Language of document : ECLI:EU:C:2021:979

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

JEAN RICHARD DE LA TOUR

föredraget den 2 december 2021(1)

Mål C319/20

Facebook Ireland Limited

mot

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.

(begäran om förhandsavgörande från Bundesgerichtshof (Federala högsta domstolen, Tyskland))

”Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 80.2 – Rätt till ett effektivt rättsmedel – Registrerade företräds av en sammanslutning utan vinstsyfte – Talerätt för en konsumentskyddsorganisation”






I.      Inledning

1.        I den moderna ekonomin, som präglats av den digitala ekonomins framväxt, kan enskilda påverkas vid behandling av personuppgifter inte bara i egenskap av fysiska personer som tillerkänns vissa rättigheter enligt förordning (EU) 2016/679(2), utan även som konsumenter.

2.        Den omständigheten att de fysiska personerna är konsumenter får till följd att konsumentskyddsorganisationer allt oftare väcker talan i syfte att få vissa personuppgiftsansvariga att upphöra med beteenden som samtidigt kränker rättigheter som skyddas genom denna förordning och rättigheter som skyddas genom andra regler inom såväl unionsrätten som nationell rätt, bland annat vad avser skydd för konsumenters rättigheter och motverkande av otillbörliga affärsmetoder.

3.        Den nu aktuella begäran om förhandsavgörande har framställts i ett mål mellan Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federal sammanslutning av konsumentcentra och konsumentföreningar) (nedan kallat Bundesverband) och Facebook Ireland Limited, med säte i Irland. Bundesverband har gjort gällande att Facebook har åsidosatt den tyska lagstiftningen om skydd för personuppgifter samtidigt som den har använt sig av en otillbörlig affärsmetod, överträtt en konsumentskyddslag och åsidosatt förbudet mot ogiltiga allmänna villkor.

4.        Syftet med begäran om förhandsavgörande är huvudsakligen att domstolen ska tolka artikel 80.2 i förordning 2016/679 för att avgöra om denna bestämmelse utgör hinder för att konsumentskyddsorganisationer, efter förordningens ikraftträdande, bibehåller den talerätt som de enligt nationell lagstiftning tillerkänns för att stoppa beteenden som innebär såväl ett åsidosättande av rättigheterna enligt denna förordning som en överträdelse av de regler som syftar till att skydda konsumenternas rättigheter och motverka otillbörliga affärsmetoder. Att en sådan talerätt var förenlig med direktiv 95/46/EG(3) har redan slagits fast av domstolen(4) som nu ska nu uttala sig i frågan huruvida förordning 2016/679 har förändrat rättsläget i detta avseende.

II.    Tillämpliga bestämmelser

A.      Förordning nr 2016/679

5.        Artikel 80 i förordning 2016/679, som har rubriken ”Företrädande av registrerade”, har följande lydelse:(5)

”1.      Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78 och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82 om så föreskrivs i medlemsstatens nationella rätt.

2.      Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oavsett om de handlar på uppdrag av en registrerad, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.”

B.      Tysk rätt

6.        I 3 § stycke 1 i Gesetz gegen den unlauteren Wettbewerb (lag om illojal konkurrens),(6) (nedan kallad UWG) av den 3 juli 2004, i den lydelse som är tillämplig i det nationella målet, föreskrivs följande:

”Otillbörliga affärsmetoder ska vara förbjudna.”

7.        3a § UWG har följande lydelse:

”Otillbörligt handlande ska anses föreligga när en fysisk eller juridisk person bryter mot en lagstadgad bestämmelse som, bland annat, är avsedd att reglera marknadsbeteendet i marknadsaktörernas intresse, och överträdelsen kan medföra en väsentlig negativ inverkan på konsumenternas, andra marknadsaktörers eller konkurrenters intressen.”

8.        I 8 § styckena 1 och 3 UWG anges följande:

”(1)      Den som använder affärsmetoder som är förbjudna enligt 3 § eller 7 § kan bli föremål för ett föreläggande om upphörande och, om det föreligger risk för att beteendet upprepas, ett förbudsföreläggande. Rätten att ansöka om förbudsföreläggande uppkommer redan då det finns en risk för att affärsmetoderna i 3 eller 7 §§ kommer att användas.

(3)      Följande aktörer kan ansöka om de förelägganden som avses i stycke 1:

3.      Godkända inrättningar som kan visa att de står med i förteckningen över godkända inrättningar enligt 4 § i [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (lag om förbudsföreläggande vid åsidosättanden av konsumenträtten och andra överträdelser(7) av den 26 november 2001, i dess lydelse som är tillämplig i det nationella målet) (nedan kallad UKlaG)] eller i Europeiska kommissionens förteckning enligt artikel 4.3 i Europaparlamentets och rådets direktiv 2009/22/EG av den 23 april 2009 om förbudsföreläggande för att skydda konsumenternas intressen[(8)].

…”

9.        I 2 § UKlaG föreskrivs följande:

”(1)      Den som åsidosätter de bestämmelser som har till syfte att skydda konsumenter (lagar om konsumentskydd), på annat sätt än vid tillämpning av eller genom rekommendationer om allmänna försäljningsvillkor, kan föreläggas att upphöra med detta, eller förbjudas att fortsätta med detta, till skydd för konsumenterna. …

(2)      Med lagar om konsumentskydd menas vid tillämpningen av denna bestämmelse särskilt följande:

11.      De bestämmelser som reglerar tillåtligheten för

a)      ett företags insamling av en konsuments personuppgifter eller

b)      ett företags behandling eller användning av insamlade personuppgifter om en konsument

i de fall då dessa uppgifter inhämtas, behandlas eller används för reklamändamål, marknads- och opinionsundersökningar, upplysningsinstituts verksamhet, framtagande av personlighets- och användarprofiler, adresshandel, övrig datahandel eller andra jämförbara kommersiella ändamål.

…”

10.      Bundesgerichthof (Federala högsta domstolen, Tyskland) har angett att organ med talerätt enligt 3 § stycke 1 första meningen punkt 1 UKlaG, enligt denna bestämmelse får väcka talan om förbudsföreläggande mot överträdelser av konsumentskyddslagstiftningen vilken enligt 2 § stycke 2 första meningen punkt 11 UKlaG även inbegriper bestämmelser om tillåtlighet av en näringsidkares insamling, behandling och användning av personuppgifter om en konsument i marknadsföringssyfte. Enligt 3 § stycke 1 första meningen punkt 1 UKlaG får organisationer med talerätt enligt 1 § UKlaG även begära förbudsföreläggande enligt 307 § i Bürgerliches Gesetzbuch (civillagen) mot användning av ogiltiga allmänna villkor om de anser att de allmänna villkoren strider mot en bestämmelse om skydd av personuppgifter.

11.      13 § stycke 1 i Telemediengesetz (lag om elektroniska informations- och kommunikationstjänster)(9) (nedan kallad TMG), av den 26 februari 2007 har följande lydelse:

”Senast vid användningens början ska tjänsteleverantören på ett lättbegripligt sätt informera användaren om art och omfattning av samt syftet med insamlingen och användningen av personuppgifter samt behandlingen av användarens uppgifter i de stater som inte omfattas av tillämpningsområdet för [direktiv 95/46]. Vid automatiska processer som gör det möjligt att i ett senare skede identifiera användaren och genom vilka personuppgifter samlas in och används ska användaren informeras vid processens början. Användaren ska när som helst kunna ta del av denna information.”

III. Målet vid den nationella domstolen och tolkningsfrågan

12.      Bundesverband är upptaget i förteckningen över inrättningar med talerätt enligt 4 § UKlaG i Tyskland. Facebook Ireland driver webbplattformen Facebook på adressen www.facebook.de, där utbyte av personuppgifter och andra uppgifter möjliggörs.

13.      Webbplattformen Facebook innehåller en plats kallad App-Zentrum (Appcenter) där Facebook Ireland bland annat erbjuder sina användare kostnadsfria spel som tillhandahålls av tredje man. En användare som gick in i vissa spel i Appcentret den 26 november 2012 fick ta del av viss information under knappen ”Sofort spielen” (Spela). Det framgick av denna information att användare genom att använda applikationen i fråga gav det bolag som tillhandahållit spelen möjlighet att erhålla ett antal personuppgifter och tillät bolaget att i användarens namn offentliggöra vissa uppgifter, till exempel användarens poäng. Genom att använda applikationen godtog användaren de allmänna villkoren för den och policyn i fråga om uppgiftsskydd. För spelet Scrabble angavs det att applikationen fick offentliggöra status, foton och annan information om användaren.

