet i den borgerlige lovbogs § 307.

33. Hvis det antages, at de forskellige nationale bestemmelser, der inden ikrafttrædelsen af forordning 2016/679 dannede grundlag for organisationers søgsmålskompetence, kan anses for en foregribende gennemførelse af denne forordnings artikel 80, stk. 2, ville anerkendelsen af Bundesverbands søgsmålskompetence i den foreliggende sag ifølge den forelæggende ret kræve, at den gør gældende, at en registrerets rettigheder, der er fastsat i nævnte forordning, er blevet krænket som følge af en behandling. Denne betingelse er imidlertid ikke opfyldt.

34. Den forelæggende ret har således fremhævet, at Bundesverbands konklusioner vedrører en abstrakt kontrol af Facebook Irelands præsentation i app-centret i forhold til den objektive lovgivning om databeskyttelse, uden at Bundesverband har gjort gældende, at der er sket en krænkelse af en identificeret eller identificerbar fysisk persons rettigheder som omhandlet i artikel 4, nr. 1), i forordning 2016/679.

35. Hvis det fastslås, at Bundesverband efter ikrafttrædelsen af forordning 2016/679 har mistet søgsmålsretten på grundlag af de ovennævnte bestemmelser i tysk ret, har den forelæggende ret anført, at den bør give medhold i den revisionsanke, som Facebook Ireland har iværksat, og afvise Bundesverbands søgsmål, eftersom søgsmålsretten i henhold til tysk procesret skal bestå frem til afgørelsen ved sidste retsinstans.

36. På denne baggrund har Bundesgerichtshof (forbundsdomstol) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»Er bestemmelserne i kapitel VIII, navnlig i artikel 80, stk. 1 og 2, samt artikel 84, stk. 1, i [forordning 2016/679] til hinder for nationale bestemmelser, som – foruden den beføjelse til at gribe ind, der er tillagt tilsynsmyndighederne med kompetence til at føre kontrol og håndhæve forordningen, og de registreredes muligheder for retsbeskyttelse – indrømmer dels konkurrenter, dels organisationer, organer og kamre med beføjelser i henhold til national ret beføjelse til at anlægge søgsmål ved de civile domstole mod den krænkende part vedrørende overtrædelser af [forordning 2016/679], uanset om enkelte registreredes konkrete rettigheder er blevet krænket, og uden bemyndigelse fra en registreret under påberåbelse af forbuddet mod urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser?«

37. Bundesverband, Facebook Ireland, den østrigske og den portugisiske regering samt Kommissionen har indgivet skriftlige indlæg. Disse procesdeltagere, med undtagelse af den portugisiske regering, samt den tyske regering har afgivet mundtlige indlæg i retsmødet, der blev afholdt den 23. september 2021.

IV. Bedømmelse

38. Med sit spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om forordning 2016/679, og navnlig dennes artikel 80, stk. 2, skal fortolkes således, at den er til hinder for en national lovgivning, der gør det muligt for forbrugerbeskyttelsesorganisationer at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at påberåbe sig forbuddet mod urimelig handelspraksis, tilsidesættelse af en lov på forbrugerbeskyttelsesområdet eller forbuddet mod anvendelse af ugyldige almindelige forretningsbetingelser.

39. I henhold til artikel 4, nr. 1), i forordning 2016/679 er en »registreret« som omhandlet i denne forordning »en identificeret eller identificerbar fysisk person«. Når en sådan person finder, at hans personoplysninger har været genstand for en behandling, der er i strid med bestemmelserne i denne forordning, råder vedkommende over flere midler.

40. En registreret har således i henhold til forordningens artikel 77 ret til at indgive klage til en tilsynsmyndighed. I henhold til artikel 78 i forordning 2016/679 har denne person desuden adgang til effektive retsmidler over for en tilsynsmyndighed. Denne forordnings artikel 79, stk. 1, giver desuden hver registreret ret til en effektiv domstolsprøvelse, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.

41. Registrerede kan naturligvis selv indgive en klage til en tilsynsmyndighed eller gøre brug af de retsmidler, der er beskrevet ovenfor. Når dette er sagt, fastsætter artikel 80 i forordning 2016/679 under visse betingelser muligheden for, at disse personer kan være repræsenteret af et organ, en organisation eller en sammenslutning, som ikke arbejder med gevinst for øje. Ud over individuelle søgsmål fastsætter EU-retten således forskellige muligheder for gruppesøgsmål, der gennemføres gennem organer, der repræsenterer de berørte personer (10). Artikel 80 i forordning 2016/679 er således en del af den tendens, der består i at anvende gruppesøgsmål, der iværksættes af sådanne organer med det formål at forsvare almene eller kollektive interesser, som et middel til at styrke adgangen til domstolene for personer, der er berørt af tilsidesættelsen af de pågældende regler (11).

42. Artikel 80 i forordning 2016/679 med overskriften »Repræsentation af registrerede« består af to afsnit. Det første vedrører den situation, hvor en registreret bemyndiger et organ, en organisation eller en sammenslutning til at repræsentere sig. Det andet vedrører et gruppesøgsmål, der anlægges af et organ uafhængigt af en bemyndigelse fra den registrerede.

43. For så vidt som den af Bundesverband anlagte sag ikke støttes på en bemyndigelse fra en registreret, er det artikel 80, stk. 2, i forordning 2016/679, der er relevant i forbindelse med den foreliggende præjudicielle forelæggelse.

A. Fashion ID-dommen

44. I Fashion ID-dommen udtalte Domstolen sig med hensyn til direktiv 95/46 om et spørgsmål svarende til det, der er forelagt i forbindelse med denne præjudicielle forelæggelse. Domstolen fastslog således, at »artikel 22-24 i [dette direktiv] skal fortolkes således, at de ikke er til hinder for en national lovgivning, der gør det muligt for forbrugerbeskyttelsesorganisationer at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger« (12).

