CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:322

DOMSTOLENS DOM (Tredje Afdeling)

28. april 2022 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 80 – repræsentation af registrerede ved en sammenslutning, der ikke arbejder med gevinst for øje – gruppesøgsmål anlagt af en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, uden bemyndigelse og uafhængigt af, om en registrerets konkrete rettigheder er blevet krænket – søgsmål støttet på forbuddet mod urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser«

I sag C-319/20,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Bundesgerichtshof (forbundsdomstol, Tyskland) ved afgørelse af 28. maj 2020, indgået til Domstolen den 15. juli 2020, i sagen:

Meta Platforms Ireland Limited, tidligere Facebook Ireland Limited,

mod

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,

har

DOMSTOLEN (Tredje Afdeling),

sammensat af formanden for Anden Afdeling, A. Prechal, som fungerende formand for Tredje Afdeling, og dommerne J. Passer, F. Biltgen, L.S. Rossi (refererende dommer) og N. Wahl,

generaladvokat: J. Richard de la Tour,

justitssekretær: fuldmægtig M. Krausenböck,

på grundlag af den skriftlige forhandling og efter retsmødet den 23. september 2021,

efter at der er afgivet indlæg af:

– Meta Platforms Ireland Limited ved Rechtsanwälte H.-G. Kamann, M. Braun og H. Frey samt ved Rechtsanwältin V. Wettner,

– Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. ved Rechtsanwalt P. Wassermann,

– den tyske regering ved D. Klebs og J. Möller, som befuldmægtigede,

– den østrigske regering ved A. Posch, G. Kunnert og J. Schmoll, som befuldmægtigede,

– den portugisiske regering ved L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa og L. Medeiros, som befuldmægtigede,

– Europa-Kommissionen, først ved F. Erlbacher, H. Kranenborg og D. Nardi, derefter ved F. Erlbacher og H. Kranenborg, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 2. december 2021,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 80, stk. 1 og 2, og artikel 84, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2 Denne anmodning er blevet indgivet i forbindelse med en tvist mellem på den ene side Meta Platforms Ireland Limited, tidligere Facebook Ireland Limited, der har hjemsted i Irland, og på den anden side Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (forbundssammenslutning for forbrugercentraler og ‑sammenslutninger, Tyskland) (herefter »Bundesverband«) vedrørende Meta Platforms Irelands overtrædelse af den tyske lovgivning om beskyttelse af personoplysninger, som samtidig udgør en urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse og en tilsidesættelse af forbuddet mod at anvende ugyldige almindelige forretningsbetingelser.

Retsforskrifter

EU-retten

Databeskyttelsesforordningen

3 9., 10., 13. og 142. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»(9) Målsætningerne og principperne i [Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31)] er stadig gyldige, men direktivet har ikke forhindret en fragmentering af gennemførelsen af databeskyttelse i Unionen, manglende retssikkerhed eller en udbredt offentlig opfattelse af, at der er betydelige risici for beskyttelsen af fysiske personer, navnlig i forbindelse med onlineaktivitet. Forskelle i niveauet for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger, i forbindelse med behandling af personoplysninger i medlemsstaterne, kan forhindre fri udveksling af personoplysninger i Unionen. Disse forskelle kan derfor udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på EU-plan, virke konkurrenceforvridende og hindre myndighederne i at varetage de opgaver, de er pålagt i medfør af EU-retten. En sådan forskel i beskyttelsesniveauet skyldes forskelle i gennemførelsen og anvendelsen af direktiv [95/46].

(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. […]

[…]

(13) For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at hindre, at forskelle hæmmer den frie udveksling af personoplysninger på det indre marked, er der behov for en forordning for at skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksomheder og små og mellemstore virksomheder, at give fysiske personer i alle medlemsstaterne det samme niveau af rettigheder, som kan håndhæves, og forpligtelser og ansvar for dataansvarlige og databehandlere og at sikre konsekvent tilsyn med behandling af personoplysninger og tilsvarende sanktioner i alle medlemsstaterne samt effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. […]

[…]

(142) Hvis en registreret finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, bør den pågældende have ret til at give et organ, en organisation eller en sammenslutning, som ikke arbejder med gevinst for øje, som er etableret i overensstemmelse med en medlemsstats ret, hvis vedtægtsmæssige formål er i samfundets interesse, og som beskæftiger sig med beskyttelse af personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til en tilsynsmyndighed, udøve adgangen til retsmidler på vegne af vedkommende eller, hvis det er fastsat i medlemsstaternes nationale ret, udøve retten til erstatning på vegne af vedkommende. En medlemsstat kan fastsætte, at et sådant organ eller en sådan organisation eller sammenslutning skal have ret til uafhængigt af en registrerets bemyndigelse at indgive en klage i den pågældende medlemsstat og have adgang til effektive retsmidler, hvis det eller den har grund til at formode, at en registrerets rettigheder er blevet krænket som følge af behandling af personoplysninger, der overtræder denne forordning. Dette organ eller denne organisation eller sammenslutning kan ikke kræve erstatning på en registrerets vegne uafhængigt af bemyndigelse fra den registrerede.«

4 Denne forordnings artikel 1 med overskriften »Genstand og formål« bestemmer i stk. 1:

»I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.«

5 Databeskyttelsesforordningens artikel 4, stk. 1, har følgende ordlyd:

»I denne forordning forstås ved:

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.«

6 Databeskyttelsesforordningens kapitel III, som indeholder artikel 12-23, har overskriften »Den registreredes rettigheder«.

7 Forordningens artikel 12 med overskriften »Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder« bestemmer i stk. 1:

»Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 og enhver meddelelse i henhold til artikel 15-22 og 34 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet godtgøres med andre midler.«

8 Databeskyttelsesforordningens artikel 13 med overskriften »Oplysningspligt ved indsamling af personoplysninger hos den registrerede« bestemmer i stk. 1, litra c) og e):

»Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

[…]

c) formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen

[…]

e) eventuelle modtagere eller kategorier af modtagere af personoplysningerne […]«

9 Den nævnte forordnings kapitel VIII, som indeholder artikel 77-84, har overskriften »Retsmidler, ansvar og sanktioner«.

