Preliminär utgåva
FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
JEAN RICHARD DE LA TOUR
av den 25 januari 2024 (1)
Mål C‑757/22
Meta Platforms Ireland Limited
mot
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(begäran om förhandsavgörande från Bundesgerichtshof (Federala högsta domstolen, Tyskland)
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 12.1 första meningen – Klar och tydlig information – Artikel 13.1 c och e – Personuppgiftsansvariges skyldighet att lämna ut information – Artikel 80.2 – Registrerade företräds av en konsumentskyddsförening – Grupptalan som väcks utan mandat och oberoende av något åsidosättande av en registrerads konkreta rättigheter – Talan som grundar sig på ett åsidosättande av den personuppgiftsansvariges skyldighet att lämna ut information – Begreppet kränkning av en registrerad persons rättigheter ’som en följd av behandlingen’”
I. Bakgrund till målet, omständigheterna i målet vid den nationella domstolen och den nya tolkningsfrågan
1. I förevarande mål har Bundesgerichtshof (Federala högsta domstolen, Tyskland) på nytt inom ramen för en begäran om förhandsavgörande ställt en fråga om tolkningen av artikel 80.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).(2)
2. Enligt denna bestämmelse får medlemsstaterna föreskriva att ett organ, en organisation eller en sammanslutning, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 i förordningen och utöva de rättigheter som avses i artiklarna 78 och 79 i samma förordning om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt nämnda förordning har kränkts som en följd av behandlingen av personuppgifter.
3. Den nu aktuella begäran om förhandsavgörande har framställts i ett mål mellan Meta Platforms Ireland Limited, tidigare Facebook Ireland Limited, med säte i Irland, och Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federal sammanslutning av konsumentcentra och konsumentföreningar) (nedan kallat Bundesverband) angående Meta Platforms Irelands påstådda åsidosättande av den tyska lagstiftningen om skydd för personuppgifter, vilket samtidigt utgjorde en otillbörlig affärsmetod samt ett åsidosättande av en konsumentskyddslag och av förbudet mot ogiltiga allmänna villkor.
4. Det rör sig om samma tvist som den som gav upphov till domen av den 28 april 2022, Meta Platforms Ireland,(3) vars faktiska omständigheter kan sammanfattas på följande sätt. (4)
5. Meta platforms Ireland, som hanterar utbudet av online-tjänster inom det sociala nätverket Facebook i Europeiska unionen, är ansvarig för behandlingen av personuppgifter avseende användare av detta sociala nätverk i unionen. Facebook Germany GmbH, som har sitt säte i Tyskland, främjar försäljning av reklamutrymme på adressen www.facebook.de. Webbplattformen Facebook innehåller, bland annat på webbadressen www.facebook.de, en plats kallad App-Zentrum (Appcenter) på vilken Meta platforms Ireland gör spel som tillhandahålls av tredje man tillgängliga för användarna utan vederlag. När sidorna för vissa spel på Appcenter besöks informeras användaren om att användningen av den aktuella applikationen gör det möjligt för spelbolaget att erhålla vissa personuppgifter och ger bolaget rätt att publicera viss information för användarens räkning, såsom erhållna poäng och andra uppgifter. Denna användning medför att användaren godtar de allmänna tillämpningsvillkoren och spelbolagets policy vad gäller dataskydd. Vad avser ett visst spel finns det dessutom en angivelse att applikationen får tillåtelse att för samma användares räkning publicera personens status, foton och andra uppgifter.
6. Bundesverband, som är en organisation som har talerätt enligt 4 § i Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (lagen om förbudsföreläggande vid brott mot konsumentskyddet och andra kränkningar), av den 26 november 2001,(5) anser att den information som tillhandahålls av de ifrågavarande spelen i Appcenter är otillbörlig, bland annat med avseende på åsidosättandet av de lagstadgade villkor som gäller för inhämtande av ett giltigt samtycke från användaren enligt bestämmelserna om dataskydd. Bundesverband anser dessutom att angivelsen att applikationen får tillåtelse att för användarens räkning publicera vissa personliga uppgifter utgör ett allmänt villkor som otillbörligt missgynnar användaren.