45. For at nå frem til denne konklusion tog Domstolen udgangspunkt i den konstatering, at ingen bestemmelse i direktiv 95/46 pålagde medlemsstaterne en pligt til at fastsætte bestemmelser – eller udtrykkeligt gav dem beføjelse til at fastsætte bestemmelser – i national ret angående en sådan organisations ret til at føre retssag for en sådan person eller anlægge sag på eget initiativ mod den, der formodes at have krænket beskyttelsen af personoplysninger (13). Ifølge Domstolen betød dette imidlertid ikke, at dette direktiv var til hinder for en national lovgivning, der giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den person, der formodes at have begået en sådan krænkelse (14). Domstolen har i denne forbindelse fremhævet de særlige karakteristika ved et direktiv samt forpligtelsen for hver medlemsstat, som direktivet retter sig til, til at træffe alle foranstaltninger, der er nødvendige for at sikre direktivet fuld virkning i overensstemmelse med dets formål (15).

46. Domstolen bemærkede således, at direktiv 95/46 havde til formål at »sikre en effektiv og fuldstændig beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger« og at »sikre et højt beskyttelsesniveau inden for [Den Europæiske Union]« (16). Ifølge Domstolen bidrager den omstændighed, at en medlemsstat i sin nationale lovgivning fastsætter en mulighed for, at en forbrugerbeskyttelsesorganisation kan anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, til at gennemføre disse formål (17). Domstolen understregede i øvrigt, at »medlemsstaterne ganske vist i mange henseender har et betydeligt råderum med henblik på gennemførelsen af [direktiv 95/46]« (18), navnlig for så vidt angår artikel 22-24, som »er affattet i generelle vendinger og ikke anvender en udtømmende harmonisering af de nationale bestemmelser angående adgang til domstolsprøvelse, som ville kunne anvendes med hensyn til den, der formodes at have krænket beskyttelsen af personoplysninger« (19). Det fremstår imidlertid således, at »fastsættelsen af muligheden for, at en forbrugerbeskyttelsesorganisation kan anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, kan udgøre en nødvendig foranstaltning i [dette direktivs artikel 24’s] forstand, der […] bidrager til gennemførelsen af nævnte direktivs formål i overensstemmelse med Domstolens praksis« (20).

47. Med denne præjudicielle forelæggelse anmodes Domstolen om at afgøre, om det, der kunne tillades i henhold til direktiv 95/46, nu er forbudt som følge af ikrafttrædelsen af forordning 2016/679. Har denne forordnings artikel 80, stk. 2, med andre ord den retsvirkning, at en forbrugerbeskyttelsesorganisations søgsmålskompetence i forbindelse med et søgsmål som det i hovedsagen omhandlede bortfalder?

48. Der kan allerede opstå tvivl herom alene ved læsningen af Fashion ID-dommens præmis 62, hvori Domstolen bemærkede, at den omstændighed, at forordning 2016/679 i artikel 80, stk. 2, »udtrykkeligt tillader medlemsstaterne at give forbrugerbeskyttelsesorganisationer ret til at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, på ingen måde indebærer, at medlemsstaterne ikke kunne tildele dem denne ret i henhold til direktiv 95/46, men bekræfter derimod, at nærværende doms fortolkning heraf afspejler EU-lovgivers hensigt« (21).

49. Af de grunde, som jeg vil redegøre for i det følgende, er jeg af den opfattelse, at hverken den omstændighed, at direktiv 95/46 er blevet erstattet af en forordning, eller den omstændighed, at forordning 2016/679 nu indeholder en artikel om repræsentation af registrerede i forbindelse med retssager, kan rejse tvivl om, hvad Domstolen fastslog i Fashion ID-dommen, nemlig at medlemsstaterne i deres nationale lovgivning kan give forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger.

B. De særlige kendetegn ved forordning 2016/679

50. Hvad angår erstatningen af direktiv 95/46 med en anden retsakt, nemlig forordning 2016/679, skal det bemærkes, at EU-lovgivers valg om at anvende en forordning som retsakt, som i henhold til artikel 288 TEUF er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat, kan forklares med, at EU-lovgiver i 13. betragtning til forordning 2016/679 har valgt at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og at hindre, at forskelle hæmmer den frie udveksling af personoplysninger på det indre marked. Følgelig synes denne forordning umiddelbart at tilsigte en fuldstændig harmonisering, idet den ikke begrænser sig til at fastsætte minimumsstandarder, som medlemsstaterne kan hæve, og idet den ikke giver disse medlemsstater valget mellem at fravige, supplere eller gennemføre dens bestemmelser, således at den samtidige og ensartede anvendelse af forordningens bestemmelser i Unionen ikke bringes i fare.

51. De faktiske forhold viser sig at være mere komplekse. Retsgrundlaget for forordning 2016/679, dvs. artikel 16 TEUF (22), er således til hinder for at antage, at Unionen med vedtagelsen af denne forordning har foregrebet alle de forgreninger, som beskyttelsen af personoplysninger kan have på andre områder vedrørende bl.a. arbejdsret, konkurrenceret eller forbrugerret, ved at fratage medlemsstaterne muligheden for at vedtage specifikke regler på disse områder, og dette mere eller mindre selvstændigt, alt efter om der er tale om et område, der reguleres af EU-retten eller ej (23). Selv om beskyttelsen af personoplysninger i sagens natur er tværgående, er den harmonisering, der foretages ved forordning 2016/679, i denne henseende begrænset til de aspekter, der specifikt er omfattet af denne forordning på dette område. Ud over disse aspekter kan medlemsstaterne frit lovgive, når de ikke gør indgreb i forordningens indhold og formål.

52. Når man kigger nærmere på detaljerne i bestemmelserne i forordning 2016/679, må det endvidere konstateres, at omfanget af den harmonisering, der er gennemført ved denne forordning, varierer efter de pågældende bestemmelser. Fastlæggelsen af forordningens normative rækkevidde kræver således en undersøgelse i hvert enkelt tilfælde (24). Selv om det i overensstemmelse med retspraksis vedrørende direktiv 95/46 (25) kan antages, at forordning 2016/679 fører til en harmonisering, som »i princippet er fuldstændig«, indrømmer flere bestemmelser i denne forordning imidlertid medlemsstaterne et råderum, som de efter omstændighederne skal eller kan anvende under de betingelser og inden for de grænser, der er fastsat i disse bestemmelser (26).