10 Databeskyttelsesforordningens artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« bestemmer i stk. 1:

»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.«

11 Databeskyttelsesforordningens artikel 78 med overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed« bestemmer i stk. 1:

»Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.«

12 Databeskyttelsesforordningens artikel 79 med overskriften »Adgang til effektive retsmidler over for en dataansvarlig eller databehandler« bestemmer i stk. 1:

»Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.«

13 Databeskyttelsesforordningens artikel 80 med overskriften »Repræsentation af registrerede« har følgende ordlyd:

»1. Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 77, 78 og 79, på sine vegne og til, hvis det er fastsat i medlemsstaternes nationale ret, at udøve retten til at modtage erstatning som omhandlet i artikel 82 på sine vegne.

2. Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis den/det har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.«

14 Denne forordnings artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« bestemmer i stk. 1:

»Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.«

15 Databeskyttelsesforordningens artikel 84 med overskriften »Sanktioner« bestemmer i stk. 1:

»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.«

Direktiv 2005/29/EF

16 Formålet med Europa-Parlamentets og Rådets direktiv 2005/29/EF af 11. maj 2005 om virksomheders urimelige handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (»direktivet om urimelig handelspraksis«) (EUT 2005, L 149, s. 22) er ifølge direktivets artikel 1 at bidrage til et velfungerende indre marked og opnå et højt forbrugerbeskyttelsesniveau gennem tilnærmelse af medlemsstaternes love og administrative bestemmelser om urimelig handelspraksis, der skader forbrugernes økonomiske interesser.

17 Artikel 5 i direktiv 2005/29 med overskriften »Forbud mod urimelig handelspraksis« har følgende ordlyd:

»1. Urimelig handelspraksis forbydes.

2. En handelspraksis er urimelig, hvis:

a) den er i modstrid med kravet om erhvervsmæssig diligenspligt

b) væsentligt forvrider eller kan forventes væsentligt at forvride den økonomiske adfærd i forhold til produktet hos gennemsnitsforbrugeren, som bliver genstand for den, eller som den er rettet mod, eller, hvis den pågældende handelspraksis rettes mod en særlig gruppe af forbrugere, hos et gennemsnitligt medlem af denne gruppe.

[…]

5. I bilag I findes fortegnelsen over de former for handelspraksis, som under alle omstændigheder vil blive betragtet som urimelige. […]«

18 Dette direktivs artikel 11, stk. 1, med overskriften »Håndhævelse« bestemmer:

»1. Medlemsstaterne påser, at der findes tilstrækkelige og effektive midler til bekæmpelse af urimelig handelspraksis og til at sikre, at dette direktivs bestemmelser overholdes i overensstemmelse med forbrugernes interesse.

Disse midler skal omfatte retsforskrifter, hvorefter personer eller organisationer, herunder konkurrenter, der i henhold til medlemsstaternes lovgivning har en legitim interesse i at bekæmpe urimelig handelspraksis, får adgang til:

a) at indbringe en sag for retten i anledning af sådan urimelig handelspraksis

og/eller

b) at indbringe sådan urimelig handelspraksis for en administrativ myndighed, som har kompetence til enten at træffe afgørelse om klager eller indlede passende retsforfølgning.

Den enkelte medlemsstat afgør selv, hvilke af disse midler der skal stå til rådighed, og om domstolene eller de administrative myndigheder skal have beføjelse til forudgående at kunne kræve sagen forelagt en anden eksisterende klageinstans, herunder de i artikel 10 omhandlede. Disse midler skal stå til rådighed, uanset om de berørte forbrugere befinder sig på den medlemsstats område, hvor den erhvervsdrivende er etableret, eller i en anden medlemsstat.

[…]«

19 Bilag I til direktiv 2005/29, som indeholder fortegnelsen over de former for handelspraksis, der under alle omstændigheder anses for urimelige, bestemmer i punkt 26:

»Der foretages vedholdende og uønskede henvendelser pr. telefon, telefax, e-mail eller andre fjernkommunikationsmedier, idet der dog gælder en undtagelse for henvendelser med henblik på at håndhæve en kontraktlig forpligtelse under omstændigheder og i et omfang, der er er berettiget i henhold til national lovgivning. Dette berører ikke […] direktiv [95/46][…]«

Direktiv 2009/22/EF

20 Artikel 1 i Europa-Parlamentets og Rådets direktiv 2009/22/EF af 23. april 2009 om søgsmål med påstand om forbud på området beskyttelse af forbrugernes interesser (EUT 2009, L 110, s. 30) med overskriften »Anvendelsesområde« har følgende ordlyd:

»1. Formålet med dette direktiv er en indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser vedrørende søgsmål med påstand om forbud som omhandlet i artikel 2 til beskyttelse af forbrugernes kollektive interesser som omhandlet i direktiverne i bilag I, således at det sikres, at det indre marked fungerer korrekt.

2. I dette direktiv forstås ved overtrædelse enhver handling, som skader de i stk. 1 nævnte kollektive interesser, og som er i modstrid med de i bilag I anførte direktiver som gennemført i medlemsstaternes nationale ret.«

21 Artikel 7 i direktiv 2009/22 med overskriften »Bestemmelser, der sikrer større handlefrihed« har følgende ordlyd:

»Dette direktiv er ikke til hinder for, at medlemsstaterne indfører eller opretholder bestemmelser, der på nationalt plan sikrer de godkendte organer/organisationer samt alle andre berørte personer større handlefrihed.«

22 Bilag I til direktiv 2009/22 indeholder listen over EU-direktiver, der er omfattet af dets artikel 1. I punkt 11 i dette bilag nævnes direktiv 2005/29.