7. Mot denna bakgrund väckte Bundesverband talan vid Landgericht Berlin (Regiondomstolen i Berlin, Tyskland) mot Meta Platforms Ireland med stöd av 3a § i Gesetz gegen den unlauteren Wettbewerb – UWG (lag om illojal konkurrens) av den 3 juli 2004, (6) 2 § 2, första meningen, led 11, i lagen om förbudsföreläggande och Bürgerliches Gesetzbuch (civillagen). Talan väcktes oberoende av något konkret åsidosättande av en registrerads rätt till skydd för personuppgifter och utan något uppdrag från en sådan person.
8. Landgericht Berlin (Regiondomstolen i Berlin) meddelade ett föreläggande mot Meta Platforms Ireland i enlighet med Bundesverbands yrkanden. Meta Platforms Irelands överklagande ogillades av Kammergericht Berlin (Regionöverdomstolen i Berlin). Meta platforms Ireland överklagade regionöverdomstolens avslagsbeslut till den hänskjutande domstolen.
9. Inom ramen för denna talan ansåg den hänskjutande domstolen att Bundesverbands talan var välgrundad, eftersom Meta platforms Ireland hade åsidosatt 3a § i lagen om illojal konkurrens samt 2 § 2, första meningen, led 11 i lagen om förbudsföreläggande och hade tillämpat ett ogiltigt allmänt villkor i den mening som avses i 1 § i lagen om förbudsförelägganden.
10. Den domstolen hyste emellertid tvivel om huruvida Bundesverbands talan kunde tas upp till sakprövning. Den hänskjutande domstolen ville särskilt få klarhet i huruvida Bundesverbands talerätt kunde följa av artikel 80.2 i dataskyddsförordningen. Den hänsköt därför en fråga till EU-domstolen angående tolkningen av denna bestämmelse.
11. Som svar på denna fråga slog EU-domstolen i domen i målet Meta Platforms Ireland fast att artikel 80.2 i dataskyddsförordningen ska tolkas så, att den inte utgör hinder för nationell lagstiftning enligt vilken en konsumentskyddsförening, utan något mandat som anförtrotts denna förening i detta avseende och oberoende av något åsidosättande av registrerades konkreta rättigheter, tillerkänns talerätt mot den som påstås ha gjort intrång i skyddet av personuppgifter, genom att åberopa ett åsidosättande av förbudet mot otillbörliga affärsmetoder, av en lag gällande konsumentskydd eller av förbudet mot ogiltiga allmänna villkor, när behandlingen av de ifrågavarande uppgifterna kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt denna förordning.(7)
12. EU-domstolen klargjorde således det materiella tillämpningsområdet för den mekanism för grupptalan mot den som påstås göra intrång i skyddet av personuppgifter som föreskrivs i artikel 80.2 i dataskyddsförordningen.
13. EU-domstolen slog särskilt fast att det för att en sådan grupptalan ska kunna väckas inte kan krävas att en enhet som uppfyller de villkor som anges i artikel 80.1 i dataskyddsförordningen i förväg identifierar de personer som specifikt berörs av en sådan behandling av uppgifter som påstås strida mot bestämmelserna i denna förordning.(8) Det kan följaktligen vara tillräckligt att avgränsa en kategori eller grupp av personer som berörs av en sådan behandling för att en grupptalan ska kunna väckas.(9)
14. EU-domstolen slog även fast att enligt artikel 80.2 i dataskyddsförordningen förutsätter en grupptalan inte heller att det föreligger ett konkret åsidosättande av de rättigheter som en person tillerkänns enligt bestämmelserna om skydd av personuppgifter.(10) EU-domstolen anser nämligen att en förutsättning för att väcka grupptalan endast är att den enhet som avses i denna bestämmelse ”anser” att registrerades rättigheter enligt förordningen har åsidosatts genom behandling av dess personuppgifter och således gör gällande att det föreligger en sådan behandling av uppgifter som strider mot denna förordning.(11) Härav följer att det, för att en sådan enhet ska tillerkännas talerätt enligt artikel 80.2 i dataskyddsförordningen, räcker att åberopa att behandlingen av uppgifter kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt förordningen, utan att det är nödvändigt att styrka att en registrerad har lidit faktisk skada till följd av intrång i dennes rättigheter i en viss situation.(12)
15. Även om den hänskjutande domstolen således redan har fått vägledning från EU-domstolen för att kunna fastställa om talan om förbudsföreläggande som väckts av Bundesverband kan tas upp till sakprövning mot bakgrund av de villkor som föreskrivs i artikel 80.2 i dataskyddsförordningen, anser den att det fortfarande råder tvivel om hur denna bestämmelse ska tolkas. Den hänskjutande domstolen har nämligen understrukit att Bundesverbands talerätt beror på huruvida denna enhet, i den mening som avses i nämnda bestämmelse, i sin talan har gjort gällande att den registrerades rättigheter enligt förordningen har kränkts ”som en följd av behandlingen.”