14.      Bundesverband ställer sig kritiskt till hur informationen presenteras under knappen ”Spela” i Appcentret och har anfört att informationen är otillbörlig, bland annat på grund av att den inte uppfyller de lagstadgade villkoren för inhämtande av ett giltigt samtycke från användaren enligt bestämmelserna om skydd för personuppgifter. Bundesverband anser också att den sista angivelsen i spelet Scrabble utgör ett allmänt villkor som otillbörligt missgynnar användaren.

15.      Bundesverband har mot den bakgrunden väckt talan om förbudsföreläggande mot Facebook Ireland vid Landgericht Berlin (Regiondomstolen i Berlin, Tyskland). Den hänskjutande domstolen har angett att talan har väckts oberoende av en konkret kränkning av en registrerads rätt till skydd för personuppgifter och utan något uppdrag från någon sådan person.

16.      Bundesverband har yrkat att Facebook Ireland vid äventyr av vite ska föreläggas att upphöra med ”att på webbplatsen www.facebook.com och inom ramen för affärsverksamhet som riktar sig till konsumenter med stadigvarande hemvist i … Tyskland, presentera spel i ett Appcenter på ett sådant sätt att en konsument genom att klicka på en knapp såsom knappen ”[Spela]” förklarar att operatören genom det sociala nätverk som drivs av [Facebook Ireland] ska erhålla information om personuppgifter som finns där och får vidarebefordra (offentliggöra) information i konsumentens namn …”

17.      Bundesverband har även begärt att Facebook Ireland ska förbjudas ”att i avtal med konsumenter med stadigvarande hemvist i Tyskland föra in följande villkor eller villkor med samma innehåll för användning av programvara inom ett socialt nätverk, liksom att åberopa villkor om vidarebefordran av uppgifter till speloperatörer: ’Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten’ [(Denna applikation får offentliggöra din status, dina foton och annan information i ditt namn)].”

18.      Landgericht Berlin (Regiondomstolen i Berlin) meddelade ett föreläggande mot Facebook Ireland i enlighet med Bundesverbands yrkanden. Facebook Irelands överklagande ogillades av Kammergericht Berlin (Regionöverdomstolen i Berlin, Tyskland).

19.      Facebook Ireland överklagade appellationsdomstolens avgörande till den hänskjutande domstolen.

20.      Den hänskjutande domstolen anser att appellationsdomstolen gjorde en riktig bedömning när den fann att Bundesverbands yrkanden var välgrundade. Facebook har nämligen åsidosatt 3a § UWG och 2 § stycke 2 första meningen punkt 11 UKlaG genom att åsidosätta den informationsplikt som följer av 13 § stycke 1 första meningens första del TMG. Appellationsdomstolen gjorde en riktig bedömning när den fann att de bestämmelser i 13 § TMG som är i fråga i det nu aktuella fallet är lagbestämmelser som reglerar aktörernas beteende på marknaden i den mening som avses i 3a § UWG. Det rör sig dessutom om bestämmelser som, i enlighet med 2 § stycke 2 första meningen punkt 11 a UKlaG, reglerar tillåtligheten av en näringsidkares insamling, behandling eller användning av en konsuments personuppgifter när de har samlats in, behandlats eller använts i marknadsföringssyfte. Den hänskjutande domstolen anser vidare att när Facebook Ireland åsidosatte informationsskyldigheten i fråga om uppgiftsskydd, vilken är tillämplig i förevarande fall, använde den sig av ett allmänt villkor som är ogiltigt i den mening som avses i 1 § UKlaG.

21.      Den hänskjutande domstolen ifrågasätter emellertid huruvida appellationsdomstolen gjorde en riktig bedömning när den fann att Bundesverbands talan kunde tas upp till sakprövning. Den hänskjutande domstolen vill nämligen få klarhet i huruvida en sådan konsumentskyddsorganisation som Bundesverband fortfarande har talerätt, sedan förordning 2016/679 har trätt i kraft, och kan väcka talan vid en civilrättslig domstol gällande överträdelser av denna förordning, oavsett om det föreligger en konkret kränkning av enskilda registrerades rättigheter och utan något mandat från de registrerade, genom att åberopa åsidosättande av en rättighet enligt 3a § UWG, överträdelse av en konsumentskyddslag enligt 2 § stycke 2 första meningen punkt 11 UKlaG eller användning av ett allmänt villkor som är ogiltigt enligt 1 § UKlaG.

22.      Den hänskjutande domstolen har framhållit att det inte rådde några tvivel om att talan kunde tas upp till sakprövning innan förordning 2016/679 trädde i kraft. Bundesverband hade nämligen rätt att väcka talan om förbudsföreläggande vid en civilrättslig domstol i enlighet med 8 § stycke 3 punkt 3 UWG och 3 § stycke 1 första meningen punkt 1 UKlaG.

23.      Den hänskjutande domstolen menar att denna rättsliga ordning kan ha ändrats till följd av ikraftträdandet av förordning 2016/679.

24.      Den hänskjutande domstolen har påpekat att bestämmelserna i 13 § stycke 1 TMG inte längre är tillämpliga efter detta ikraftträdande, eftersom de relevanta informationsskyldigheterna numera är de skyldigheter som följer av artiklarna 12–14 i förordning 2016/679. Den hänskjutande domstolen menar således att Facebook Ireland inte har fullgjort sin skyldighet enligt artikel 12.1 första meningen i denna förordning, vilken består i att ge den berörda personen i en koncis, klar och tydlig, begriplig och lätt tillgänglig form den information som avses i artikel 13.1 c och e i nämnda förordning, vilken avser ändamålet med behandlingen av uppgifterna och den mottagare som ska ta del av personuppgifterna.

25.      Den hänskjutande domstolen menar att det råder delade meningar i frågan huruvida talan kan tas upp till sakprövning och huruvida organisationer med talerätt enligt 4 § UKlaG, efter ikraftträdandet av förordning 2016/679 och i enlighet med 8 § stycke 3 punkt 3 UWG, har rätt att väcka talan mot överträdelser av bestämmelserna i denna förordning, vilka är direkt tillämpliga enligt artikel 288 andra stycket FEUF, genom att åberopa en överträdelse enligt 3a § UWG.

26.      Den hänskjutande domstolen har redogjort för skilda uppfattningar i frågan huruvida förordning 2016/679 i sig på ett uttömmande sätt reglerar tillsynen över tillämpningen av dess bestämmelser.

27.      Den hänskjutande domstolen har påpekat, angående lydelsen i förordning 2016/679, att talerätten för en sådan inrättning som Bundesverband enligt 8 § stycke 3 punkt 3 UWG inte omfattas av artikel 80.1 i denna förordning, eftersom den talan om förbudsföreläggande som är aktuell i det nationella målet inte har väckts på uppdrag av en registrerad och i en registrerads namn för att göra gällande personliga rättigheter. Tvärtom rör det sig om en egen talerätt för Bundesverband, vilken innebär en möjlighet att, i händelse av lagöverträdelse enligt 3a § UWG, väcka talan mot överträdelser av bestämmelser i denna förordning på objektiv grund, oberoende av ett åsidosättande av registrerades konkreta rättigheter och av ett mandat från de sistnämnda.

28.      Den hänskjutande domstolen har framhållit att artikel 80.2 i förordning 2016/679 inte föreskriver talerätt för Bundesverband i syfte att på objektiv grund se till att rätten till skydd för personuppgifter tillämpas. Även om denna bestämmelse verkligen föreskrev att en sådan inrättning skulle ha möjlighet att väcka talan, oberoende av något mandat från en registrerad, skulle det ändå krävas att en registrerads rättigheter, såsom dem som föreskrivs i denna förordning, skulle ha kränkts genom en behandling. Följaktligen medger bestämmelserna i artikel 80.2 i förordningen inte heller, mot bakgrund av deras lydelse, någon talerätt för sammanslutningar som åberopar objektiva kränkningar av rätten till skydd för personuppgifter, oberoende av en kränkning av en konkret registrerads subjektiva rättigheter, genom att grunda sig på 3a § och 8 § stycke 3 punkt 3 UWG, som i det nu aktuella fallet. Samma slutsats kan dras av skäl 142 andra meningen i förordning 2016/679, där kränkning av en registrerads rättigheter också anges som ett villkor för att en sammanslutning ska ha talerätt oberoende av något mandat från personen i fråga.