Direktiv (EU) 2020/1828

23 Følgende fremgår af 11., 13. og 15. betragtning til Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25. november 2020 om adgang til anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF (EUT 2020, L 409, s. 1):

»(11) Dette direktiv bør ikke erstatte eksisterende nationale processuelle ordninger til beskyttelse af forbrugernes kollektive eller individuelle interesser. Under hensyntagen til medlemsstaternes retstraditioner overlades det til dem at beslutte, om de vil udforme den processuelle ordning for anlæggelse af gruppesøgsmål, der er påkrævet i dette direktiv, som del af en eksisterende eller som del af en ny processuel ordning for kollektive foranstaltninger om påbud eller genopretning eller som en særskilt ordning, for så vidt som mindst én national processuel ordning for anlæggelse af gruppesøgsmål er i overensstemmelse med dette direktiv. […] Hvis der er indført processuelle ordninger på nationalt plan ud over den processuelle ordning, der er påkrævet i dette direktiv, bør det godkendte organ/den godkendte organisation kunne vælge, hvilken processuel ordning der skal anvendes.

[…]

(13) Dette direktivs anvendelsesområde bør afspejle den seneste udvikling på forbrugerbeskyttelsesområdet. Da forbrugere nu handler på et bredere og stadigt mere digitaliseret marked, skal der for at opnå et højt forbrugerbeskyttelsesniveau være krav om, at områder som databeskyttelse, finansielle tjenesteydelser, rejser og turisme, energi og telekommunikation omfattes af direktivet i tillæg til den almindelige forbrugerbeskyttelsesret. […]

[…]

(15) Dette direktiv bør ikke berøre de retsakter, der er opført i bilag I, og bør derfor ikke ændre eller udvide definitionerne fastsat i disse retsakter eller erstatte eventuelle håndhævelsesmekanismer, som de pågældende retsakter måtte indeholde. [F.eks.] kan de håndhævelsesmekanismer, der er fastsat i eller baseret på [databeskyttelsesforordningen], fortsat anvendes til beskyttelse af forbrugernes kollektive interesser, hvor det er relevant.«

24 Dette direktivs artikel 2 med overskriften »Anvendelsesområde« bestemmer følgende i stk. 1:

»Dette direktiv finder anvendelse på gruppesøgsmål, som anlægges som følge af erhvervsdrivendes overtrædelser af de EU-retlige bestemmelser, der er omhandlet i bilag I, herunder sådanne bestemmelser, som [er] gennemført i national ret, og som skader eller ville kunne skade forbrugernes kollektive interesser. Dette direktiv berører ikke de EU-retlige bestemmelser, der er omhandlet i bilag I. […]«

25 Det nævnte direktivs artikel 24, der har overskriften »Gennemførelse«, bestemmer i stk. 1:

»Medlemsstaterne vedtager og offentliggør senest den 25. december 2022 de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De underretter straks Kommissionen herom.

De anvender disse foranstaltninger fra den 25. juni 2023.

[…]«

26 Bilag I til direktiv 2020/1828, som indeholder listen over de i dette direktivs artikel 2, stk. 1, omhandlede EU-retlige bestemmelser, nævner i punkt 56 databeskyttelsesforordningen.

Tysk ret

Lov om søgsmål med påstand om forbud

27 § 2 i Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (lov om søgsmål med påstand om forbud i forbindelse med overtrædelser af lovgivningen om forbrugerrettigheder og andre love), af 26. november 2001 (BGBl. 2001 I, s. 3138) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »lov om søgsmål med påstand om forbud«) har følgende ordlyd:

»(1) Ud fra forbrugerbeskyttelseshensyn kan der nedlægges forbud over for en person, der på anden måde end ved anvendelse eller anbefaling af almindelige forretningsbetingelser tilsidesætter forskrifter, der tjener til forbrugerbeskyttelse (forbrugerbeskyttelseslove) […]

(2) Forbrugerbeskyttelseslove i denne bestemmelses forstand er navnlig:

[…]

11. bestemmelserne om lovligheden af

a) en virksomheds indsamling af en forbrugers personoplysninger eller

b) behandling eller anvendelse af en forbrugers personoplysninger, som er indsamlet af en erhvervsdrivende,

såfremt oplysningerne indsamles, behandles eller anvendes til reklameformål, markeds- og opinionsforskning, drift af et oplysningsbureau, udarbejdelse af personligheds- og brugerprofiler, anden handel med oplysninger eller til sammenlignelige kommercielle formål.«

28 Bundesgerichtshof (forbundsdomstol, Tyskland) har anført, at organer, der har søgsmålskompetence som omhandlet i § 4 lov om søgsmål med påstand om forbud, i henhold til denne lovs § 3, stk. 1, første punktum, nr. 1, i overensstemmelse med den nævnte lovs § 1 dels kan nedlægge påstand om, at anvendelsen af ugyldige almindelige forretningsbetingelser i henhold til § 307 i Bürgerliches Gesetzbuch (borgerlig lovbog) forbydes, dels kan nedlægge påstand om, at overtrædelser af forbrugerbeskyttelseslovgivningen i henhold til samme lovs § 2, stk. 2, forbydes.

Lov om illoyal konkurrence

29 § 3, stk. 1, i Gesetz gegen den unlauteren Wettbewerb (lov om illoyal konkurrence) af 3. juli 2004 (BGBl. 2004 I, s. 1414) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »lov om illoyal konkurrence«) fastsætter:

»Urimelig handelspraksis er ulovlig.«

30 § 3a i lov om illoyal konkurrence har følgende ordlyd:

»Urimeligt handler den, som handler i strid med en lovbestemmelse, der bl.a. har til formål at regulere adfærden på markedet i markedsaktørernes interesse, for så vidt som overtrædelsen mærkbart kan skade forbrugernes, øvrige markedsaktørers eller konkurrenters interesser.«

31 § 8 i lov om illoyal konkurrence bestemmer:

»(1) Den, der gør sig skyldig i ulovlig handelspraksis som omhandlet i § 3 eller § 7, kan meddeles påbud om at ophøre med den retsstridige handling og kan, såfremt der er risiko for gentagelse, meddeles forbud mod denne. […]

[…]

(3) Påbud og forbud i henhold til stk. 1 kan begæres af:

[…]

3. godkendte organer/organisationer, som dokumenterer, at de er optaget på listen over godkendte organer/organisationer i henhold til § 4 i [lov om søgsmål med påstand om forbud] […]«

Lov om elektroniske medier

32 Bundesgerichtshof (forbundsdomstol) har anført, at § 13, stk. 1, i Telemediengesetz (lov om elektroniske medier) af 26. februar 2007 (BGBl. 2007 I, s. 179) fandt anvendelse, indtil databeskyttelsesforordningen trådte i kraft. Fra dette tidspunkt er denne bestemmelse blevet erstattet af databeskyttelsesforordningens artikel 12-14.