16. Enligt den hänskjutande domstolen är det inte uppenbart att detta krav avseende det materiella tillämpningsområdet för artikel 80.2 i dataskyddsförordningen är uppfyllt under omständigheterna i förevarande fall.
17. Den hänskjutande domstolen har nämligen konstaterat att Bundesverband till stöd för sin talan har åberopat ett åsidosättande av den informationsskyldighet som föreskrivs i artikel 12.1 första meningen i dataskyddsförordningen, jämförd med artikel 13.1 c och e i samma förordning, vad gäller syftet med behandlingen av uppgifterna och mottagaren av personuppgifterna. Det är enligt denna domstol nödvändigt att avgöra huruvida Bundesverband därmed kan anses ha åberopat att rättigheter har kränkts ”som en följd av behandlingen” i den mening som avses i artikel 80.2 i nämnda förordning.
18. Den hänskjutande domstolen anser närmare bestämt för det första att det fortfarande råder osäkerhet om huruvida ett åsidosättande av den informationsskyldighet som följer av artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen i förevarande fall omfattas av begreppet ”behandling” i den mening som avses i artikel 4.2 i dataskyddsförordningen och huruvida detta begrepp även omfattar situationer som föregår den tidpunkt då insamlingen av personuppgifter inleds.(13)
19. För det andra anser den hänskjutande domstolen att det inte är klarlagt huruvida åsidosättandet av informationsskyldigheten i ett sådant fall som det som är aktuellt i det nationella målet har skett ”som en följd av” behandling av personuppgifter i den mening som avses i artikel 80.2 i dataskyddsförordningen. Den hänskjutande domstolen har i detta avseende understrukit att formuleringen ”som en följd av” skulle kunna förstås så, att den enhet som väcker en grupptalan måste åberopa ett åsidosättande av den registrerades rättigheter enligt denna förordning som följer av en behandling av personuppgifter, i den mening som avses i artikel 4.2 i nämnda förordning, och som således skett efter en sådan behandling, för att en grupptalan ska kunna tas upp till sakprövning.(14)
20. Mot denna bakgrund beslutade Bundesgerichtshof (Federala högsta domstolen) på nytt att vilandeförklara målet och ställa följande fråga till EU-domstolen:
”Är det fråga om en kränkning [av en registrerads rättigheter] ”som en följd av behandlingen”, i den mening som avses i artikel 80.2 i dataskyddsförordningen, när en konsumentskyddsförening till stöd för sin talan gör gällande att en registrerads rättigheter har kränkts genom att informationsskyldigheten enligt artikel 12.1 första meningen i dataskyddsförordningen jämförd med artikel 13.1 c och e i dataskyddsförordningen beträffande ändamålet med behandlingen och mottagaren av personuppgifterna inte har uppfyllts?
21. Skriftliga yttranden har inkommit från Meta Platforms Ireland, Bundesverband, den tyska och den portugisiska regeringen samt Europeiska kommissionen.
22. Förhandling hölls den 23 november 2023 i närvaro av Meta Platforms Ireland, den tyska regeringen och kommissionen.
II. Bedömning
23. Som jag tidigare har påpekat hyser den hänskjutande domstolen tvivel om huruvida den grupptalan som har väckts av Bundesverband, under de aktuella omständigheterna, uppfyller villkoret i artikel 80.2 i dataskyddsförordningen, nämligen att den enhet som föranlett en sådan talan anser att den registrerades rättigheter enligt den här förordningen har kränkts ”som en följd av behandlingen” av personuppgifter.