29.      Talerätt för en sammanslutning, såsom den som föreskrivs i 8 § stycke 3 UWG, kan enligt den hänskjutande domstolen inte följa av artikel 84.1 i förordning 2016/679, enligt vilken medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Talerätt för en sammanslutning, såsom den som avses i 8 § stycke 3 UWG, kan inte betraktas som en sanktion, i den mening som avses i denna bestämmelse i förordningen.

30.      Den hänskjutande domstolen har också framhållit att systematiken i förordning 2016/679 inte gör det möjligt att med säkerhet avgöra huruvida en organisation fortfarande kan medges talerätt enligt 8 § stycke 3 punkt 3 UWG, det vill säga enligt en bestämmelse avsedd att motverka illojal konkurrens, efter förordningens ikraftträdande. Den hänskjutande domstolen anser att den omständigheten att förordningen ger tillsynsmyndigheterna utökade befogenheter i fråga om övervakning, undersökning och inför antagandet av korrigeringsåtgärder kan ge stöd för att det huvudsakligen ankommer på dessa myndigheter att kontrollera tillämpningen av förordningens bestämmelser. Detta talar mot en extensiv tolkning av artikel 80.2 i förordning 2016/679. Den hänskjutande domstolen har även påpekat att det i princip endast är tillåtet att anta nationella genomförandeåtgärder till en förordning om detta uttryckligen medges. Formuleringen ”[u]tan att det påverkar något annat … prövningsförfarande eller rättsmedel”, som återfinns i artiklarna 77.1, 78.1 och 78.2 samt 79.1 i förordningen, skulle kunna vederlägga uppfattningen att kontrollen av rättstillämpningen är uttömmande reglerad genom denna förordning.

31.      Vad beträffar syftet med förordning 2016/679, skulle förordningens ändamålsenliga verkan kunna tala för att sammanslutningar har talerätt enligt konkurrensrätten, med stöd av 8 § stycke 3 punkt 3 UWG, oavsett huruvida registrerades konkreta rättigheter har kränkts, eftersom det skulle innebära ytterligare en möjlighet att kontrollera rättstillämpningen, i syfte att säkerställa en så hög nivå som möjligt på skyddet av personuppgifter i enlighet med skäl 10 i förordningen. Att sammanslutningar medges talerätt enligt konkurrensrätten skulle emellertid kunna anses strida mot det harmoniseringsmål som eftersträvas med förordningen.

32.      Den hänskjutande domstolen hyser även tvivel vad gäller frågan huruvida organisationer fortfarande, efter ikraftträdandet av förordning 2016/679, har talerätt enligt 3 § stycke 1 första meningen punkt 1 UKlaG för att kunna väcka talan i händelse av överträdelse av förordningens bestämmelser, som en talan på grund av överträdelse av en lag om konsumentskydd enligt 2 § stycke 2 första meningen punkt 11 UKlaG. Samma tvivel gäller en konsumentskyddsorganisations talerätt enligt 1 § UKlaG i syfte att begära ett förbudsföreläggande mot användning av allmänna villkor som är ogiltiga enligt 307 § i civillagen.

33.      Den hänskjutande domstolen menar, förutsatt att de olika nationella bestämmelser som innan förordning 2016/679 trädde i kraft låg till grund för talerätten för organisationer kan betraktas som ett genomförande på förhand av artikel 80.2 i förordningen, att det för att Bundesverband i det aktuella fallet ska medges talerätt krävs att organisationen gör gällande att en registrerads rättigheter enligt nämnda förordning har kränkts genom en behandling. Detta villkor är emellertid inte uppfyllt.

34.      Den hänskjutande domstolen har nämligen understrukit att Bundesverbands yrkanden avser den abstrakta kontrollen av Facebook Irelands presentation på Appcentret mot bakgrund av den objektiva rätten till uppgiftsskydd, utan att Bundesverband har gjort gällande någon kränkning av en namngiven eller identifierbar fysisk persons rättigheter i den mening som avses i artikel 4.1 i förordning 2016/679.

35.      Om det fastställs att Bundesverband till följd av ikraftträdandet av förordning 2016/679 har förlorat sin talerätt enligt de ovan angivna bestämmelserna i tysk rätt, har den hänskjutande domstolen angett att den skulle vara tvungen att bifalla Facebooks överklagande och avslå Bundesverbands talan, eftersom talerätten enligt tysk processrätt måste kvarstå till slutet av sista instans.

36.      Mot denna bakgrund har Bundesgerichthof (Federala högsta domstolen) beslutat att vilandeförklara målet och ställa följande fråga till EU-domstolen:

”Utgör bestämmelserna i kapitel VIII, särskilt artikel 80.1 och 80.2 samt artikel 84.1 i [förordning 2016/679] hinder mot nationella bestämmelser som – vid sidan av ingripandebefogenheterna för de tillsynsmyndigheter som är ansvariga för att övervaka och säkerställa efterlevnaden av förordningen och de möjligheter som registrerade ges att erhålla rättsligt skydd – ger dels konkurrenter, dels enligt nationell rätt bemyndigade sammanslutningar, organ och nämnder befogenheter att, med stöd av förbudet mot otillbörliga affärsmetoder, ett åsidosättande av konsumentskyddslagstiftningen eller förbudet mot att tillämpa allmänna avtalsvillkor som är ogiltiga, väcka talan vid allmän domstol för åsidosättande av dataskyddsförordningen mot den som påstås ha åsidosatt förordningen, oberoende av någon kränkning av enskilda registrerades konkreta rättigheter och utan uppdrag från någon registrerad?”

37.      Bundesverband, Facebook Ireland, den österrikiska och den portugisiska regeringen samt kommissionen har inkommit med skriftliga yttranden. Dessa parter, med undantag av den portugisiska regeringen, yttrade sig muntligen vid förhandlingen den 23 september 2021.

IV.    Bedömning

38.      Den hänskjutande domstolen har ställt sin fråga för att få klarhet i huruvida förordning nr 2016/679, och i synnerhet artikel 80.2 däri, ska tolkas så, att den utgör hinder för en nationell lagstiftning som gör det möjligt för konsumentskyddsorganisationer att väcka talan mot den som påstås kränka skyddet av personuppgifter genom att åberopa förbud mot otillbörliga affärsmetoder, överträdelse av en konsumentskyddslag eller förbud mot användning av ogiltiga allmänna villkor.

39.      Enligt artikel 4 led 1 i förordning nr 2016/679 är en ”registrerad” enligt denna förordning ”en identifierad eller identifierbar fysisk person”. Om en sådan person anser att hans eller hennes personuppgifter har behandlats i strid med bestämmelserna i förordningen, har vederbörande flera möjligheter att vidta åtgärder.

40.      En registrerad har enligt artikel 77 i nämnda förordning rätt att lämna in ett klagomål till en tillsynsmyndighet. Enligt artikel 78 i förordning nr 2016/679 har denna person dessutom rätt till ett effektivt rättsmedel mot en tillsynsmyndighet. Artikel 79.1 i förordningen ger vidare varje registrerad som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen rätt till ett effektivt rättsmedel.

41.      Registrerade kan naturligtvis själva lämna in ett klagomål till en tillsynsmyndighet eller utnyttja de ovan beskrivna rättsmedlen. I artikel 80 i förordning nr 2016/679 anges emellertid att registrerade under vissa förutsättningar kan företrädas av ett organ, en organisation eller en sammanslutning utan vinstsyfte. Utöver talan som väcks av en enskild föreskriver unionsrätten således olika möjligheter till grupptalan som förs av inrättningar som har i uppdrag att företräda de registrerade.(10) Artikel 80 i förordning 2016/679 ska således ses som en del av tendensen att låta en grupptalan som väcks av sådana inrättningar i syfte att tillvarata allmänna eller kollektiva intressen bli ett sätt att utöka tillgången till rättslig prövning för personer som berörs av överträdelsen av de aktuella bestämmelserna.(11)

42.      Artikel 80 i förordning nr 2016/679, som har rubriken ”Företrädande av registrerade”, innehåller två punkter. Den första punkten avser det fall då en registrerad ger ett organ, en organisation eller en sammanslutning i uppdrag att företräda honom eller henne. Den andra avser en grupptalan som väcks av en inrättning oberoende av en registrerads mandat.