53. Det bemærkes, at det følger af Domstolens faste praksis, at »artikel 288 TEUF og forordningernes karakter og funktion i det EU-retlige retskildesystem indebærer, at forordningers bestemmelser i almindelighed har umiddelbar virkning i de nationale retsordener, uden at det er nødvendigt for de nationale myndigheder at træffe gennemførelsesforanstaltninger. Visse af disse bestemmelser kan ikke desto mindre for at kunne blive gennemført kræve vedtagelse af nationale gennemførelsesforanstaltninger i medlemsstaterne« (27). Anvendelsen af en forordning indebærer ikke nødvendigvis, at de retsundergivne ikke har nogen handlefrihed i henhold til forordningens bestemmelser (28). I øvrigt er en forordnings bindende og direkte anvendelige karakter ikke til hinder for, at en retsakt af denne art indeholder fakultative regler (29).

54. Artikel 80, stk. 2, i forordning 2016/679 udgør på grund af anvendelsen af ordet »kan« et eksempel på en fakultativ bestemmelse, der giver medlemsstaterne en skønsmargen ved gennemførelsen heraf.

55. Denne bestemmelse er en del af de mange »åbningsbestemmelser«, der er indeholdt i denne forordning, og som giver den dens særlige karakter i forhold til en klassisk forordning og tilnærmer den til et direktiv (30). Henvisninger til national ret i disse bestemmelser kan være obligatoriske (31), men de udgør imidlertid oftest en mulighed, som medlemsstaterne har (32). Det har kunnet bemærkes, at disse talrige henvisninger til national ret indebærer en risiko for en ny opsplitning af ordningen for beskyttelse af personoplysninger inden for Unionen, hvilket strider mod EU-lovgivers vilje til at sikre en mere vidtgående ensretning af denne ordning, og at de kan have negativ indvirkning på effektiviteten af denne beskyttelse og på tydeligheden af de registeransvarliges og databehandlernes forpligtelser (33). Rækkevidden af den harmonisering, der er gennemført ved forordning 2016/679, begrænses således af de talrige »åbningsbestemmelser« i forordningen.

56. Det er klart, at EU-lovgiver i sammenligning med det, der var tilfældet med direktiv 95/46, med forordning 2016/679 har ønsket at fastsætte mere omfattende og mere præcise regler på EU-plan for aspekter vedrørende repræsentation af registrerede med henblik på at indgive en klage til en tilsynsmyndighed eller anlægge et søgsmål (34). Forordningens artikel 80, stk. 1 og 2, har imidlertid ikke samme normative rækkevidde. Mens denne artikels stk. 1 er bindende for medlemsstaterne (35), giver artiklens stk. 2 nemlig medlemsstaterne en mulighed. For at et gruppesøgsmål uden bemyndigelse i henhold til forordningens artikel 80, stk. 2, kan iværksættes, skal medlemsstaterne således gøre brug af den mulighed, som de har i henhold til denne bestemmelse, for i deres nationale ret at fastsætte denne repræsentationsform for registrerede.

57. Artikel 80, stk. 2, i forordning 2016/679 kan ikke, allerede på grund af denne bestemmelses fakultative karakter og de potentielle forskelle mellem de nationale lovgivninger, som dette indebærer, anses for at have sikret en fuldstændig harmonisering af gruppesøgsmål uden bemyndigelse på området beskyttelse af personoplysninger. Når medlemsstaterne gennemfører denne bestemmelse i national ret, skal de dog overholde de betingelser og begrænsninger, inden for hvilke EU-lovgiver har ønsket at opstille rammer for udøvelsen af den mulighed, der er fastsat i den nævnte bestemmelse.

58. Selv om afgrænsningen i sammenligning med, hvad der var tilfældet med direktiv 95/46, er mere præcis, bevarer medlemsstaterne alligevel en skønsmargen i forbindelse med gennemførelsen af artikel 80, stk. 2, i forordning 2016/679.

59. Det fremgår af de oplysninger, som Domstolen råder over, at den tyske lovgiver efter denne forordnings ikrafttræden ikke har vedtaget nogen bestemmelse, der specifikt har til formål at gennemføre forordningens artikel 80, stk. 2, i national ret. Når dette er sagt, skal det, således som den forelæggende ret har anmodet Domstolen om, undersøges, om de tidligere bestemmelser i tysk ret, som giver en forbrugerbeskyttelsesorganisation søgsmålskompetence med henblik på at bringe en adfærd, der udgør en tilsidesættelse af såvel bestemmelser i forordning 2016/679 som af regler, der bl.a. har til formål at beskytte forbrugerne, til ophør, er forenelige med denne bestemmelse. Med andre ord, er den nationale lovgivning, der eksisterede før denne forordnings ikrafttræden, i overensstemmelse med, hvad der er tilladt i henhold til forordningens artikel 80, stk. 2?

60. Som den tyske regering præciserede i retsmødet, udgør de nationale bestemmelser, der bemyndiger en sammenslutning som Bundesverband til at anlægge et gruppesøgsmål som det i hovedsagen omhandlede, foranstaltninger til gennemførelse af direktiv 2009/22. For at besvare spørgsmålet om, hvorvidt artikel 80, stk. 2, i forordning 2016/679 også tillader en sådan håndhævelsesmulighed, og om de samme nationale bestemmelser falder inden for rammerne af det skøn, som er tildelt hver medlemsstat (36), skal denne artikel fortolkes under hensyntagen til bl.a. dens ordlyd samt forordningens opbygning og formål.

C. Ordlydsfortolkning, systematisk fortolkning og formålsfortolkning af artikel 80, stk. 2, i forordning 2016/679

61. I henhold til artikel 80, stk. 2, i forordning 2016/679 kan de gruppesøgsmål, der er omhandlet heri, iværksættes af »ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1«. Denne forordnings artikel 80, stk. 1, omhandler »et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger«. En sådan definition kan efter min opfattelse ikke begrænses til organer, hvis eneste formål er beskyttelse af personoplysninger, men omfatter alle organer, der forfølger et mål af almen interesse, som har forbindelse med beskyttelsen af personoplysninger. Dette er tilfældet for forbrugerbeskyttelsesorganisationer såsom Bundesverband, der foranlediges til at anlægge søgsmål med påstand om forbud mod adfærd, der – idet den tilsidesætter bestemmelserne i den nævnte forordning – ligeledes tilsidesætter bestemmelser om forbrugerbeskyttelse eller bekæmpelse af illoyal konkurrence (37).