33 Artikel 13, stk. 1, første punktum, i lov om elektroniske medier havde følgende ordlyd:

»Tjenesteudbyderen skal ved sessionens begyndelse informere brugeren om arten og omfanget af samt formålet med at indsamle og anvende personoplysninger samt om behandlingen af dennes oplysninger i stater uden for anvendelsesområdet for direktiv [95/46] i almindeligt forståelig form, medmindre en sådan information allerede har fundet sted.«

Tvisten i hovedsagen og det præjudicielle spørgsmål

34 Meta Platforms Ireland, som forvalter udbuddet af tjenester i det sociale onlinenetværk Facebook i EU, er den dataansvarlige for personoplysninger om brugerne af dette sociale netværk i EU. Facebook Germany GmbH, der har hjemsted i Tyskland, reklamerer på adressen www.facebook.de for salg af reklameplads. Internetplatformen Facebook indeholder bl.a. på internetsiden www.facebook.de et område kaldet »App-Zentrum« (app-center), hvor Meta Platforms Ireland stiller gratis spil leveret af tredjemand til rådighed for brugerne. Ved en søgning efter visse af disse spil i app-centret ser brugeren en angivelse af, at anvendelsen af den pågældende applikation gør det muligt for det selskab, der udbyder spillet, at indhente en række personoplysninger, og tillader dette i denne brugers navn at offentliggøre visse oplysninger, såsom brugerens pointresultater og andre oplysninger. Denne anvendelse har til følge, at den nævnte bruger accepterer de almindelige forretningsbetingelser for applikationen og selskabets politik på området for databeskyttelse. For så vidt angår et bestemt spil er det desuden angivet, at applikationen har tilladelse til at offentliggøre status, fotos og andre oplysninger i brugerens navn.

35 Bundesverband, som er et organ, der har søgsmålskompetence som omhandlet i artikel 4 i lov om søgsmål med påstand om forbud, er af den opfattelse, at de angivelser, der gives med de pågældende spil i app-centret, er urimelige, bl.a. på grund af den manglende overholdelse af de retlige betingelser, der gælder for indhentelse af et gyldigt samtykke fra brugeren i henhold til bestemmelserne om databeskyttelse. Bundesverband er desuden af den opfattelse, at angivelsen af, at det tillades applikationen at offentliggøre visse personlige oplysninger om brugeren i dennes navn, udgør en almindelig forretningsbetingelse, der stiller brugeren urimeligt dårligt.

36 Bundesverband anlagde i denne sammenhæng søgsmål ved Landgericht Berlin (den regionale ret i første instans i Berlin, Tyskland) med påstand om forbud mod Meta Platforms Ireland på grundlag af § 3a i lov om illoyal konkurrence, § 2, stk. 2, første punktum, nr. 11, i lov om søgsmål med påstand om forbud og den borgerlige lovbog. Dette søgsmål blev anlagt uafhængigt af en konkret krænkelse af en registrerets ret til beskyttelse af personoplysninger og uden bemyndigelse fra en sådan person.

37 Landgericht Berlin (den regionale ret i første instans i Berlin) dømte Meta Platforms Ireland i overensstemmelse med Bundesverbands påstande. Den af Meta Platforms Ireland iværksatte appel ved Kammergericht Berlin (den regionale appeldomstol i Berlin, Tyskland) blev ikke taget til følge. Meta Platforms Ireland har herefter iværksat revisionsappel ved den forelæggende ret til prøvelse af appeldomstolens afgørelse, hvorved selskabet ikke fik medhold.

38 Den forelæggende ret er af den opfattelse, at Bundesverbands søgsmål har grundlag, for så vidt som Meta Platforms Ireland har overtrådt § 3a i lov om illoyal konkurrence og § 2, stk. 2, første punktum, nr. 11, i lov om søgsmål med påstand om forbud, og selskabet har anvendt en ugyldig almindelig forretningsbetingelse som omhandlet i § 1 i lov om søgsmål med påstand om forbud.

39 Den forelæggende ret er imidlertid i tvivl om, hvorvidt Bundesverbands søgsmål kan antages til realitetsbehandling. Den er nemlig af den opfattelse, at det ikke er udelukket, at Bundesverband, der havde søgsmålskompetence på tidspunktet for anlæggelsen af søgsmålet – på grundlag af § 8, stk. 3, i lov om illoyal konkurrence og § 3, stk. 1, første punktum, nr. 1, i lov om søgsmål med påstand om forbud – har mistet denne søgsmålskompetence under sagens behandling som følge af databeskyttelsesforordningens ikrafttræden, og navnlig denne forordnings artikel 80, stk. 1 og 2, og artikel 84, stk. 1. Hvis dette er tilfældet, skal den forelæggende ret tage Meta Platforms Irelands revisionsappel til følge og afvise Bundesverbands søgsmål, eftersom søgsmålskompetencen ifølge de relevante processuelle bestemmelser i tysk ret skal bestå indtil afslutningen i den sidste instans.

40 Ifølge den forelæggende ret fremgår svaret i denne henseende ikke klart af en vurdering af ordlyden og opbygningen af samt formålet med databeskyttelsesforordningens bestemmelser.

41 Hvad angår ordlyden af databeskyttelsesforordningens bestemmelser har den forelæggende ret anført, at det forhold, at organer, organisationer eller sammenslutninger, der ikke arbejder med gevinst for øje, og som er etableret i overensstemmelse med en medlemsstats nationale ret, har søgsmålskompetence i henhold til databeskyttelsesforordningens artikel 80, stk. 1, forudsætter, at den registrerede har givet bemyndigelse til et organ, en organisation eller en sammenslutning til på sine vegne at udøve de rettigheder, der er omhandlet i databeskyttelsesforordningens artikel 77-79, og retten til at opnå erstatning som omhandlet i databeskyttelsesforordningens artikel 82, når en medlemsstats lovgivning fastsætter dette.