43.      I och med att Bunderverbands talan inte grundar sig på en registrerads mandat, är det artikel 80.2 i förordning 2016/679 som är relevant för den nu aktuella begäran om förhandsavgörande.

A.      Domen i målet Fashion ID

44.      I domen i målet Fashion ID uttalade sig domstolen, vad gäller direktiv 95/46, om en liknande fråga som den som ställts i den nu aktuella begäran om förhandsavgörande. Domstolen slog fast att ”[a]rtiklarna 22–24 i [detta direktiv] ska tolkas så, att de inte utgör hinder för nationella bestämmelser som gör det möjligt för konsumentskyddsorganisationer att väcka talan mot den som påstås kränka skyddet av personuppgifter”.(12)

45.      För att komma fram till denna slutsats utgick domstolen från bedömningen att direktiv 95/46 inte innehöll någon bestämmelse som ålade medlemsstaterna en skyldighet – och inte heller någon som gav dem uttrycklig behörighet – att i sin nationella lagstiftning föreskriva att en organisation ska ha möjlighet att företräda en sådan person inför domstol eller på eget initiativ väcka talan mot den som påstås kränka skyddet av personuppgifter.(13) Domstolen menade att detta inte innebar att direktivet utgjorde hinder för nationella bestämmelser som gjorde det möjligt för konsumentskyddsorganisationer att väcka talan mot den som påstods utföra sådana kränkningar.(14) Domstolen framhöll vad som är utmärkande för ett direktiv och att medlemsstaterna, som direktivet riktar sig till, är skyldiga att vidta alla de åtgärder som är nödvändiga för att säkerställa att direktivet får full verkan i överensstämmelse med det syfte som det eftersträvar.(15)

46.      Domstolen erinrade sedan om att direktiv 95/46 syftade till att ”säkerställa ett effektivt och fullständigt skydd för fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter” och att ”garantera en hög skyddsnivå inom [Europeiska] unionen”.(16) Domstolen menade att den omständigheten att en medlemsstat i sina nationella bestämmelser gav möjlighet för en konsumentskyddsorganisation att väcka talan mot den som påstås kränka skyddet av personuppgifter bidrog till att direktivets syften uppnåddes.(17) Domstolen påpekade även att ”medlemsstaterna i många avseenden har ett handlingsutrymme vid införlivandet av [direktiv 95/46]”,(18) i synnerhet beträffande artiklarna 22–24 vilka ”har uttryckts i allmänna ordalag och inte medfört en fullständig harmonisering av nationella bestämmelser om vem som har rätt att föra talan mot den som påstås kränka skyddet av personuppgifter”.(19) Den omständigheten att en konsumentskyddsorganisation ges möjlighet ”att väcka talan mot den som påstås kränka skyddet av personuppgifter förefaller [följaktligen] kunna utgöra en lämplig bestämmelse som avses i [artikel 24 i direktivet], vilken bidrar till … att uppnå direktivets syften, enligt domstolens praxis”.(20)

47.      Genom den nu aktuella begäran om förhandsavgörande har domstolen ombetts att avgöra om sådant som medgavs enligt direktiv 95/46 hädanefter ska vara förbjudet till följd av att förordning 2016/679 har trätt i kraft. Har artikel 80.2 i denna förordning med andra ord sådana rättsverkningar att en konsumentskyddsorganisation inte längre har talerätt inom ramen för en sådan talan som den aktuella i det nationella målet?

48.      Detta kan ifrågasättas redan med hänsyn till vad som anges i punkt 62 i domen i målet Fashion ID, där domstolen framhöll att den omständigheten att förordning 2016/679 ”uttryckligen ger medlemsstaterna rätt att i artikel 80.2 tillåta konsumentskyddsorganisationer att väcka talan mot den som påstås kränka skyddet av personuppgifter på intet sätt [innebär] att medlemsstaterna inte kan ge dem den rätten enligt direktiv 95/46, utan tvärtom bekräftar detta att tolkningen i denna dom återspeglar unionslagstiftarens vilja”.(21)

49.      Jag anser, av de skäl som jag utvecklar nedan, att varken den omständigheten att direktiv 95/46 har ersatts av en förordning eller den omständigheten att förordning 2016/679 nu ägnar en artikel åt företrädande av registrerade inom ramen för en talan i domstol kan undergräva vad domstolen slog fast i sin dom i målet Fashion ID, nämligen att medlemsstaterna i sin nationella lagstiftning kan föreskriva en möjlighet för konsumentskyddsorganisationer att väcka talan i domstol mot den som påstås kränka skyddet av personuppgifter.

B.      Särdragen hos förordning nr 2016/679

50.      Vad beträffar den omständigheten att direktiv 95/46 har ersatts av en annan typ av rättsakt, det vill säga förordning 2016/679, vill jag framhålla att förklaringen till att unionslagstiftaren valde att använda sig av den rättsliga formen förordning, vilken enligt artikel 288 FEUF är bindande i alla delar och direkt tillämplig i alla medlemsstater, är viljan, som uttrycks i skäl 13 i förordning 2016/679, att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Syftet med förordningen tycks följaktligen, vid första anblick, vara att sträva efter en fullständig harmonisering genom att inte bara fastställa minimibestämmelser utifrån vilka medlemsstaterna kan lägga sig på en högre nivå och neka medlemsstaterna valet att avvika från, komplettera eller genomföra dess bestämmelser, för att en samtidig och enhetlig tillämpning av förordningens bestämmelser inom unionen inte ska äventyras.

51.      Verkligheten är mer komplicerad än så. Den rättsliga grunden för förordning 2016/679, det vill säga artikel 16 FEUF,(22) utgör nämligen hinder för att anse att unionen genom att anta denna förordning har förekommit alla tänkbara förgreningar av skyddet av personuppgifter på andra områden, exempelvis i fråga om arbetsrätt, konkurrensrätt eller konsumenträtt, och fråntagit medlemsstaterna möjligheten att mer eller mindre självständigt anta särskilda bestämmelser på dessa områden, beroende på om det rör sig om ett område som regleras genom unionsrätten eller inte.(23) I den meningen är den harmonisering som företas genom förordning 2016/679, även om skyddet av personuppgifter är sektorsövergripande, begränsat till aspekter som specifikt omfattas av denna förordning på detta område. Utöver dessa har medlemsstaterna fortfarande sin lagstiftningsrätt, så länge de inte inkräktar på förordningens innehåll och syften.

52.      En närmare granskning av bestämmelserna i förordning 2016/679 visar också att omfattningen av den harmonisering som genomförs genom denna förordning varierar mellan de olika bestämmelserna. Det krävs alltså en granskning i varje enskilt fall för att fastställa förordningens normativa räckvidd.(24) Även om förordning 2016/679 i linje med rättspraxis rörande direktiv 95/46(25) kan anses innebära ”en i princip fullständig” harmonisering, ger ändå flera av förordningens bestämmelser medlemsstaterna ett utrymme för skönsmässig bedömning, vilka beroende på det enskilda fallet ska eller får använda sig av detta utrymme under de förutsättningar och begränsningar som föreskrivs i dessa bestämmelser.(26)

53.      Enligt domstolens fasta rättspraxis ”har bestämmelser i förordningar – enligt artikel 288 FEUF och på grund av förordningarnas beskaffenhet och deras funktion i unionens rättskällesystem – i allmänhet omedelbara verkningar i de nationella rättsordningarna, utan att det krävs att de nationella myndigheterna vidtar tillämpningsåtgärder. Icke desto mindre kan vissa av dessa bestämmelser erfordra att medlemsstaterna vidtar tillämpningsåtgärder för att genomföra dem”.(27) Den omständigheten att en förordning används behöver inte innebära att bestämmelserna i denna förordning inte lämnar något handlingsutrymme i rättsfrågor.(28) Det förhållandet att en förordning är bindande och direkt tillämplig hindrar inte att en sådan rättsakt kan innehålla fakultativa regler.(29)

54.      Artikel 80.2 i förordning 2016/679 utgör, på grund av att ordet ”får” används, ett exempel på en fakultativ bestämmelse som ger medlemsstaterna ett utrymme för skönsmässig bedömning vid dess genomförande.