62. Ifølge ordlyden af artikel 80, stk. 2, i forordning 2016/679 kan gruppesøgsmål iværksættes af et organ, der opfylder betingelserne i denne artikels stk. 1, hvis det »har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling«. I modsætning til, hvad den forelæggende ret synes at antyde, mener jeg ikke, at dette sidste sætningsled skal fortolkes indskrænkende, således at et organ for at have søgsmålskompetence i overensstemmelse med det, der er fastsat i artikel 80, stk. 2, i forordning 2016/679, skal foretage en forudgående individualisering af en eller flere personer, der konkret er berørt af den omhandlede behandling. Forarbejderne til vedtagelsen af denne forordning går på ingen måde i denne retning. Desuden forekommer selve definitionen af begrebet »registreret« som omhandlet i forordningens artikel 4, nr. 1), dvs. en »identificeret eller identificerbar fysisk person« (38), efter min opfattelse at være i modstrid med kravet om, at personer, der gøres til genstand for en behandling, der er i strid med bestemmelserne i forordning 2016/679, allerede skal være identificeret ved anlæggelsen af et gruppesøgsmål i henhold til denne forordnings artikel 80, stk. 2. Det følger logisk heraf, at det ikke kan kræves i henhold til denne bestemmelse, at et organ hævder, at der foreligger konkrete tilfælde med hensyn til individuelt udpegede personer, for at det kan have søgsmålskompetence i overensstemmelse med det, der er fastsat i den nævnte bestemmelse.

63. Det er min opfattelse, at gennemførelsen af et gruppesøgsmål i henhold til artikel 80, stk. 2, i forordning 2016/679 alene forudsætter, at det gøres gældende, at der foreligger en behandling af personoplysninger, som er i strid med bestemmelserne i denne forordning, der beskytter individuelle rettigheder, og som således kan påvirke identificerede eller identificerbare personers rettigheder, uden at et organs søgsmålskompetence er underlagt en konkret efterprøvelse af, om en eller flere bestemte personers rettigheder er blevet krænket (39). Alt i alt skal et sådant søgsmål støttes på en krænkelse af de rettigheder, som en fysisk person kan udlede af den nævnte forordning som følge af en behandling af dennes personoplysninger. Dette søgsmål har ikke til formål at beskytte en objektiv ret, men alene de subjektive rettigheder, som de berørte personer direkte kan udlede af forordning 2016/679 (40). Med andre ord har den åbningsbestemmelse, der er indeholdt i denne forordnings artikel 80, stk. 2, til formål at gøre det muligt for bemyndigede organer at lade en tilsynsmyndighed eller en retsinstans kontrollere, at de registeransvarlige overholder de beskyttelsesregler for de registrerede, der er fastsat i nævnte forordning (41). I dette perspektiv er det tilstrækkeligt, for at et organ har søgsmålskompetence i henhold til denne bestemmelse, at det redegør for en krænkelse af bestemmelser i forordning 2016/679, der har til formål at beskytte de berørte personers subjektive rettigheder.

64. Som Kommissionen i det væsentlige har anført, vil en fortolkning af artikel 80, stk. 2, i forordning 2016/679, hvorefter et organ for at kunne iværksætte et gruppesøgsmål uden bemyndigelse skal godtgøre eller gøre gældende, at en bestemt persons rettigheder er blevet krænket i en given situation, begrænse denne bestemmelses anvendelsesområde i alt for væsentlig grad. Jeg er i lighed med den portugisiske regering og Kommissionen af den opfattelse, at forordningens artikel 80, stk. 2, skal fortolkes således, at denne bestemmelses effektive virkning opretholdes i forhold til samme artikels stk. 1. Den nævnte forordnings artikel 80, stk. 2, skal derfor efter min opfattelse forstås således, at denne bestemmelse rækker videre end repræsentation i enkeltsager, som er genstand for denne artikels stk. 1, idet der åbnes mulighed for, at bemyndigede organer på eget initiativ og selvstændigt kan repræsentere de kollektive interesser for personer, der er genstand for en behandling af deres personoplysninger, der strider mod forordning 2016/679. Denne forordnings artikel 80, stk. 2, ville i vid udstrækning miste sin effektive virkning, hvis det i lighed med kravet i denne artikels stk. 1 blev lagt til grund, at et organ i begge tilfælde er begrænset til repræsentation af navngivne og individuelt udpegede personer.

65. Den fortolkning, som jeg har anlagt af artikel 80, stk. 2, i forordning 2016/679, er i øvrigt i overensstemmelse med den præventive karakter af og det afskrækkende formål med søgsmål med påstand om forbud og deres uafhængighed i forhold til enhver individuel konflikt (42).

66. For ikke at risikere at skabe to forskellige standarder vedrørende søgsmålskompetence for de organer, der har beføjelse til at anlægge et søgsmål med påstand om forbud, alt efter om et sådant søgsmål er baseret på en national foranstaltning, der er omfattet af anvendelsesområdet for artikel 80, stk. 2, i forordning 2016/679 eller for direktiv 2020/1828, skal der efter min opfattelse – selv om dette direktiv ikke finder anvendelse i forbindelse med tvisten i hovedsagen – tages hensyn til den omstændighed, at det nævnte direktiv i øvrigt ikke kræver, at sådanne organer påberåber sig, at individuelle navngivne forbrugere er blevet berørt af den pågældende krænkelse (43), men at de påberåber sig, at erhvervsdrivende har begået overtrædelser af de EU-retlige bestemmelser, der er omhandlet i bilag I til dette direktiv (44), hvori der i øvrigt i punkt 56 henvises til forordning 2016/679.

67. Den opfattelse, der taler for en restriktiv fortolkning af artikel 80, stk. 2, i forordning 2016/679, sætter efter min mening med urette beskyttelsen af forbrugernes kollektive interesser (45) op imod beskyttelsen af rettighederne for enhver person, der er genstand for en behandling, der formodes at være i strid med denne forordning. Beskyttelsen af forbrugernes kollektive interesser udelukker nemlig efter min opfattelse ikke beskyttelsen af de subjektive rettigheder, som de berørte personer direkte udleder af forordning 2016/679, men integrerer tværtimod en sådan beskyttelse.