42 Den forelæggende ret har imidlertid fremhævet, at søgsmålskompetencen i henhold til § 8, stk. 3, nr. 3, i lov om illoyal konkurrence ikke omfatter et sådant retsmiddel efter bemyndigelse og på en registrerets vegne med henblik på at gøre dennes personlige rettigheder gældende. En sammenslutning har derimod i henhold til en selvstændig ret, som følger af § 3, stk. 1, og af § 3a i lov om illoyal konkurrence, en objektiv søgsmålskompetence til at anlægge sag til prøvelse af tilsidesættelser af databeskyttelsesforordningens bestemmelser, uafhængigt af krænkelsen af de registreredes konkrete rettigheder og en bemyndigelse givet af disse.

43 Den forelæggende ret har endvidere bemærket, at databeskyttelsesforordningens artikel 80, stk. 2, ikke fastsætter søgsmålskompetencen for en sammenslutning med henblik på objektivt at anvende retten til beskyttelse af personoplysninger, for så vidt som denne bestemmelse forudsætter, at en registrerets rettigheder som fastsat i databeskyttelsesforordningen faktisk er blevet krænket som følge af en specifik behandling af personoplysninger.

44 Desuden kan en sammenslutnings søgsmålskompetence som den, der er fastsat i § 8, stk. 3, i lov om illoyal konkurrence, ikke følge af databeskyttelsesforordningens artikel 84, stk. 1, hvorefter medlemsstaterne fastsætter regler om andre sanktioner, der finder anvendelse i tilfælde af overtrædelser af forordningen, og træffer alle nødvendige foranstaltninger for at sikre, at de også anvendes. Søgsmålskompetence for en sammenslutning som den, der er omhandlet i artikel 8, stk. 3, i lov om illoyal konkurrence, kan nemlig ikke anses for at udgøre en »sanktion« som omhandlet i denne bestemmelse i databeskyttelsesforordningen.

45 Hvad angår opbygningen af databeskyttelsesforordningens bestemmelser er den forelæggende ret af den opfattelse, at det kan udledes af den omstændighed, at denne forordning bl.a. har harmoniseret tilsynsmyndighedernes beføjelser, at det hovedsageligt påhviler disse myndigheder at efterprøve anvendelsen af denne forordnings bestemmelser. Imidlertid kan sætningsleddet »uden at det berører andre […] klageadgange«, som fremgår af databeskyttelsesforordningens artikel 77, stk. 1, artikel 78, stk. 1 og 2, og artikel 79, stk. 1, tale mod antagelsen om, at forordningen udtømmende regulerer kontrollen med retsreglernes anvendelse.

46 Hvad angår formålet med databeskyttelsesforordningens bestemmelser har den forelæggende ret anført, at den effektive virkning af denne forordning kunne tale for, at sammenslutninger har søgsmålskompetence i henhold til konkurrenceretten i overensstemmelse med § 8, stk. 3, nr. 3, i lov om illoyal konkurrence, uafhængigt af, om de registreredes konkrete rettigheder er blevet krænket, for så vidt som der fortsat består en yderligere mulighed for at kontrollere anvendelsen af retsreglerne med henblik på at sikre et så højt niveau som muligt for beskyttelsen af personoplysninger i overensstemmelse med tiende betragtning til databeskyttelsesforordningen. Ikke desto mindre vil en anerkendelse af sammenslutningers søgsmålskompetence i henhold til konkurrenceretten kunne anses for at være i strid med det harmoniseringsmål, der forfølges med databeskyttelsesforordningen.

47 På denne baggrund har Bundesgerichtshof (forbundsdomstol) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»Er bestemmelserne i [databeskyttelsesforordningens] kapitel VIII, navnlig i artikel 80, stk. 1 og 2, samt artikel 84, stk. 1, […] til hinder for nationale bestemmelser, som – foruden den beføjelse til at gribe ind, der er tillagt tilsynsmyndighederne med kompetence til at føre kontrol og håndhæve forordningen, og de registreredes muligheder for retsbeskyttelse – indrømmer dels konkurrenter, dels [sammenslutninger][…], organer og kamre med beføjelser i henhold til national ret beføjelse til at anlægge søgsmål ved de civile domstole mod den krænkende part vedrørende overtrædelser af [databeskyttelsesforordningen], uanset om enkelte registreredes konkrete rettigheder er blevet krænket, og uden bemyndigelse fra en registreret under påberåbelse af forbuddet mod urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser?«

Om det præjudicielle spørgsmål

48 Indledningsvis bemærkes, at tvisten i hovedsagen, således som det bl.a. følger af denne doms præmis 36 og 41-44, er mellem en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, nemlig Bundesverband, og Meta Platforms Ireland, og vedrører spørgsmålet om, hvorvidt en sådan sammenslutning kan anlægge sag mod dette selskab uden en bemyndigelse, som den er blevet givet med henblik herpå, og uafhængigt af en krænkelse af de registreredes konkrete rettigheder.

49 Som Kommissionen med rette har anført i sit skriftlige indlæg, afhænger besvarelsen af det præjudicielle spørgsmål under disse omstændigheder udelukkende af fortolkningen af databeskyttelsesforordningens artikel 80, stk. 2, idet bestemmelserne i databeskyttelsesforordningens artikel 80, stk. 1, og artikel 84 ikke er relevante i det foreliggende tilfælde. For det første forudsætter anvendelsen af databeskyttelsesforordningens artikel 80, stk. 1, nemlig, at den registrerede har givet det organ, den organisation eller den sammenslutning, der ikke arbejder med gevinst for øje, som er omhandlet i denne bestemmelse, bemyndigelse til på sine vegne at træffe de retlige foranstaltninger, der er fastsat i databeskyttelsesforordningens artikel 77-79. Det er imidlertid ubestridt, at dette ikke er tilfældet i hovedsagen, for så vidt som Bundesverband handler uafhængigt af en bemyndigelse fra en registreret. For det andet er det ubestridt, at databeskyttelsesforordningens artikel 84 omhandler administrative og strafferetlige sanktioner, der finder anvendelse på overtrædelser af denne forordning, hvilket heller ikke er tilfældet i hovedsagen.