24. För att korrekt förstå det sammanhang i vilket denna domstol begär att EU-domstolen ska ge ytterligare klargöranden avseende det materiella tillämpningsområdet för denna bestämmelse, ska det erinras om att Bundesverband till stöd för sin talan har gjort gällande att Meta Platforms Ireland har åsidosatt en skyldighet att tillhandahålla information om syftet med och omfattningen av användarens samtycke till behandlingen av dennes personuppgifter. Föremålet för talan är närmare bestämt presentationen av spel på Appcenter som finns på Meta Platforms Irelands internetplattform, med hänvisning till att varje applikation får tillåtelse att för användarens räkning publicera vissa personliga uppgifter. Bundesverband har väckt talan oberoende av något åsidosättande av en registrerads konkreta rättigheter och utan uppdrag från en sådan registrerad, vilket är förenligt med denna bestämmelse, såsom EU-domstolen har slagit fast i sin dom i målet Meta Platforms Ireland.(15)
25. Meningsskiljaktigheterna i frågan huruvida Bundesverband har talerätt enligt artikel 80.2 i dataskyddsförordningen är nu inriktade på den hänskjutande domstolens konstaterande att den grupptalan som väckts av denna enhet inte rör frågan huruvida Meta Platforms Ireland kränker en användares rätt till skydd för personuppgifter i det ögonblicket som denne klickar på knappen ”spela nu” eller ”spela spel” i Appcenter och därigenom eventuellt orsakar en behandling av dennes personuppgifter. Det är vidare ostridigt att den talan som väckts av Bundesverband inte heller rör frågan huruvida automatiserade åtgärder som vidtas med avseende på personuppgifter från en användare när denne klickar på en sådan knapp kränker användarens rätt till skydd för personuppgifter.
26. Sammanfattningsvis rör tvisten frågan huruvida det för att en sådan sammanslutning ska ha talerätt enligt artikel 80.2 i dataskyddsförordningen räcker att den åberopar ett åsidosättande av en informationsskyldighet utan att i sig kritisera den behandling av uppgifter som följer av att man klickar på knappen ”spela nu” eller ”spela spel”, medan det enligt denna bestämmelse krävs att en registrerad persons rättigheter har kränkts ”som en följd av behandlingen”.
27. Den hänskjutande domstolens frågor koncentrerar sig därför på två aspekter, nämligen dels räckvidden av begreppet ”behandling”, dels innebörden av uttrycket ”som en följd av behandlingen” i denna bestämmelse.
28. Den hänskjutande domstolen vill således få klarhet i huruvida skyldigheten enligt artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen att lämna ut information till den registrerade om syftet med behandlingen av personuppgifter och om mottagaren av uppgifterna, i en precis, öppen, begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk , omfattas av begreppet behandling i den mening som avses i artikel 4.2 i dataskyddsförordningen.
29. Enligt artikel 4.2 i förordningen definieras ”behandling” som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.
30. Det framgår av ordalydelsen i denna bestämmelse, bland annat av uttrycket ”en åtgärd ”, att unionslagstiftaren har haft för avsikt att ge begreppet ”behandling” en omfattande räckvidd. Denna tolkning stöds även av den omständigheten att uppräkningen av åtgärder i nämnda bestämmelse inte är uttömmande, vilket framgår av uttrycket ”såsom”.(16) Enligt EU-domstolen är detta förenligt med målet att säkerställa effektiviteten av den grundläggande rätten till skydd för fysiska personer med avseende på behandling av personuppgifter, som nämns i skäl 1 i dataskyddsförordningen och som reglerar tillämpningen av denna förordning. (17)
31. Till stöd för uppfattningen att den informationsskyldighet som följer av artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen skulle kunna omfattas av begreppet behandling i den mening som avses i artikel 4.2 i förordningen, har den hänskjutande domstolen hänvisat till EU-domstolens uttalanden i domen av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål).(18)
32. I det mål som gav upphov till den domen begärde Valsts ieņēmumu dienests (skattemyndigheten, Lettland) att den berörda ekonomiska aktören skulle återskapa och ge myndigheten tillgång till uppgifter om chassinumren på de fordon som utannonserats på aktörens webbportal och om säljarnas telefonnummer, samt att denne skulle tillhandahålla skattemyndigheten uppgifter om annonser som publicerats på denna portal.