68. Jeg opfatter i øvrigt angivelsen i 15. betragtning til direktiv 2020/1828, hvorefter »de håndhævelsesmekanismer, der er fastsat i eller baseret på […] forordning 2016/679 […], fortsat anvendes til beskyttelse af forbrugernes kollektive interesser« (46), som en bekræftelse af, at det gruppesøgsmål, der er fastsat i denne forordnings artikel 80, stk. 2, kan have til formål at beskytte sådanne interesser.

69. Jeg udleder af det ovenstående, at artikel 80, stk. 2, i forordning 2016/679 efter min opfattelse tillader medlemsstaterne at give de kompetente organer mulighed for, uden bemyndigelse fra de registrerede, at iværksætte gruppesøgsmål med henblik på at beskytte forbrugernes kollektive interesser, når der påberåbes en tilsidesættelse af bestemmelser i denne forordning, der har til formål at tillægge de berørte personer subjektive rettigheder.

70. Dette er netop tilfældet for så vidt angår det søgsmål med påstand om forbud, som Bundesverband har anlagt mod Facebook Ireland.

71. Jeg minder om, at ifølge den forelæggende ret og i henhold til Bundesverbands påstande har Facebook Ireland ikke overholdt sin forpligtelse i henhold til artikel 12, stk. 1, første punktum, i forordning 2016/679, som består i på en sammenhængende, gennemsigtig, forståelig og lettilgængelig måde at give den registrerede de oplysninger, der er omhandlet i artikel 13, stk. 1, litra c) og e), i denne forordning, som vedrører formålet med behandlingen af oplysningerne og modtageren af personoplysningerne. Disse bestemmelser hører utvivlsomt til den kategori af bestemmelser, der giver de registrerede subjektive rettigheder, hvilket bl.a. bekræftes af konstateringen af, at de er indeholdt i forordningens kapitel III med overskriften »Den registreredes rettigheder«. Beskyttelsen af disse rettigheder kan derfor enten påberåbes direkte af de registrerede eller af et organ, der er bemyndiget i henhold til artikel 80, stk. 1, i forordning 2016/679 eller i henhold til nationale bestemmelser til gennemførelse af denne forordnings artikel 80, stk. 2.

72. Jeg er ligeledes af den opfattelse, at artikel 80, stk. 2, i forordning 2016/679 ikke er til hinder for nationale bestemmelser, der bemyndiger en forbrugerbeskyttelsesorganisation til at anlægge et søgsmål med påstand om forbud med henblik på at sikre overholdelsen af de rettigheder, som denne forordning fastsætter, gennem regler, der har til formål at beskytte forbrugerne eller bekæmpe urimelig handelspraksis. Sådanne regler kan nemlig indeholde bestemmelser svarende til dem, der er indeholdt i den nævnte forordning, navnlig hvad angår information af de registrerede med hensyn til behandlingen af deres personoplysninger (47), hvilket indebærer, at tilsidesættelsen af en regel om beskyttelse af personoplysninger samtidig kan medføre en tilsidesættelse af reglerne om forbrugerbeskyttelse eller urimelig handelspraksis. Intet i ordlyden af artikel 80, stk. 2, i forordning 2016/679 er til hinder for en delvis gennemførelse af denne åbningsbestemmelse, for så vidt som gruppesøgsmålet tilsigter at beskytte de rettigheder, som de registrerede har i henhold til denne forordning (48) i deres egenskab af forbrugere.

73. Den således foreslåede fortolkning af artikel 80, stk. 2, i forordning 2016/679 er efter min opfattelse den bedst egnede til at nå de mål, der forfølges med denne forordning.

74. Domstolen bemærkede i denne henseende, at »[s]om det følger af artikel 1, stk. 2, i forordning 2016/679, sammenholdt med 10., 11. og 13. betragtning til denne forordning, pålægger denne forordning Unionens institutioner, organer, kontorer og agenturer samt medlemsstaternes kompetente myndigheder at sikre et højt beskyttelsesniveau for de rettigheder, der er sikret ved artikel 16 TEUF og […] artikel 8 [i Den Europæiske Unions charter om grundlæggende rettigheder]« (49). Desuden har nævnte forordning til formål »at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af privatlivets fred og beskyttelse af personoplysninger« (50).

75. Det ville være i strid med formålet om at sikre et højt beskyttelsesniveau for personoplysninger at forhindre medlemsstaterne i at iværksætte håndhævelsesmekanismer, der – selv om de forfølger et forbrugerbeskyttelsesformål – ligeledes bidrager til at nå målet om beskyttelse af personoplysninger. I lighed med, hvad der var tilfældet med hensyn til direktiv 95/46, kan det efter ikrafttrædelsen af forordning 2016/679 endvidere anføres, at en bemyndigelse til forbrugerbeskyttelsesorganisationer til at bringe behandlinger, der er i strid med denne forordnings bestemmelser, til ophør, bidrager til at styrke de registreredes rettigheder gennem en kollektiv klagemekanisme (51).

76. Sammenslutningers beskyttelse af forbrugernes kollektive interesser er således særligt tilpasset målet om at sikre et højt beskyttelsesniveau for personoplysninger. Set i dette perspektiv kan den præventive funktion af disse sammenslutningers aktioner ikke sikres, hvis det gruppesøgsmål, der er fastsat i artikel 80, stk. 2, i forordning 2016/679, kun gør det muligt at påberåbe sig en krænkelse af rettighederne for en person, der er individuelt og konkret berørt af denne krænkelse.

77. Et søgsmål med påstand om forbud anlagt af en forbrugerbeskyttelsesorganisation såsom Bundesverband bidrager således ubestrideligt til at sikre den effektive anvendelse af de rettigheder, der er beskyttet ved forordning 2016/679 (52).

78. Det ville i øvrigt i det mindste være paradoksalt, hvis den styrkelse af midlerne til kontrol af reglerne om beskyttelse af personoplysninger, som EU-lovgiver ønskede med vedtagelsen af forordning 2016/679, i sidste ende medførte et lavere beskyttelsesniveau i forhold til det niveau, som medlemsstaterne kunne sikre i henhold til direktiv 95/46.