50 Det skal endvidere bemærkes, at hovedsagen ikke rejser spørgsmålet om en konkurrents søgsmålskompetence. Følgelig skal alene den del af spørgsmålet, der vedrører søgsmålskompetencen for de i databeskyttelsesforordningens artikel 80, stk. 2, omhandlede sammenslutninger, organer og kamre, der er bemyndiget i henhold til national ret, besvares.

51 Det følger heraf, at det spørgsmål, som den forelæggende ret har stillet, skal forstås således, at det nærmere bestemt ønskes oplyst, om databeskyttelsesforordningens artikel 80, stk. 2, skal fortolkes således, at den er til hinder for en national lovgivning, som gør det muligt for en sammenslutning, der varetager beskyttelsen af forbrugernes interesser – uden bemyndigelse, som er blevet givet denne med henblik herpå, og uafhængigt af en krænkelse af en registrerets konkrete rettigheder – at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at gøre gældende, at der foreligger en tilsidesættelse af forbuddet mod urimelig handelspraksis, en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser.

52 For at besvare dette spørgsmål bemærkes, således som det fremgår af tiende betragtning til databeskyttelsesforordningen, at denne forordning bl.a. har til formål at sikre, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen, og at fjerne hindringerne for udveksling af personoplysninger inden for denne.

53 I denne sammenhæng regulerer denne forordnings kapitel VIII bl.a. de retsmidler, der gør det muligt at beskytte den registreredes rettigheder, når personoplysningerne vedrørende vedkommende har været genstand for en behandling, der angiveligt er i strid med nævnte forordnings bestemmelser. Beskyttelsen af disse rettigheder kan således påberåbes enten direkte af den registrerede eller af et bemyndiget organ/en bemyndiget organisation, når der foreligger eller ikke foreligger bemyndigelse hertil i henhold til databeskyttelsesforordningens artikel 80.

54 For det første har den registrerede således ret til selv at indgive klage til en tilsynsmyndighed i en medlemsstat eller anlægge et søgsmål ved de nationale civile domstole. Den registrerede har nærmere bestemt ret til henholdsvis at indgive klage til en tilsynsmyndighed i overensstemmelse med databeskyttelsesforordningens artikel 77, adgang til effektive retsmidler over for en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, adgang til effektive retsmidler over for en dataansvarlig eller en databehandler, der er fastsat i databeskyttelsesforordningens artikel 79, og ret til at opnå erstatning fra den dataansvarlige eller databehandleren for den lidte skade i henhold til databeskyttelsesforordningens artikel 82.

55 Dernæst har den registrerede i henhold til databeskyttelsesforordningens artikel 80, stk. 1, ret til under visse betingelser at bemyndige et organ, en organisation eller en sammenslutning, som ikke arbejder med gevinst for øje, til at indgive en klage eller på dennes vegne udøve de rettigheder, der er omhandlet i de ovennævnte artikler.

56 Endelig kan medlemsstaterne i overensstemmelse med databeskyttelsesforordningens artikel 80, stk. 2, fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, uafhængigt af en bemyndigelse fra den registrerede, har ret til at indgive en klage i den pågældende medlemsstat til tilsynsmyndigheden i henhold til denne forordnings artikel 77 og til at udøve de rettigheder, der er omhandlet i dennes artikel 78 og 79, hvis den/det har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandlingen af personoplysninger vedrørende vedkommende.

57 I denne henseende bemærkes, således som det fremgår af databeskyttelsesforordningens artikel 1, stk. 1, sammenholdt med bl.a. 9., 10. og 13. betragtning, at denne forordning har til formål at sikre en harmonisering af de nationale lovgivninger om beskyttelse af personoplysninger, som i princippet er fuldstændig. Bestemmelserne i den nævnte forordning åbner imidlertid mulighed for, at medlemsstaterne kan fastsætte supplerende nationale regler, der er strengere, eller undtagelsesbestemmelser, som overlader medlemsstaterne et skøn med hensyn til, hvorledes disse bestemmelser kan gennemføres (»åbningsbestemmelser«).

58 I denne henseende bemærkes nemlig, at det følger af Domstolens faste praksis, at artikel 288 TEUF og forordningernes karakter og funktion i det EU-retlige retskildesystem indebærer, at forordningers bestemmelser i almindelighed har umiddelbar virkning i de nationale retsordener, uden at det er nødvendigt for de nationale myndigheder at træffe gennemførelsesforanstaltninger. Visse af disse bestemmelser kan ikke desto mindre for at kunne blive gennemført kræve vedtagelse af gennemførelsesforanstaltninger i medlemsstaterne (dom af 15.6.2021, Facebook Ireland m.fl., C-645/19, EU:C:2021:483, præmis 110 og den deri nævnte retspraksis).

59 Dette gælder bl.a. databeskyttelsesforordningens artikel 80, stk. 2, som overlader medlemsstaterne et skøn med hensyn til dens gennemførelse. For at kunne anlægge et gruppesøgsmål uden bemyndigelse på området for beskyttelse af personoplysninger, der er fastsat i denne bestemmelse, skal medlemsstaterne således gøre brug af den mulighed, som bestemmelsen giver dem, for i deres nationale ret at fastsætte denne form for repræsentation af registrerede.

60 Som generaladvokaten har anført i punkt 51 og 52 i forslaget til afgørelse, skal medlemsstaterne imidlertid, når de gør brug af den mulighed, som de tildeles ved en sådan åbningsbestemmelse, anvende deres skønsmargen på de betingelser og inden for de grænser, der er fastsat i databeskyttelsesforordningens bestemmelser, og de skal således lovgive på en sådan måde, at denne forordnings indhold og formål ikke berøres.