55.      Bestämmelsen är en del av flera ”öppningsklausuler” i denna förordning, vilka ger den dess särprägel jämfört med en traditionell förordning och gör att den närmar sig ett direktiv.(30) Hänvisningarna till nationell rätt i dessa klausuler kan vara bindande(31) men utgör ändå i de flesta fall en möjlighet som erbjuds medlemsstaterna.(32) Det har påpekats att dessa många hänvisningar till nationell rätt innebär en risk för en ny fragmentering av systemet för skydd av personuppgifter inom unionen, vilket går rakt emot lagstiftarens uttalade vilja att skapa större enhetlighet och kan få negativa följder för skyddets effektivitet och för tydligheten vad gäller personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter.(33) Räckvidden av den harmonisering som genomförs genom förordning 2016/679 begränsas således av de många ”öppningsklausulerna” i denna förordning.

56.      Det är tydligt att unionslagstiftaren genom förordning 2016/679, jämfört med vad som var fallet med direktiv 95/46, ville få till stånd en mer omfattande och exaktare reglering på unionsnivå av de aspekter som rör företrädande av registrerade i syfte att lämna in ett klagomål till en tillsynsmyndighet eller att väcka talan vid domstol.(34) Punkterna 1 och 2 i artikel 80 i förordningen har emellertid inte samma normativa räckvidd. Medan punkt 1 är tvingande för medlemsstaterna,(35) ger punkt 2 i själva verket endast de sistnämnda en möjlighet. För att en grupptalan utan mandat enligt artikel 80.2 i förordningen ska kunna väckas, måste medlemsstaterna således använda sig av sin möjlighet enligt denna bestämmelse att i sin nationella rätt föreskriva denna form av företrädande av registrerade.

57.      Artikel 80.2 i förordningen 2016/679 kan inte anses ha medfört en fullständig harmonisering med avseende på grupptalan utan mandat i fråga om skydd av personuppgifter, om så bara på grund av att den är fakultativ och därmed kan leda till olikheter mellan de nationella lagstiftningarna. När medlemsstaterna genomför denna bestämmelse i sin nationella rätt måste de emellertid iaktta de villkor och gränser som unionslagstiftaren har valt för att reglera utövandet av den möjlighet som ges i bestämmelsen.

58.      Även om regleringen är mer ingående än vad som var fallet i direktiv 95/46, har medlemsstaterna trots allt kvar ett utrymme för skönsmässig bedömning vid genomförandet av artikel 80.2 i förordning 2016/679.

59.      Det framgår av de uppgifter som domstolen förfogar över att den tyska lagstiftaren inte har antagit någon särskild bestämmelse efter förordningens ikraftträdande för att införliva artikel 80.2 i förordningen med sin nationella rätt. Domstolen bör av denna anledning, såsom den hänskjutande domstolen har anmodat domstolen, pröva huruvida de befintliga bestämmelserna i tysk rätt, vilka ger en konsumentskyddsorganisation talerätt för att förhindra ett beteende som utgör en överträdelse av såväl bestämmelserna i förordning 2016/679 som av de regler som bland annat syftar till att skydda konsumenter, är förenliga med denna bestämmelse. Med andra ord, överensstämmer den nationella lagstiftning som förelåg innan denna förordning trädde i kraft med vad som är tillåtet enligt artikel 80.2 i nämnda förordning?

60.      De nationella bestämmelser som ger en sammanslutning som Bundesverband rätt att väcka en sådan grupptalan som den aktuella i det nationella målet utgör, som den tyska regeringen klargjorde vid förhandlingen, genomförandebestämmelser till direktiv 2009/22. För att besvara frågan huruvida artikel 80.2 i förordning 2016/679 även tillåter en sådan talan och därmed huruvida dessa nationella bestämmelser omfattas av det utrymme för skönsmässig bedömning som medges varje medlemsstat,(36) ska artikeln tolkas med beaktande av såväl dess lydelse som av förordningens systematik och syften.

C.      Bokstavlig, systematisk och teleologisk tolkning av artikel 80.2 i förordning 2016/679

61.      Enligt artikel 80.2 i förordning 2016/679 får en sådan grupptalan som föreskrivs där väckas av ”ett organ, en organisation eller en sammanslutning enligt punkt 1” i artikeln. Artikel 80.1 i förordningen avser ”ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter”. Jag anser att en sådan definition inte kan begränsas till att enbart omfatta inrättningar vars enda och uteslutande syfte är skydd av personuppgifter, utan inbegriper alla inrättningar som eftersträvar ett mål av allmänt intresse med anknytning till skydd av personuppgifter. Så är fallet med sådana konsumentskyddsorganisationer som Bundesverband, på vilka det ankommer att väcka talan om förbudsföreläggande mot beteenden som, genom att utgöra överträdelse av nämnda förordning, även innebär ett åsidosättande av regler om konsumentskydd eller om motverkande av illojal konkurrens.(37)

62.      Enligt lydelsen i artikel 80.2 i förordning 2016/679 kan grupptalan väckas av en inrättning som uppfyller de villkor som anges i punkt 1 i samma artikel om den ”anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen”. I motsats till vad den hänskjutande domstolen tycks antyda, anser jag inte att den sista delen av meningen ska tolkas restriktivt, på så sätt att en inrättning, för att ha behörighet att handla i enlighet med vad som föreskrivs i artikel 80.2 i förordning nr 2016/679, på förhand måste ange en eller flera enskilda personer som konkret påverkas av den ifrågavarande personuppgiftsbehandlingen. Förarbetena till förordningen talar inte för en sådan tolkning. Själva definitionen av begreppet registrerad i den mening som avses i artikel 4.1 i förordningen, det vill säga en ”identifierad eller identifierbar fysisk person”,(38), har också som jag ser det en helt annan innebörd än att personer som är föremål för en behandling som strider mot bestämmelserna i förordning 2016/679 redan ska vara identifierade när en grupptalan väcks enligt artikel 80.2 i förordningen. Logiskt sett innebär detta att det enligt denna bestämmelse inte kan krävas att en inrättning kan åberopa konkreta fall av enskilt angivna personer för att den ska ha talerätt i enlighet med vad som föreskrivs i denna bestämmelse.

63.      Jag anser att det enda som krävs för att genomföra en grupptalan enligt artikel 80.2 i förordning 2016/679 är att det påstås föreligga en sådan behandling av personuppgifter som strider mot bestämmelser i förordningen som är avsedda att skydda enskildas rättigheter och som således kan påverka rättigheterna för identifierade eller identifierbara personer, utan att inrättningens talerätt ska underordnas en kontroll i varje enskilt fall av huruvida en eller flera bestämda personers rättigheter har kränkts.(39) En sådan talan ska helt enkelt grundas på att rättigheter som en fysisk person kan ha enligt nämnda förordning har kränkts till följd av en behandling av hans eller hennes personuppgifter. Talan syftar inte till att skydda en objektiv rättighet, utan enbart subjektiva rättigheter som registrerade har direkt enligt förordning 2016/679.(40) Syftet med öppningsklausulen i artikel 80.2 i förordningen är med andra ord att göra det möjligt för godkända inrättningar att se till att en tillsynsmyndighet eller en domstol kontrollerar personuppgiftsansvarigas iakttagande av skyddsreglerna för registrerade i nämnda förordning.(41) Ur denna synvinkel är det tillräckligt, för att en inrättning ska ha talerätt enligt denna bestämmelse, att den redogör för en överträdelse av bestämmelser i förordning 2016/679 vilka har till syfte att skydda de registrerades subjektiva rättigheter.