33. Det var i detta sammanhang som EU-domstolen slog fast att en sådan begäran, varigenom skattemyndigheten i en medlemsstat begär att en ekonomisk aktör ska lämna ut och tillhandahålla personuppgifter som denne är skyldig att ställa till myndighetens förfogande enligt nationell rätt i denna medlemsstat, utgör ett förfarande för ”insamling” av dessa uppgifter, i den mening som avses i artikel 4.2 i dataskyddsförordningen.(19) Den hänskjutande domstolen har härav dragit slutsatsen att begreppet ”behandling”, i den mening som avses i denna bestämmelse, omfattar åtgärder som endast ”inleder” en insamling av personuppgifter och därmed åtgärder som föregår en åtgärd som unionslagstiftaren uttryckligen har betraktat som ett exempel på behandling, genom att göra en jämförelse med den situation som är aktuell i det nationella målet.
34. Jag anser emellertid att denna situation klart skiljer sig från den som gav upphov till domen av den 24 februari 2022, Valsts ieēmumu dienests (Behandling av personuppgifter för skatteändamål).(20) I förevarande fall är det nämligen inte fråga om att till en behandlingsprocess knyta en åtgärd som gör det möjligt att utlösa denna, utan snarare om att fastställa sambandet mellan en skyldighet att tillhandahålla information, såsom den som följer av artiklarna 12.1 första meningen och 13.1 c och e i dataskyddsförordningen, och en viss behandling.
35. I detta hänseende anser jag att räckvidden av begreppet ”behandling” i den mening som avses i artikel 4.2 i dataskyddsförordningen inte kan utsträckas till att omfatta en sådan informationsskyldighet, hur vidsträckt den än är. Denna skyldighet innebär nämligen inte någon direkt eller indirekt åtgärd avseende personuppgifter. Denna skyldighet utgör snarare ett villkor för att behandlingen av dessa uppgifter ska vara lagenlig.
36. Det bör understrykas att det i artikel 12 i förordningen fastställs allmänna skyldigheter för den personuppgiftsansvarige när det gäller klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter.
37. I synnerhet föreskrivs i artikel 12.1 första meningen i den förordningen att ”[d]en personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn.”
38. I artikel 13 i dataskyddsförordningen, med rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”, föreskrivs i punkt 1 c och e
”Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:
…
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
…
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.”
39. Det ska erinras om att artikel 6.1 första stycket i dataskyddsförordningen innehåller en uttömmande och fullständig förteckning av de fall i vilka en behandling av personuppgifter kan anses laglig. För att en behandling ska anses vara laglig måste den omfattas av något av de fall som föreskrivs i den bestämmelsen. (21)
40. Enligt artikel 6.1 första stycket a i dataskyddsförordningen är behandling av personuppgifter laglig om och i den utsträckning som den registrerade har lämnat sitt samtycke till detta för ett eller flera särskilda ändamål. (22)
41. Har något sådant samtycke inte lämnats eller har samtycket inte lämnats på ett frivilligt, specifikt, informerat och otvetydigt sätt, i den mening som avses i artikel 4.11 i dataskyddsförordningen och när den aktuella behandlingen inte uppfyller något av de krav på nödvändighet som anges i artikel 6.1 första stycket b-f i förordningen, är behandlingen olaglig.(23)
42. Vad gäller kravet i artikel 4.11 i dataskyddsförordningen på att samtycket ska vara ”informerat”, innebär detta, i enlighet med artikel 13 i denna förordning, jämförd med skäl 42, att den personuppgiftsansvarige ska ge den registrerade information om samtliga omständigheter kring behandlingen av uppgifterna, i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, att den registrerade bland annat bör känna till vilken typ av uppgifter som ska behandlas, den personuppgiftsansvariges identitet, vilken tidsperiod behandlingen pågår och på vilket sätt den ska utföras samt ändamålet med den. Informationen ska ge personen möjlighet att lätt avgöra följderna av ett eventuellt samtycke och säkerställa att samtycke lämnas med full kännedom om omständigheterna.(24)
43. Såsom den hänskjutande domstolen har angett(25) har Bundesverband emellertid hävdat att presentationen av informationen under knappen ”spela nu” i Appcenter är otillbörlig, bland annat med avseende på åsidosättandet av de lagstadgade villkor som gäller för inhämtande av ett giltigt samtycke från användaren enligt bestämmelserna om skydd för personuppgifter.