61 Som den tyske regering har bekræftet i retsmødet i den foreliggende sag, har den tyske lovgiver i det foreliggende tilfælde ikke efter databeskyttelsesforordningens ikrafttræden vedtaget særlige bestemmelser, der specifikt har til formål at gennemføre forordningens artikel 80, stk. 2, i national ret. Den i hovedsagen omhandlede nationale lovgivning, der er vedtaget med henblik på at sikre gennemførelsen af direktiv 2009/22, gør det nemlig allerede muligt for sammenslutninger, der varetager beskyttelsen af forbrugernes interesser, at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger. Denne regering har i øvrigt fremhævet, at Domstolen i dom af 29. juli 2019, Fashion ID (C-40/17, EU:C:2019:629), vedrørende fortolkningen af bestemmelserne i direktiv 95/46 har fastslået, at disse bestemmelser ikke er til hinder for denne nationale lovgivning.

62 Under disse omstændigheder skal det, således som generaladvokaten har anført i punkt 60 i forslaget til afgørelse, i det væsentlige efterprøves, om de i hovedsagen omhandlede nationale regler er omfattet af den skønsmargen, som hver enkelt medlemsstat er tillagt ved databeskyttelsesforordningens artikel 80, stk. 2, og denne bestemmelse skal således fortolkes under hensyntagen til dens ordlyd og forordningens opbygning samt formål.

63 Det skal i denne forbindelse bemærkes, at databeskyttelsesforordningens artikel 80, stk. 2, giver medlemsstaterne mulighed for at fastsætte en mekanisme for gruppesøgsmål mod den, der formodes at have krænket af beskyttelsen af personoplysninger, samtidig med at den fastsætter en række krav på det personelle og materielle anvendelsesområde, som skal overholdes i denne forbindelse.

64 Hvad for det første angår det personelle anvendelsesområde for en sådan mekanisme anerkendes det, at et organ, en organisation eller en sammenslutning, der opfylder kriterierne i databeskyttelsesforordningens artikel 80, stk. 1, har søgsmålskompetence. Denne bestemmelse henviser navnlig til »et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger«.

65 Det skal fastslås, at en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, såsom Bundesverband, kan være omfattet af dette begreb, for så vidt som den forfølger et mål af almen interesse, der består i at sikre de registreredes rettigheder og frihedsrettigheder i deres egenskab af forbrugere, fordi gennemførelsen af et sådant formål kan være forbundet med beskyttelsen af sidstnævntes personoplysninger.

66 Tilsidesættelsen af regler, der har til formål at beskytte forbrugerne eller at bekæmpe urimelig handelspraksis – en tilsidesættelse, som en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, såsom Bundesverband, har til hensigt at forebygge og sanktionere bl.a. ved at anlægge søgsmål med påstand om forbud i henhold til den gældende nationale lovgivning – kan nemlig, som i det foreliggende tilfælde, være forbundet med tilsidesættelsen af reglerne om beskyttelse af disse forbrugeres personoplysninger.

67 Hvad for det andet angår det materielle anvendelsesområde for den nævnte mekanisme forudsætter anlæggelsen af et gruppesøgsmål, der er fastsat i databeskyttelsesforordningens artikel 80, stk. 2, af et organ/en organisation, der opfylder de betingelser, der er nævnt i artikel 80, stk. 1, at dette organ/denne organisation, uafhængigt af enhver bemyndigelse, det/den er blevet betroet, »har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandlinger« af vedkommendes personoplysninger.

68 I denne henseende skal det først præciseres, at det med henblik på anlæggelse af et gruppesøgsmål som omhandlet i databeskyttelsesforordningens artikel 80, stk. 2, ikke kan kræves af et sådant organ/en sådan organisation, at dette/denne foretager en forudgående individuel identifikation af den registrerede, der specifikt er berørt af en behandling af oplysninger, som angiveligt er i strid med databeskyttelsesforordningens bestemmelser.

69 Det er således tilstrækkeligt at bemærke, at begrebet »den registrerede« som omhandlet i denne forordnings artikel 4, nr. 1), ikke alene omfatter en »identificeret fysisk person«, men ligeledes en »identificerbar fysisk person«, dvs. en fysisk person, »der kan identificeres«, direkte eller indirekte ved en identifikator, som f.eks. bl.a. et navn, et identifikationsnummer, lokaliseringsdata eller en onlineidentifikator. Under disse omstændigheder kan udpegelsen af en kategori eller gruppe af personer, der berøres af en sådan behandling, ligeledes være tilstrækkelig med henblik på anlæggelse af et sådant gruppesøgsmål.

70 Dernæst bemærkes, at anlæggelsen af et gruppesøgsmål i henhold til databeskyttelsesforordningens artikel 80, stk. 2, heller ikke er betinget af, at der foreligger en konkret krænkelse af de rettigheder, som en person har i henhold til databeskyttelsesreglerne.

71 Som det fremgår af selve ordlyden af denne bestemmelse, der er nævnt i denne doms præmis 67, forudsætter anlæggelsen af et gruppesøgsmål nemlig alene, at det omhandlede organ/den omhandlede organisation »har grund til at formode«, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandlinger af dens personoplysninger, og således gør gældende, at der foreligger en behandling af oplysninger, der er i strid med denne forordnings bestemmelser.

72 Det følger heraf, at det med henblik på at anerkende et sådant organs/en sådan organisations søgsmålskompetence i henhold til den nævnte bestemmelse er tilstrækkeligt at gøre gældende, at den pågældende behandling af oplysninger kan påvirke de rettigheder, som identificerede eller identificerbare fysiske personer har i henhold til den nævnte forordning, uden at det er nødvendigt at godtgøre, at den registrerede i en bestemt situation har lidt en reel skade som følge af krænkelsen af dennes rettigheder.

73 En sådan fortolkning er i overensstemmelse med de krav, der følger af artikel 16 TEUF og af artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder, og dermed med det formål, der forfølges med databeskyttelsesforordningen, som består i at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder samt bl.a. at sikre et højt beskyttelsesniveau for enhver persons ret til beskyttelse af personoplysninger vedrørende vedkommende (jf. i denne retning dom af 15.6.2021, Facebook Ireland m.fl., C-645/19, EU:C:2021:483, præmis 44, 45 og 91).