64.      Att tolka artikel 80.2 i förordning 2016/679 så, att en inrättning för att väcka grupptalan utan mandat ska visa eller göra gällande att en bestämd persons rättigheter har kränkts i en given situation, skulle, såsom kommissionen har påpekat, utgöra en alldeles för omfattande begränsning av bestämmelsens tillämpningsområde. Jag anser, i likhet med den portugisiska regeringen och kommissionen, att artikel 80.2 i förordningen ska ges en tolkning som inte förtar dess ändamålsenliga verkan i förhållande till punkt 1 i samma artikel. Jag menar att artikel 80.2 i förordningen följaktligen ska tolkas så, att den sträcker sig längre än till företrädande av enskilda fall, vilket är föremålet för punkt 1 i samma artikel, och gör det möjligt för godkända inrättningar att självständigt företräda kollektiva intressen för personer som är föremål för en sådan behandling av deras personuppgifter som strider mot förordning 2016/679. Den ändamålsenliga verkan av artikel 80.2 i denna förordning skulle bli avsevärt mindre om en inrättning, i likhet med vad som krävs i punkt 1 i denna artikel, i bägge fallen var begränsad till att företräda namngivna och enskilt utpekade personer.

65.      Min tolkning av artikel 80.2 i förordning 2016/679 är för övrigt förenlig med det faktum att en talan om förbudsföreläggande är av förebyggande karaktär och har ett avskräckande syfte samt att den är fristående från varje konkret enskild tvist.(42)

66.      För att inte riskera att skapa två olika standarder i fråga om talerätt för godkända inrättningar för att väcka talan om förbudsföreläggande beroende på om talan grundar sig på en nationell åtgärd som omfattas av tillämpningsområdet för artikel 80.2 i förordning 2016/679 eller av tillämpningsområdet för direktiv 2020/1828, anser jag, även om detta inte är tillämpligt i det nationella målet, att det finns skäl att beakta den omständigheten att det enligt detta direktiv inte krävs att sådana inrättningar ska åberopa namngivna enskilda konsumenter som påverkats av den aktuella överträdelsen(43), utan att de ska åberopa näringsidkarens överträdelser av sådana unionsrättsliga bestämmelser som avses i bilaga I till nämnda direktiv,(44) där förordning 2016/679 för övrigt anges i punkt 56.

67.      Jag menar att synsättet att artikel 80.2 i förordning 2016/679 ska tolkas restriktivt skapar ett felaktigt motsatsförhållande mellan tillvaratagandet av konsumenters kollektiva intressen(45) och rättighetsskyddet för var och en som blir föremål för en behandling som påstås strida mot denna förordning. Tillvaratagandet av konsumenters kollektiva intressen utesluter nämligen inte, som jag ser det, att de subjektiva rättigheter som registrerade har direkt enligt förordning 2016/679 skyddas. Tvärtom inbegriper detta tillvaratagande ett sådant skydd.

68.      Angivelsen i skäl 15 i direktiv 2020/1828, att ”efterlevnadsmekanismer som föreskrivs i eller grundar sig på … förordning [2016/679] i tillämpliga fall fortfarande [kan] användas för att skydda konsumenternas kollektiva intressen”,(46) ser jag för övrigt som en bekräftelse på att en grupptalan enligt artikel 80.2 i denna förordning verkligen kan vara avsedd att skydda sådana intressen.

69.      Min slutsats av det ovan anförda är att medlemsstaterna enligt artikel 80.2 i förordning 2016/679 tillåts att föreskriva en möjlighet för godkända inrättningar att utan mandat av de registrerade väcka grupptalan i syfte att skydda konsumenternas kollektiva intressen, om de gör gällande en överträdelse av bestämmelser i denna förordning som syftar till att ge de registrerade subjektiva rättigheter.

70.      Så är också fallet med den talan om förbudsföreläggande som Bundesverband har väckt mot Facebook Ireland.

71.      Den hänskjutande domstolen menar nämligen att Facebook inte har fullgjort sin skyldighet enligt artikel 12.1 första meningen i förordning 2016/679, vilken består i att ge den berörda personen i en koncis, klar och tydlig, begriplig och lätt tillgänglig form den information som avses i artikel 13.1 c och e i förordningen, vilken avser ändamålet med behandlingen av uppgifterna och den mottagare som ska ta del av personuppgifterna. Dessa bestämmelser tillhör utan tvekan den kategori av bestämmelser som ger de berörda personerna subjektiva rättigheter, vilket bland annat bekräftas av det faktum att de återfinns i kapitel III i förordningen, som har rubriken ”Den registrerades rättigheter”. Skyddet för dessa rättigheter kan således göras gällande antingen direkt av de berörda personerna eller av en godkänd inrättning enligt artikel 80.1 i förordning nr 2016/679 eller enligt nationella genomförandebestämmelser till artikel 80.2 i förordningen.

72.      Jag anser även att artikel 80.2 i förordning 2016/679 inte utgör hinder för nationella bestämmelser som ger en konsumentskyddsorganisation rätt att väcka talan om förbudsföreläggande för att säkerställa iakttagandet av rättigheter som medges genom förordningen med hjälp av regler som syftar till att skydda konsumenter eller motverka otillbörliga affärsmetoder. Sådana regler kan nämligen innehålla bestämmelser som liknar dem i förordningen, särskilt vad gäller information till de registrerade om behandlingen av deras personuppgifter.(47) Detta innebär att överträdelse av en bestämmelse om skydd av personuppgifter samtidigt kan medföra överträdelse av regler om konsumentskydd eller om otillbörliga affärsmetoder. Såsom artikel 80.2 i förordning nr 2016/679 är formulerad finns det ingenting som hindrar ett partiellt genomförande av denna öppningsklausul, i den mån en grupptalan syftar till att skydda rättigheter som de registrerade har enligt denna förordning i egenskap av konsumenter.(48)

73.      Den föreslagna tolkningen av artikel 80.2 i förordning 2016/679 är enligt min mening den mest lämpade för att uppnå de mål som eftersträvas med denna förordning.

74.      Domstolen har i detta avseende framhållit att ”unionens institutioner, organ och byråer samt medlemsstaternas behöriga myndigheter genom förordning 2016/679 ges i uppgift – vilket följer av artikel 1.2 jämförd med skälen 10, 11 och 13 i förordningen – att säkerställa en hög skyddsnivå för de rättigheter som garanteras i artikel 16 FEUF och artikel 8 i [Europeiska unionens stadga om de grundläggande rättigheterna]”.(49) Förordningen syftar också till att ”[skydda] fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter”.(50)

75.      Det skulle strida mot syftet att säkerställa en hög skyddsnivå för personuppgifter att hindra medlemsstaterna från att vidta åtgärder som, samtidigt som de syftar till att skydda konsumenterna, även bidrar till att uppnå målet att skydda personuppgifter. Det som var riktigt i fråga om direktiv 95/46 kan fortfarande göras gällande efter det att förordning 2016/679 har trätt i kraft. Det faktum att sådana organisationer ges talerätt ökar möjligheterna att uppnå lagstiftningens syften och genomföra direktivet, eftersom det bidrar till att stärka den registrerades rättigheter att grupptalan tillåts.(51)

76.      Sammanslutningars tillvaratagande av konsumenternas kollektiva intressen är således särskilt lämpligt i förhållande till målet att åstadkomma en hög skyddsnivå för personuppgifter. Den preventiva funktionen hos en talan som väcks av en sådan sammanslutning skulle i detta avseende inte kunna säkerställas om en grupptalan enligt artikel 80.2 i förordning 2016/679 inte gjorde det möjligt att åberopa en kränkning av rättigheter för en person som enskilt och konkret påverkas av denna kränkning.

77.      En talan om förbudsföreläggande som väckts av en konsumentskyddsorganisation, såsom Bundesverband, bidrar således obestridligen till att säkerställa en effektiv tillämpning av de rättigheter som skyddas genom förordning nr 2016/679.(52)

78.      Dessutom vore det minst sagt paradoxalt om den förstärkning av tillsynsmedlen för skydd av personuppgifter som unionslagstiftaren ville uppnå med förordning 2016/679 i slutändan skulle leda till en sänkt skyddsnivå jämfört med vad medlemsstaterna kunde säkerställa när direktiv 95/46 var i kraft.