79. Det er korrekt, at lovgivningerne om dels urimelig handelspraksis, dels beskyttelse af personoplysninger i EU-retten – til forskel fra i USA – har udviklet sig separat. De to områder er således omfattet af forskellige lovgivningsmæssige rammer.

80. Når dette er sagt, er der tale om et samspil mellem disse to områder, således at håndhævelsesmekanismer, der er omfattet af lovgivningen om beskyttelse af personoplysninger, samtidig og indirekte kan bidrage til at bringe en urimelig handelspraksis til ophør. Det omvendte gør sig ligeledes gældende (53). I øvrigt kommer en sammenhæng mellem beskyttelsen af personoplysninger i lyset af samtykket til behandling af disse oplysninger og forbrugerbeskyttelsen til udtryk i forordning 2016/679, bl.a. i 42. betragtning hertil. Kommissionen har endvidere fremhævet samspillet mellem EU-reglerne om beskyttelse af personoplysninger og direktiv 2005/29/EF (54).

81. Samspil mellem retten til beskyttelse af personoplysninger, forbrugerretten og konkurrenceretten er hyppige og talrige, idet den samme adfærd samtidig kan være omfattet af retsregler på disse forskellige områder. Sådanne samspil bidrager til at gøre beskyttelsen af personoplysninger mere effektiv (55).

82. De personer, der er omfattet af de rettigheder, der er fastsat i forordning 2016/679, er ganske vist ikke begrænset til kategorien forbrugere, idet denne forordning ikke er baseret på en forbrugeristisk opfattelse af beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger (56), men på den opfattelse, at denne beskyttelse i overensstemmelse med artikel 8 i chartret om grundlæggende rettigheder, og som det bl.a. fremgår af første betragtning til og artikel 1, stk. 2, i nævnte forordning, er en grundlæggende rettighed (57).

83. Det forholder sig ikke desto mindre således, at de berørte personer i den digitale økonomi ofte er forbrugere. Dette er grunden til, at de regler, der har til formål at beskytte forbrugerne, ofte anvendes for at sikre forbrugerne beskyttelse mod en behandling af deres personoplysninger, der er i strid med bestemmelserne i forordning 2016/679.

84. Efter denne analyse må det konstateres, at der kan være en overlapning mellem det gruppesøgsmål, der er fastsat i artikel 80, stk. 2, i forordning 2016/679, og et gruppesøgsmål, der er fastsat i direktiv 2020/1828 med henblik på at opnå forbud, når de »registrerede« som omhandlet i denne forordning ligeledes har egenskab af »forbruger« som omhandlet i dette direktivs artikel 3, nr. 1) (58). Heri ser jeg et tegn på komplementaritet og konvergens mellem retten til beskyttelse af personoplysninger og andre retsområder, såsom forbrugerretten og konkurrenceretten. Med vedtagelsen af det nævnte direktiv har EU-lovgiver skubbet yderligere til denne bevægelse ved udtrykkeligt at knytte beskyttelsen af forbrugernes kollektive interesser sammen med overholdelsen af forordning 2016/679. Den effektive anvendelse af de regler, der er indeholdt i forordningen, vil kun styrkes som følge af dette.

V. Forslag til afgørelse

85. På baggrund af samtlige ovenstående betragtninger foreslår jeg, at det præjudicielle spørgsmål, som Bundesgerichtshof (forbundsdomstol, Tyskland) har forelagt, besvares således:

»Artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for nationale bestemmelser, der gør det muligt for forbrugerbeskyttelsesorganisationer at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at påberåbe sig et forbud mod urimelig handelspraksis, overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser, når det pågældende gruppesøgsmål sigter mod at sikre overholdelsen af de rettigheder, som personer, der er genstand for den anfægtede behandling, tildeles direkte i henhold til denne forordning.«

1 – Originalsprog: fransk.

2 – Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).

3 – Jf. dom af 29.7.2019, Fashion ID (C-40/17, herefter »Fashion ID-dommen«, EU:C:2019:629).

4 – Europa-Parlamentet og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

5 – Jf. ligeledes 142. betragtning til denne forordning.

6 – BGBl. 2004 I, s. 1414, herefter »UWG«.

7 – BGBl. 2001 I, s. 3138, 3173, herefter »UKlaG«.

8 – EUT 2009, L 110, s. 30.

9 – BGBl. 2007 I, s. 179, herefter »TMG«.

10 – Repræsentationen af de berørte personer er ligeledes fastsat i artikel 67 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23.10.2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse 1247/2002/EF (EUT 2018, L 295, s. 39) samt i artikel 55 i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89). Der er i begge tilfælde tale om en repræsentation med bemyndigelse.

11 – Denne tendens, som bl.a. er konkretiseret ved direktiv 2009/22, har udmøntet sig i den nylige vedtagelse af Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25.11.2020 om adgang til anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF (EUT 2020, L 409, s. 1). Fristen for gennemførelse af sidstnævnte direktiv er fastsat til den 25.12.2022. Jf. herom A. Pato, »Collective Redress Mechanisms in the EU«, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloosmbury Publishing, London, 2019, s. 45-117. Jf. ligeledes B. Gsell, »The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward«, Common Market Law Review, bind 58, 5. udg., Kluwer Law International, Alphen aan den Rijn, 2021, s. 1365-1400.

12 – Jf. Fashion ID-dommen (præmis 63 og domskonklusionen).

13 – Jf. Fashion ID-dommen (præmis 47).

14 – Jf. Fashion ID-dommen (præmis 48).

15 – Jf. Fashion ID-dommen (præmis 49).

16 – Jf. Fashion ID-dommen (præmis 50).

17 – Jf. Fashion ID-dommen (præmis 51).

18 – Jf. Fashion ID-dommen (præmis 56 og den deri nævnte retspraksis).

19 – Jf. Fashion ID-dommen (præmis 57 og den deri nævnte retspraksis).

20 – Jf. Fashion ID-dommen (præmis 59).

21 – Min fremhævelse.

22 – Som Domstolen fremhævede i dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 44).