74 Den omstændighed, at sammenslutninger, der varetager beskyttelsen af forbrugernes interesser, såsom Bundesverband, bemyndiges til gennem en mekanisme for gruppesøgsmål at anlægge søgsmål med henblik på at bringe behandlinger, der er i strid med denne forordnings bestemmelser, til ophør, uafhængigt af krænkelsen af rettighederne for en person, der er individuelt og konkret berørt af denne tilsidesættelse, bidrager ubestrideligt til at styrke de registreredes rettigheder og til at sikre dem et højt beskyttelsesniveau.

75 Det bemærkes endvidere, at anlæggelsen af et sådant gruppesøgsmål, for så vidt som det gør det muligt at forebygge et stort antal krænkelser af de registreredes rettigheder ved behandlingen af deres personoplysninger, kan vise sig at være mere effektiv end det retsmiddel, som en enkelt person, der er individuelt og konkret berørt af en krænkelse af retten til beskyttelse af vedkommendes personoplysninger, kan anlægge mod den, der har begået denne krænkelse.

76 Som generaladvokaten har anført i punkt 76 i forslaget til afgørelse, kan den præventive funktion af søgsmål anlagt af sammenslutninger, der varetager beskyttelsen af forbrugernes interesser, såsom Bundesverband, ikke sikres, hvis det gruppesøgsmål, der er fastsat i databeskyttelsesforordningens artikel 80, stk. 2, kun gør det muligt at påberåbe sig en krænkelse af rettighederne for en person, der er individuelt og konkret berørt af denne krænkelse.

77 Som den forelæggende ret har anmodet om, skal det for det tredje endvidere efterprøves, om databeskyttelsesforordningens artikel 80, stk. 2, er til hinder for, at der anlægges et gruppesøgsmål uafhængigt af en konkret tilsidesættelse af en registrerets rettighed og af en bemyndigelse givet af sidstnævnte, når tilsidesættelsen af databeskyttelsesreglerne er blevet gjort gældende i forbindelse med et søgsmål med henblik på at kontrollere anvendelsen af andre retsregler, der har til formål at sikre forbrugerbeskyttelsen.

78 I denne henseende skal det indledningsvis bemærkes, således som det i det væsentlige er anført i denne doms præmis 66, at tilsidesættelsen af en regel om beskyttelse af personoplysninger samtidigt kan medføre en tilsidesættelse af reglerne om forbrugerbeskyttelse eller urimelig handelspraksis.

79 Som generaladvokaten har anført i punkt 72 i forslaget til afgørelse, er denne bestemmelse derfor ikke til hinder for, at medlemsstaterne udnytter den mulighed, som den giver dem, således at sammenslutninger, der varetager beskyttelsen af forbrugernes interesser, bemyndiges til at anlægge sag til prøvelse af tilsidesættelser af de rettigheder, der er fastsat i databeskyttelsesforordningen, i givet fald gennem regler, der har til formål at beskytte forbrugerne eller bekæmpe urimelig handelspraksis, såsom dem, der er fastsat i direktiv 2005/29 og direktiv 2009/22.

80 Denne fortolkning af databeskyttelsesforordningens artikel 80, stk. 2, underbygges desuden af direktiv 2020/1828, der fra den 25. juni 2023 skal ophæve og erstatte direktiv 2009/22. I denne sammenhæng bemærkes, at direktiv 2020/1828 i henhold til dets artikel 2, stk. 1, finder anvendelse på gruppesøgsmål, som anlægges som følge af erhvervsdrivendes overtrædelser af de EU-retlige bestemmelser, der er omhandlet i bilag I til dette direktiv, som i punkt 56 nævner databeskyttelsesforordningen.

81 Direktiv 2020/1828 finder ganske vist ikke anvendelse på tvisten i hovedsagen, og fristen for dets gennemførelse er endnu ikke udløbet. Den indeholder imidlertid flere oplysninger, der bekræfter, at databeskyttelsesforordningens artikel 80 ikke er til hinder for, at der kan anlægges yderligere gruppesøgsmål på forbrugerbeskyttelsesområdet.

82 Selv om det, således som det fremgår af 11. betragtning til dette direktiv, stadig er muligt at fastsætte en processuel ordning for yderligere gruppesøgsmål på forbrugerbeskyttelsesområdet, kan de håndhævelsesmekanismer, der er fastsat i databeskyttelsesforordningen, eller som er støttet derpå, såsom den, der er fastsat i denne forordnings artikel 80, nemlig ikke erstattes eller ændres, således som det præciseres i 15. betragtning til det nævnte direktiv, og de kan således anvendes til beskyttelse af forbrugernes kollektive interesser.

83 Henset til samtlige ovenstående betragtninger skal det forelagte spørgsmål besvares med, at databeskyttelsesforordningens artikel 80, stk. 2, skal fortolkes således, at den ikke er til hinder for en national lovgivning, som gør det muligt for en sammenslutning, der varetager beskyttelsen af forbrugernes interesser – uden bemyndigelse, som er blevet givet denne med henblik herpå, og uafhængigt af en krænkelse af en registrerets konkrete rettigheder – at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at gøre gældende, at der foreligger en tilsidesættelse af forbuddet mod urimelig handelspraksis, en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser, når den pågældende behandling af oplysninger kan påvirke de rettigheder, som identificerede eller identificerbare fysiske personer har i henhold til denne forordning.

Sagsomkostninger

84 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

Artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke er til hinder for en national lovgivning, som gør det muligt for en sammenslutning, der varetager beskyttelsen af forbrugernes interesser – uden bemyndigelse, som er blevet givet denne med henblik herpå, og uafhængigt af en krænkelse af en registrerets konkrete rettigheder – at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at gøre gældende, at der foreligger en tilsidesættelse af forbuddet mod urimelig handelspraksis, en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser, når den pågældende behandling af oplysninger kan påvirke de rettigheder, som identificerede eller identificerbare fysiske personer har i henhold til denne forordning.

Underskrifter

* Processprog: tysk.