79.      Det är riktigt att bestämmelserna om otillbörliga affärsmetoder och bestämmelserna om skydd av personuppgifter har utvecklats separat i unionsrätten, till skillnad från vad som är fallet i Amerikas förenta stater. Dessa båda områden är således föremål för olika regelverk.

80.      Det finns emellertid ett samspel mellan de båda områdena, vilket innebär att åtgärder som vidtas inom ramen för lagstiftningen om skydd av personuppgifter samtidigt och indirekt kan bidra till att få en otillbörlig affärsmetod att upphöra. Även det omvända gäller.(53) En koppling mellan skyddet av personuppgifter, med avseende på samtycket till behandling av dessa uppgifter, och konsumentskyddet kommer också till uttryck i själva förordning 2016/679, bland annat i skäl 42. Kommissionen har dessutom framhållit samspelet mellan unionsbestämmelserna om skydd av personuppgifter och direktiv 2005/29/EG.(54)

81.      Samspel mellan rätten avseende skydd av personuppgifter, konsumenträtten och konkurrensrätten är vanligt förekommande och talrika, eftersom samma beteende samtidigt kan omfattas av rättsreglerna på dessa olika områden. Sådana samspel bidrar till att effektivisera skyddet av personuppgifter.(55)

82.      Det är visserligen riktigt att de som åtnjuter rättigheter enligt förordning 2016/679 inte enbart kan vara konsumenter, eftersom denna förordning inte grundar sig på en konsumentcentrerad uppfattning om skyddet för fysiska personer med avseende på behandling av personuppgifter,(56) utan på uppfattningen att detta skydd är en grundläggande rättighet i enlighet med artikel 8 i stadgan om de grundläggande rättigheterna, såsom anges bland annat i skäl 1 och i artikel 1.2 i förordningen.(57)

83.      Icke desto mindre är det i den digitala ekonomins era ofta konsumenter som registreras. Det är skälet till att regler som är avsedda att skydda konsumenter ofta används för att garantera konsumenterna ett skydd mot att deras personuppgifter behandlas i strid med bestämmelserna i förordning nr 2016/679.

84.      Efter denna bedömning kan jag konstatera att det kan föreligga en överlappning mellan en grupptalan om förbudsföreläggande enligt artikel 80.2 i förordning 2016/679 och en motsvarande grupptalan enligt direktiv 2020/1828 när de registrerade, i den mening som avses i förordningen, även är konsumenter, i den mening som avses i artikel 3.1 i direktivet.(58) Jag ser detta som ett tecken på en komplementaritet och en konvergens mellan rätten avseende skydd av personuppgifter och andra rättsområden, till exempel konsumenträtt och konkurrensrätt. Genom att anta nämnda direktiv har unionslagstiftaren tagit detta ännu längre genom att uttryckligen förena skyddet av konsumenternas kollektiva intressen med iakttagandet av förordning 2016/679. Detta kan inte annat än stärka den effektiva tillämpningen av förordningens regler.

V.      Förslag till avgörande

85.      Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar de tolkningsfrågor som ställts av Bundesgerichtshof (Federala högsta domstolen, Tyskland) på följande sätt:

Artikel 80.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att den inte utgör hinder för nationell lagstiftning enligt vilken det är möjligt för konsumentskyddsorganisationer att väcka talan mot den som påstås kränka skyddet av personuppgifter genom att åberopa förbudet mot otillbörliga affärsmetoder, överträdelse av en konsumentskyddslag eller förbudet mot användning av ogiltiga allmänna villkor, förutsatt att den aktuella grupptalan avser iakttagande av rättigheter som tillkommer de personer som är föremål för den omtvistade behandlingen direkt enligt denna förordning.

1      Originalspråk: franska.

2      Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).

3      Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

4      Se dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629) (nedan kallad domen i målet Fashion ID).

5      Se även skäl 142 i denna förordning.

6      BGBl. 2004 I, s. 1414.

7      BGBI. 2001 I, s. 3138 och 3173.

8      EUT L 110, 2009, s. 30.

9      BGBI. 2007 I, s. 179.

10      Att registrerade kan företrädas anges även i artikel 67 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39) och i artikel 55 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89). I båda dessa fall rör det sig om ett företrädande med fullmakt.

11      Denna tendens, som kom till konkret uttryck bland annat genom direktiv 2009/22, har lett fram till Europaparlamentets och rådets nyligen antagna direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22/EG (EUT L 409, 2020, s. 1). Fristen för införlivande av det sistnämnda direktivet är fastställd till den 25 december 2022. Se Pato, A., ”Collective Redress Mechanisms in the EU”, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, London, 2019, s. 45–117. Se även Gsell, B., ”The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward”, Common Market Law Review, vol. 58, Issue 5, Kluwer Law International, Alphen aan den Rijn, 2021, s. 1365–1400.

12      Se domen i mål Fashion ID (punkt 63 och domslutet).

13      Se domen i mål Fashion ID (punkt 47).

14      Se domen i mål Fashion ID (punkt 48).

15      Se domen i mål Fashion ID (punkt 49).

16      Se domen i mål Fashion ID (punkt 50).

17      Se domen i mål Fashion ID (punkt 51).

18      Se domen i mål Fashion ID (punkt 56 och där angiven rättspraxis).

19      Se domen i mål Fashion ID (punkt 57 och där angiven rättspraxis).

20      Se domen i mål Fashion ID (punkt 59).

21      Min kursivering.

22      Såsom domstolen framhöll i domen av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkt 44).

23      Det framgår av ingressen till förordning 2016/679 att den antogs med stöd av artikel 16 FEUF, i vilken det i punkt 2 bland annat anges att Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter.

24      För att fastställa räckvidden av den harmonisering som sker genom en sådan bestämmelse som förordning 2016/679 krävs ”en mikroanalys där man undersöker en specifik bestämmelse eller i bästa fall en specifik och väldefinierad del av unionsrätten”; se förslag till avgörande av generaladvokaten Bobek i målet Dzivev m.fl. (C‑310/16, EU:C:2018:623, punkt 74). Se även Mišćenić, E., och Hoffmann, A.-L., ”The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)”, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Nr. 4, s. 44–61, där det framhålls att ”[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them” (s. 49).

25      Se dom av den 6 november 2003, Lindqvist (C‑101/01, EU:C:2003:596, punkt 96).

26      Se, angående direktiv 95/46, dom av den 6 november 2003, Lindqvist (C‑101/01, EU:C:2003:596, punkt 97). I motsats till den allmänna uppfattningen behöver unionslagstiftarens val att använda sig av en förordning i stället för ett direktiv inte leda till en fullständig harmonisering på det aktuella området. Se Mišćenić, E., och Hoffmann, A.-L., op. cit., där det anges att ”an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules” (s. 48).

27      Se, bland annat, dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkt 110 och där angiven rättspraxis). Se även, beträffande ett område som tidigare varit föremål för ett direktiv, dom av den 21 december 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, punkt 42), i vilken domstolen angav att ”[d]en omständigheten att unionsbestämmelserna om skydd av djur under transport nu anges i en förordning innebär således inte nödvändigtvis att det hädanefter är förbjudet att anta nationella tillämpningsbestämmelser till denna förordning”.

28      Se dom av den 27 oktober 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29      Domstolen har således medgett att en medlemsstat som valt att inte använda sig av en möjlighet som ges i en förordning inte åsidosätter artikel 288 FEUF. Se dom av den 17 december 2015, Imtech Marine Belgium (C‑300/14, EU:C:2015:825, punkterna 27–31). Se även, för en förordning om införande av exportbidrag som medlemsstaterna kan bevilja eller neka, dom av den 27 oktober 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30      Se, beträffande dessa öppningsklausuler, Wagner, J., och Benecke, A., ”National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law”, European Data Protection Law Review, Lexxion, Berlin, vol. 2, Nr. 3, 2016, s. 353–361.

31      Se, bland annat, artiklarna 51 och 84 i förordning 2016/679.

32      Se, bland annat, artikel 6.2 och 6.3, artikel 8.1 andra stycket och artiklarna 85–89 i förordning 2016/679.

33      Se Mišćenić, E., och Hoffmann, A.-L., op. cit., där det påpekas att ”[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, … the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses … open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation” (s. 50 och 51).