23 – Det fremgår af præamblen til forordning 2016/679, at forordningen blev vedtaget på grundlag af artikel 16 TEUF, hvis stk. 2 bl.a. bestemmer, at Europa-Parlamentet og Rådet efter den almindelige lovgivningsprocedure fastsætter regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af Unionens institutioner, organer, kontorer og agenturer samt af medlemsstaterne under udøvelse af aktiviteter, der er omfattet af EU-retten, og regler for den frie udveksling af personoplysninger.

24 – Fastlæggelsen af omfanget af den harmonisering, der foretages ved en retsakt som forordning 2016/679, indebærer derfor, at der skal foretages en »mikroanalyse, hvor der ses på en specifik regel, eller i bedste fald et specifikt og veldefineret aspekt af EU-retten«: jf. generaladvokat Bobeks forslag til afgørelse Dzivev m.fl. (C-310/16, EU:C:2018:623, punkt 74). Jf. ligeledes E. Mišćenić og A.-L. Hoffmann: »The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)«, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, 4. udg., s. 44-61, hvoraf det fremgår, at »[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them« (s. 49).

25 – Jf. dom af 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, præmis 96).

26 – Jf. vedrørende direktiv 95/46 dom af 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, præmis 97). I modsætning til visse faste overbevisninger medfører EU-lovgivers valg om at anvende en forordning frem for et direktiv ikke nødvendigvis en fuldstændig harmonisering af det pågældende område. Jf. E. Mišćenić og A.-L. Hoffmann, op.cit., som anfører, at »an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules« (s. 48).

27 – Jf. bl.a. dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 110 og den deri nævnte retspraksis). Jf. ligeledes for så vidt angår et område, der tidligere har været genstand for et direktiv, dom af 21.12.2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, præmis 42), hvori Domstolen præciserede, at »[d]en omstændighed, at Unionens retsforskrifter om beskyttelse af dyr under transport fremover findes i en forordning, betyder følgelig ikke nødvendigvis, at alle nationale gennemførelsesforanstaltninger til disse retsforskrifter nu er forbudt«.

28 – Jf. dom af 27.10.1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 – Domstolen har således fastslået, at en medlemsstat, der har valgt ikke at gøre brug af en mulighed i henhold til en forordning, ikke tilsidesætter artikel 288 TEUF: jf. dom af 17.12.2015, Imtech Marine Belgium (C-300/14, EU:C:2015:825, præmis 27-31). Jf. ligeledes vedrørende en forordning om indførelse af eksportrestitutioner, som medlemsstaterne kan tildele eller afslå at tildele, dom af 27.10.1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 – Jf. vedrørende disse åbningsbestemmelser J. Wagner og A. Benecke: »National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law«, European Data Protection Law Review, Lexxion, Berlin, bind 2, 3. udg., 2016, s. 353-361.

31 – Jf. bl.a. artikel 51 og 84 i forordning 2016/679.

32 – Jf. bl.a. artikel 6, stk. 2 og 3, artikel 8, stk. 1, andet afsnit, samt artikel 85-89 i forordning 2016/679.

33 – Jf. i denne forbindelse E. Mišćenić og A.-L. Hoffmann, op.cit., hvori det anføres, at »[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation« (s. 50 og 51).

34 – Direktiv 95/46 fastsatte blot i artikel 28, stk. 4, mulighed for, at en sammenslutning på vegne af en person, der klager over krænkelser af sine rettigheder i forbindelse med behandling af personoplysninger, kan indgive en klage til en tilsynsmyndighed.

35 – Dog med undtagelse af gruppesøgsmålet med bemyndigelse med henblik på at opnå erstatning på vegne af de registrerede, som fortsat er valgfri for medlemsstaterne.

36 – Jf. analogt dom af 21.12.2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, præmis 43).

37 – Jf. A. Pato, The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxembourg, 2019, s. 98-106. Ifølge denne forfatter er »[t]he number of actors who potentially have standing to sue […] broad«, og »[c]onsumer associations will usually meet those requirements easily« (s. 99).

38 – Min fremhævelse. Ifølge samme bestemmelse forstås »ved identificerbar fysisk person […] en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«. Som anført af N. Martial-Braz, »Le champ d’application du RGPD«, i A. Bensamoun og B. Bertrand, Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, s. 19-33, »skal den identificerbare karakter forstås i meget bred forstand, eftersom kriteriet om identifikation af personen omfatter alle de midler, der med rimelighed kan anvendes til at identificere personen« (s. 24). Jf. bl.a. vedrørende begrebet »identificerbar person« som omhandlet i artikel 2, litra a), i direktiv 95/46 dom af 19.10.2016, Breyer (C-582/14, EU:C:2016:779).

39 – Jf. F. Boehm, »Artikel 80 Vertretung von betroffenen Personen«, i S. Simitis, G. Hornung og I. Spiecker Döhmann, Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, navnlig punkt 13.

40 – Jf. E.M. Frenzel, »Art. 80 Vertretung von betroffenen Personen«, i B.P. Paal og D.A. Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3. udg., C.H. Beck, München, 2021, navnlig punkt 11, samt B. Kreße, »Artikel 80 Vertretung von betroffenen Personen«, i G. Sydow, Europäische Datenschutzverordnung, 2. udg., Nomos, Baden-Baden, 2018, navnlig punkt 13.

41 – Jf. F. Moos og J. Schefzig, »Art. 80 Vertretung von betroffenen Personen«, i J. Taeger og D. Gabel, Kommentar DSGVO – BDSG, 3. udg., Deutscher Fachverlag, Frankfurt am Main, 2019, navnlig punkt 22.

42 – Jf. bl.a. vedrørende urimelige kontraktvilkår i aftaler indgået mellem erhvervsdrivende og forbrugere, dom af 14.4.2016, Sales Sinués og Drame Ba (C-381/14 og C-385/14, EU:C:2016:252, præmis 29).