44. Det som ligger till grund för Bundesverbands talan är med andra ord att en person, med hänsyn till den bristfälliga presentationen av Appcenter som denna enhet har åberopat, skulle kunna klicka på knappen ”spela nu” utan att ha förfogat över de uppgifter som är nödvändiga för att göra det möjligt för den att enkelt kunna fastställa konsekvenserna av det samtycke som vederbörande skulle kunna ge till behandling av sina personuppgifter till följd av att knappen utlöses och utan att säkerställa att samtycket lämnades med full kännedom om saken.
45. Under dessa omständigheter anser jag att Bundesverband i sin talan, i enlighet med vad som föreskrivs i artikel 80.2 i dataskyddsförordningen, har gjort gällande att ”den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.”
46. För det första ingår såväl artikel 12 som artikel 13 i dataskyddsförordningen i kapitel III i förordningen, med rubriken ”Den registrerades rättigheter”. Med hänsyn till den personuppgiftsansvariges informationsskyldighet enligt dessa artiklar ingår de rättigheter som följer därav för registrerade i de rättigheter som grupptalan enligt artikel 80.2 i den förordningen syftar till att skydda.
47. För det andra kan det påstådda åsidosättandet av de registrerades rätt att få tillräcklig information om alla omständigheter kring en behandling av personuppgifter, bland annat ändamålet med behandlingen och mottagaren av uppgifterna, utgöra hinder för uttrycket ”informerat” samtycke i den mening som avses i artikel 4.11 i dataskyddsförordningen, vilket kan medföra att behandlingen blir olaglig.
48. För att väcka en grupptalan enligt artikel 80.2 i denna förordning räcker det således att en enhet åberopar ett åsidosättande av den personuppgiftsansvariges informationsskyldighet genom att precisera den aktuella behandlingen, vilken i förevarande fall är den behandling som sker när en person klickar på knappen ”spela nu”. Det måste röra sig om en behandling av uppgifter som kan påverka de rättigheter som identifierade eller identifierbara fysiska personer har enligt förordningen,(26) vilket innebär att behandlingen måste föreligga och således inte får vara rent hypotetisk.
49. Enligt min mening saknar det dessutom betydelse att denna enhet åberopar ett åsidosättande av en skyldighet som föregår en behandling av personuppgifter. Så är fallet med den informationsskyldighet som ska fullgöras senast vid tidpunkten för insamlingen av uppgifter, i enlighet med vad som föreskrivs i artikel 13.1 i dataskyddsförordningen.
50. Uttrycket ”till följd av behandlingen” i artikel 80.2 i förordningen innebär således inte på något sätt att den rättighet vars åsidosättande den talan som avses i denna artikel syftar till att fastställa nödvändigtvis ska avse ett skede som följer efter en åtgärd som utgör ”behandling” i den mening som avses i artikel 4.2 i förordningen. Med andra ord ska detta uttryck inte tolkas som ett krav på en tidssekvens som skulle innebära att kränkningen av den registrerades rättigheter enligt dataskyddsförordningen måste ske i ett skede som följer efter en sådan behandling.
51. Det viktiga är i stället huruvida det finns ett samband mellan respekten för de aktuella rättigheterna och den aktuella uppgiftsbehandlingen. Detta är fallet när åsidosättandet av dessa rättigheter medför att behandlingen blir olaglig. Behandlingens olaglighet följer av åsidosättandet av informationsskyldigheten. Dessa två är oskiljaktiga.