34      I artikel 28.4 i direktiv 95/46 föreskrevs endast att en sammanslutning kunde företräda en person som gjort gällande att dennes rättigheter kränkts i samband med behandling av personuppgifter och lämna in ett klagomål till en tillsynsmyndighet.

35      Dock med undantag för en grupptalan med fullmakt i syfte att erhålla gottgörelse på de registrerades vägnar, vilket fortfarande är frivilligt för medlemsstaterna.

36      Se, analogt, dom av den 21 december 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, punkt 43).

37      Se Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburg, 2019, s. 98–106. Författaren menar att ”[t]he number of actors who potentially have standing to sue is broad” och att ”[c]onsumer associations will usually meet those requirements easily” (s. 99).

38      Min kursivering. Enligt samma bestämmelse är ”[e]n identifierbar fysisk person … en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”. Såsom framhålls i Martial-Braz, N., ”Le champ d’application du RGPD”, i Bensamoun, A., och Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, s. 19–33, ska ”identifierbar förstås i vid bemärkelse, eftersom kriteriet om identifiering av en person avser samtliga medel som rimligen kan användas för att identifiera en person” (s. 24). Se bland annat, beträffande begreppet identifierbar person enligt artikel 2 a i direktiv 95/46, dom av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779).

39      Se Boehm, F., ”Artikel 80 Vertretung von betroffenen Personen”, i Simitis, S., Hornung, G., och Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, i synnerhet punkt 13.

40      Se Frenzel, E. M., ”Art. 80 Vertretung von betroffenen Personen”, i Paal, B. P., och Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3:e utgåvan, C.H. Beck, Munchen, 2021, i synnerhet punkt 11, samt Kreße, B., ”Artikel 80 Vertretung von betroffenen Personen”, i Sydow, G., Europäische Datenschutzverordnung, 2:a utgåvan, Nomos, Baden-Baden, 2018, i synnerhet punkt 13.

41      Se Moos, F., och Schefzig, J., ”Art. 80 Vertretung von betroffenen Personen”, i Taeger, J., och Gabel, D., Kommentar DSGVO – BDSG, 3:e utgåvan, Deutscher Fachverlag, Frankfurt am Main, 2019, i synnerhet punkt 22.

42      Se, bland annat, angående oskäliga villkor i avtal som sluts mellan näringsidkare och konsumenter, dom av den 14 april 2016, Sales Sinués och Drame Ba (C‑381/14 och C‑385/14, EU:C:2016:252, punkt 29).

43      Se skäl 33 och artikel 8.3 a i direktiv 2020/1828, där det anges att ”[d]en godkända inrättningen [inte ska] vara skyldig att bevisa … Faktisk förlust eller skada som åsamkats de enskilda konsumenter som berörs av överträdelsen enligt artikel 2.1”. Artikel 7.2 i detta direktiv föreskriver visserligen att den godkända inrättningen ska ”förse domstolen eller den administrativa myndigheten med tillräckliga uppgifter om de konsumenter som berörs av grupptalan”, men det följer av skäl 34 i nämnda direktiv att dessa uppgifter, i vilka detaljnivån kan variera beroende på den åtgärd som den godkända inrättningen ansöker, inte ska avse namngivna enskilda konsumenter som påverkas av den aktuella överträdelsen, utan i stället sådana uppgifter som den plats där den skada som drabbar konsumenterna inträffade eller kan inträffa eller vilken grupp av konsumenter som berörs av grupptalan (se även skäl 65 i direktiv 2020/1828). För övrigt anges det i skäl 49 i direktiv 2020/1828 att den godkända inrättningen, även när syftet med en grupptalan är att utverka gottgörelse, ”[inte bör] vara skyldig att individuellt identifiera varje konsument som berörs av grupptalan för att inleda grupptalan”. Se, i detta avseende, Gsell, B., op. cit., särskilt s. 1370.

44      Se artikel 2.1 i direktiv 2020/1828.

45      Se skäl 3 i direktiv 2009/22, där det anges att en förbudstalan som omfattas av dess tillämpningsområde är avsedd att skydda ”konsumenternas kollektiva intressen”, vilka definieras som ”sådana intressen som inte innefattar kumulering av enskildas intressen, vilka enskilda har skadats genom en överträdelse”. I artikel 3.3 i direktiv 2020/1828 definieras begreppet ”konsumenternas kollektiva intressen” som ”konsumenternas allmänna intresse och, i synnerhet vad gäller åtgärder för gottgörelse, en grupp konsumenters intressen”.

46      Min kursivering.

47      Se Helberger, N., Zuiderveen Borgesius, F., och Reyna, A., ”The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law”, Common Market Law Review, vol. 54, Issue 5, Kluwer Law International, Alphen aan den Rijn, 2017, s. 1427–1465, där det framhålls att ”[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual” (s. 1437).

48      Se Neun, A., och Lubitzsch, K., ”Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz”, Betriebs-Berater, Deutscher Fachverlag, Frankfurt am Main, 2017, s. 2563–2569, särskilt s. 2567.

49      Se, bland annat, dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkt 45).

50      Se, bland annat, dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkt 91).

51      Se förslag till avgörande av generaladvokaten Bobek i målet Fashion ID (C‑40/17, EU:C:2018:1039, punkt 33).

52      Se, som exempel på mål där talan väckts av konsumentskyddsorganisationer, Helberger, N., Zuiderveen Borgesius, F., och Reyna, A., op. cit., särskilt s. 1452 och 1453.

53      Se, beträffande komplementariteten mellan åtgärder för skydd av personuppgifter och åtgärder som syftar till att få otillbörliga affärsmetoder att upphöra, van Eijk, N., Hoofnagle, C.J., och Kannekens, E., ”Unfair Commercial Practices: A Complementary Approach to Privacy Protection”, European Data Protection Law Review, Lexxion, Berlin, vol. 3, nr. 3, 2017, s. 325–337, där det framhålls att ”[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective” (s. 336).

54      Europaparlamentets och rådets direktiv av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder) (EUT L 149, 2005, s. 22). Se arbetsdokument från kommissionens avdelningar – Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder ‐ Följedokument till meddelandet från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt regionkommittén ‐ Ett helhetsgrepp på gränsöverskridande e-handel till nytta för enskilda och företag i EU [SWD(2016) 163 final], särskilt punkt 1.4.10, s. 26–31. Där betonar kommissionen behovet av en korrekt behandling av uppgifter, vilket innebär att den registrerade ska tillhandahållas relevant information, bland annat om syftet med den aktuella behandlingen av personuppgifter (s. 28). Kommissionen anger även att ”[o]m en näringsidkare bryter mot [direktiv 95/46] eller [Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37)] innebär det i sig inte alltid att affärsmetoden även utgör en överträdelse av [direktiv 2005/29]”. Kommissionen menar emellertid att ”överträdelser av dataskyddsbestämmelserna [dock bör] övervägas vid bedömningar av om affärsmetoden i fråga är otillbörlig i allmänhet enligt [direktiv 2005/29], särskilt i situationer där näringsidkaren behandlar konsumentuppgifter i strid mot dataskyddskraven, dvs. för direkt marknadsföring eller andra kommersiella ändamål som profilering, personlig prissättning eller stora dataapplikationer” (s. 30).

55      Se, bland annat, Helberger, N., Zuiderveen Borgesius, F., och Reyna, A., op. cit., där följande framhålls: ”data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets” (s. 1429). Se även van Eijk, N., Hoofnagle, C.J., och Kannekens, E., op. cit., särskilt s. 336. Komplementariteten mellan reglerna om skydd av personuppgifter inom sektorn för elektronisk kommunikation och reglerna om förbud mot företags otillbörliga affärsmetoder gentemot konsumenter illustreras vidare i mitt förslag till avgörande i målet StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56      Se Martial-Braz, N., op. cit., särskilt s. 23.

57      Se dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkt 44).

58      Se skäl 14 i direktiv 2020/1828, där det anges att ”[direktivet endast bör] skydda intressena för fysiska personer som har skadats eller som kan skadas av [överträdelser av de unionsrättsliga bestämmelser som avses i bilaga I] om dessa personer är konsumenter enligt detta direktiv”.