43 – Jf. 33. betragtning til og artikel 8, stk. 3, litra a), i direktiv 2020/1828, hvorefter »[d]et godkendte organ/den godkendte organisation skal ikke bevise […] faktisk tab eller skade for de individuelle forbrugere, der er berørt af overtrædelsen som omhandlet i artikel 2, stk. 1«. Selv om direktivets artikel 7, stk. 2, pålægger det godkendte organ/den godkendte organisation at give retsinstansen eller forvaltningsmyndigheden »tilstrækkelige oplysninger om de forbrugere, der er berørt af gruppesøgsmålet«, følger det desuden af 34. betragtning til direktivet, at disse oplysninger, hvis detaljeringsgrad kan variere afhængigt af, hvilken foranstaltning det godkendte organ/den godkendte organisation søger at opnå, ikke vedrører udpegelsen af individuelle forbrugere, der er berørt af den omhandlede overtrædelse, men snarere oplysninger såsom stedet for skadetilføjelsen eller angivelsen af den gruppe af forbrugere, der er berørt af søgsmålet (jf. ligeledes 65. betragtning til direktiv 2020/1828). Det skal i øvrigt bemærkes, at selv når gruppesøgsmålet har til formål at opnå foranstaltninger om genopretning, anføres det i 49. betragtning til direktiv 2020/1828, at det ikke bør kræves, at »det godkendte organ/den godkendte organisation udpeger samtlige forbrugere, der er berørt af gruppesøgsmålet, individuelt for at kunne indlede gruppesøgsmålet«. Jf. i denne forbindelse B. Gsell, op.cit., navnlig s. 1370.

44 – Jf. artikel 2, stk. 1, i direktiv 2020/1828.

45 – Jf. tredje betragtning til direktiv 2009/22, hvori det præciseres, at søgsmål med påstand om forbud, der er omfattet af direktivets anvendelsesområde, har til formål at beskytte »forbrugernes kollektive interesser«, idet disse defineres som »interesser, som ikke er en akkumulering af interesser hos enkeltpersoner, der har lidt skade ved en overtrædelse«. I artikel 3, nr. 3), i direktiv 2020/1828 defineres begrebet »forbrugernes kollektive interesser« som »forbrugeres generelle interesser og, navnlig med henblik på foranstaltninger om genopretning, en gruppe af forbrugeres interesser«.

46 – Min fremhævelse.

47 – Jf. N. Helberger, F. Zuiderveen Borgesius og A. Reyna, »The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law«, Common Market Law Review, bind 54, 5. udg., Kluwer Law International, Alphen aan den Rijn, 2017, s. 1427-1465, hvor det hedder, at »[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual« (s. 1437).

48 – Jf. A. Neun og K. Lubitzsch, »Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz«, Betriebs-Berater, Deutscher Fachverlag, Frankfurt am Main, 2017, s. 2563-2569, navnlig s. 2567.

49 – Jf. dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 45).

50 – Jf. dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 91).

51 – Jf. generaladvokat Bobeks forslag til afgørelse Fashion ID (C-40/17, EU:C:2018:1039, punkt 33).

52 – For eksempler på sager anlagt af forbrugerbeskyttelsesorganisationer jf. N. Helberger, F. Zuiderveen Borgesius og A. Reyna, op.cit., navnlig s. 1452 og 1453.

53 – Jf. om komplementariteten mellem håndhævelsesmekanismer vedrørende beskyttelse af personoplysninger og håndhævelsesmekanismer, der har til formål at bringe urimelig handelspraksis til ophør, N. van Eijk, C.J. Hoofnagle og E. Kannekens, »Unfair Commercial Practices: A Complementary Approach to Privacy Protection«, European Data Protection Law Review, Lexxion, Berlin, bind 3, 3. udg., 2017, s. 325-337, hvor det hedder, at »[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective« (s. 336).

54 – Europa-Parlamentets og Rådets direktiv af 11.5.2005 om virksomheders urimelige handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (direktivet om urimelig handelspraksis) (EUT 2005, L 149, s. 22). Jf. arbejdsdokumentet fra Kommissionens tjenestegrene om retningslinjer for gennemførelse/anvendelse af direktiv 2005/29/EF om urimelig handelspraksis, ledsagedokument til meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget. En omfattende tilgang til stimulering af grænseoverskridende e-handel for europæiske borgere og virksomheder (SWD(2016) 163 final), navnlig punkt 1.4.10, s. 26-31. Kommissionen har her lagt vægt på nødvendigheden af en rimelig behandling af oplysninger, som indebærer, at den registrerede får adgang til en række relevante oplysninger, navnlig formålene med behandlingen af de omhandlede personoplysninger (s. 28). Kommissionen har ligeledes anført, at en erhvervsdrivendes tilsidesættelse af direktiv [95/46] eller [Europa-Parlamentets og Rådets] direktiv [2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37)] ikke altid i sig selv indebærer, at selve praksis også er i strid med [direktiv 2005/29]. Ifølge Kommissionen bør sådanne krænkelser af databeskyttelsen imidlertid tages i betragtning ved vurderingen af, om en handelspraksis er af generel urimelig karakter i forhold til [direktiv 2005/29], navnlig når den erhvervsdrivende behandler forbrugeroplysninger i strid med databeskyttelseskravene, f.eks. med henblik på direkte søgning eller til andre kommercielle formål, såsom udarbejdelse af profiler, individuelle priser eller anvendelse af big data (s. 30).

55 – Jf. bl.a. i denne forbindelse N. Helberger, F. Zuiderveen Borgesius og A. Reyna, op.cit., hvori det hedder, at »data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets« (s. 1429). Jf. ligeledes N. van Eijk, C.J. Hoofnagle og E. Kannekens, op.cit., navnlig s. 336. For en illustration af komplementariteten mellem reglerne om beskyttelse af personoplysninger i den elektroniske kommunikationssektor og reglerne om forbud mod virksomheders urimelige handelspraksis over for forbrugerne jf. mit forslag til afgørelse StWL Städtische Werke Lauf a.d. Pegnitz (C-102/20, EU:C:2021:518).

56 – Jf. N. Martial-Braz, op.cit., navnlig s. 23.

57 – Jf. dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 44).

58 – Jf. 14. betragtning til direktiv 2020/1828, hvorefter direktivet »[…] dog kun [bør] varetage interesserne hos fysiske personer, som har lidt skade eller som ville kunne lide skade som følge af [overtrædelserne af de i bilag I anførte EU-retlige bestemmelser], hvis de fysiske personer er forbrugere i henhold til dette direktiv«.