52. Av detta följer att kravet på att en enhet ska kunna väcka grupptalan enligt artikel 80.2 i dataskyddsförordningen, om den anser att en registrerads rättigheter enligt denna förordning har kränkts ”som en följd av behandlingen”, enligt min mening inte innebär att denna enhet måste åberopa en kränkning av sådana rättigheter som följer av en behandling av uppgifter, i den mening som avses i artikel 4.2 i denna förordning, och som således sker efter det att en sådan behandling har ägt rum. Det räcker att den visar att det finns ett samband mellan en behandling av personuppgifter och kränkningen av rättigheter som skyddas av dataskyddsförordningen.
53. I förevarande fall saknar det således betydelse huruvida Bundesverband har gjort gällande att en informationsskyldighet har åsidosatts, oberoende av om den registrerade klickar eller inte klickar på knappen ”spela nu” i Appcenter, eftersom en sådan skyldighet, i den mån den kan påverka villkoren för att den behandling som följer av att man klickar på knappen ska vara laglig, obestridligen har ett samband med denna behandling.
54. Denna tolkning är inte bara förenlig med den förebyggande funktion som den grupptalan som avses i artikel 80.2 i dataskyddsförordningen har, (27) utan även, i den mån den bidrar till att stärka de registrerades rättigheter, (28) med syftet med denna förordning, vilket framgår av skäl 10 i förordningen, som består i att säkerställa en hög skyddsnivå inom unionen av fysiska personers grundläggande fri- och rättigheter med avseende på behandling av personuppgifter.(29)
55. Jag vill tillägga att det enligt min mening skulle vara inkonsekvent att göra en restriktiv tolkning av det materiella tillämpningsområdet för artikel 80.2 i nämnda förordning, medan det i artikel 79.1 i dataskyddsförordningen, i liknande ordalag, föreskrivs att varje registrerad ska ha rätt till ett effektivt rättsmedel och det inte finns någon anledning att från det materiella tillämpningsområdet för ett sådant rättsmedel utesluta de rättigheter som följer av informationsskyldigheten i artikel 12.1 första meningen i denna förordning, jämförd med artikel 13.1 c och e i samma förordning.
56. Jag anser följaktligen att artikel 80.2 i dataskyddsförordningen ska tolkas så, att villkoret att en bemyndigad enhet, för att kunna väcka en grupptalan enligt denna bestämmelse, ska göra gällande att den anser att en registrerads rättigheter enligt förordningen har kränkts till följd av behandlingen, förutsätter att denna enhet gör gällande att personuppgifter har behandlats samt att det finns ett samband mellan kränkningen av dessa rättigheter och behandlingen. Ett sådant villkor är uppfyllt när talan, i samband med en behandling av personuppgifter, grundas på att den personuppgiftsansvarige har åsidosatt sin informationsskyldighet enligt artikel 12.1 första meningen i förordningen, jämförd med artikel 13.1 c och e i samma förordning, i den mån som detta åsidosättande kan medföra att behandlingen blir olaglig.
III. Förslag till avgörande
57. Mot bakgrund av det ovan anförda föreslår jag att EU-domstolen besvarar den tolkningsfråga som ställts av Bundesgerichtshof (Federala högsta domstolen, Tyskland) på följande sätt:
Artikel 80.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
ska tolkas så, att
villkoret att en bemyndigad enhet, för att kunna väcka en grupptalan enligt denna bestämmelse, ska göra gällande att den anser att en registrerads rättigheter enligt förordningen har kränkts som en följd av behandlingen, förutsätter att denna enhet gör gällande att personuppgifter har behandlats samt att det finns ett samband mellan kränkningen av dessa rättigheter och behandlingen. Ett sådant villkor är uppfyllt när talan, i samband med en behandling av personuppgifter, grundas på att den personuppgiftsansvarige har åsidosatt sin informationsskyldighet enligt artikel 12.1 första meningen i förordningen, jämförd med artikel 13.1 c och e i samma förordning, i den mån som detta åsidosättande kan medföra att behandlingen blir olaglig.