Language of document : ECLI:EU:C:2021:979

CONCLUSIE VAN ADVOCAAT-GENERAAL

J. RICHARD DE LA TOUR

van 2 december 2021 (1)

Zaak C319/20

Facebook Ireland Limited

tegen

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

[verzoek van het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 80, lid 2 – Recht op een doeltreffende voorziening in rechte – Vertegenwoordiging van betrokkenen door een vereniging zonder winstoogmerk – Procesbevoegdheid van een vereniging die consumentenbelangen behartigt”






I.      Inleiding

1.        In de huidige economie, die wordt gekenmerkt door de opkomst van de digitale economie, kan de verwerking van persoonsgegevens personen niet alleen raken in hun hoedanigheid van natuurlijke persoon die de bij verordening (EU) 2016/679(2) verleende rechten geniet, maar ook in hun hoedanigheid van consument.

2.        Die hoedanigheid heeft tot gevolg dat er steeds vaker vorderingen worden ingesteld door verenigingen die consumentenbelangen behartigen om gedragingen van bepaalde verwerkingsverantwoordelijken te doen staken die tegelijkertijd afbreuk doen aan de bij voornoemde verordening beschermde rechten en aan rechten die worden beschermd bij andere Unierechtelijke en nationaalrechtelijke regelingen, met name op het gebied van consumentenbescherming en de bestrijding van oneerlijke handelspraktijken.

3.        Het onderhavige verzoek om een prejudiciële beslissing is ingediend in het kader van een geschil tussen het Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Duitse federale vereniging van consumentenbeschermingsorganisaties; hierna: „Bundesverband”) en Facebook Ireland Limited, gevestigd in Ierland. Het Bundesverband beticht laatstgenoemde vennootschap ervan de Duitse wetgeving inzake de bescherming van persoonsgegevens te schenden, hetgeen tegelijkertijd een oneerlijke handelspraktijk, een schending van een consumentenbeschermingswet en een schending van het verbod op de toepassing van ongeldige algemene voorwaarden vormt.

4.        Met dit verzoek wordt het Hof in wezen verzocht om uitlegging van artikel 80, lid 2, van verordening 2016/679, teneinde vast te stellen of die bepaling zich ertegen verzet dat verenigingen die consumentenbelangen behartigen na de inwerkingtreding van deze verordening de bij het nationale recht aan hen verleende bevoegdheid behouden om gedragingen te doen staken die een schending vormen zowel van de bij voornoemde verordening verleende rechten, als van regelingen die de bescherming van de consumentenrechten en de bestrijding van oneerlijke handelsparktijken beogen. Voor zover het Hof reeds heeft verklaard(3) dat een dergelijke procesbevoegdheid verenigbaar is met richtlijn 95/46/EG(4), moet het zich nu uitspreken over de vraag of de rechtstoestand op dit vlak al dan niet is gewijzigd door verordening 2016/679.

II.    Toepasselijke bepalingen

A.      Verordening 2016/679

5.        Artikel 80 van verordening 2016/679, „Vertegenwoordiging van betrokkenen”, bepaalt(5):

„1.      De betrokkene heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doelstellingen het openbare belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.

2.      De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het/zij van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.”

B.      Duits recht

6.        § 3, lid 1, van het Gesetz gegen den unlauteren Wettbewerb (wet inzake oneerlijke mededinging)(6) van 3 juli 2004, in de op het hoofdgeding toepasselijke versie, bepaalt:

„Oneerlijke handelspraktijken zijn verboden.”

7.        § 3a UWG luidt als volgt:

„Eenieder die handelt in strijd met een wettelijk voorschrift dat mede is vastgesteld om in het belang van de marktdeelnemers het marktgedrag te reguleren, maakt zich schuldig aan een oneerlijke handelspraktijk indien de inbreuk de belangen van consumenten, andere marktdeelnemers of concurrenten wezenlijk kan aantasten.”

8.        § 8, leden 1 en 3, UWG luiden als volgt:

„(1)      Van eenieder die zich schuldig maakt aan een krachtens § 3 of § 7 verboden handelspraktijk, kan worden gevorderd dat hij deze praktijk staakt en er, in geval van gevaar voor recidive, in de toekomst van afziet. Dit laatste kan reeds worden gevorderd wanneer zich een dergelijke overtreding van § 3 of § 7 dreigt voor te doen.

[...]

(3)      De in lid 1 bedoelde vorderingen komen toe aan:

[...]

3.      bevoegde instanties die aantonen dat zij zijn vermeld in de lijst van de bevoegde instanties bedoeld in § 4 van het [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (wet betreffende verbodsacties bij inbreuken op het consumentenrecht of bij andere inbreuken(7)) van 26 november 2001, in de op het hoofdgeding toepasselijke versie] of in de lijst van de Europese Commissie als bedoeld in artikel 4, lid 3, van richtlijn 2009/22/EG van het Europees Parlement en de Raad van 23 april 2009 betreffende het doen staken van inbreuken in het raam van de bescherming van de consumentenbelangen[(8)];

[...]”

9.        § 2 UKlaG luidt:

„(1)      Van eenieder die op andere wijze dan door de toepassing of aanbeveling van algemene voorwaarden inbreuk maakt op bepalingen ter bescherming van de consument (wetten betreffende de bescherming van de consument), kan in het belang van de bescherming van de consument worden gevorderd dat hij deze inbreuk staakt en er in de toekomst van afziet.

(2)      In de zin van deze bepaling wordt onder ‚wetten betreffende de bescherming van de consument’ met name verstaan:

[...]

11.      de voorschriften die regelen onder welke voorwaarden een ondernemer:

a)      persoonsgegevens van een consument mag verzamelen of

b)      de persoonsgegevens die met betrekking tot een consument zijn verzameld, mag verwerken of gebruiken,

wanneer de gegevens worden verzameld, verwerkt of gebruikt om reclame te maken, markt- en opinieonderzoeken te verrichten, een kredietbeoordelingsbureau te exploiteren, persoonlijkheids- en gebruikersprofielen op te stellen, adressen te verkopen, andere gegevens te verhandelen, of voor soortgelijke commerciële doeleinden.

[...]”

10.      Het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) geeft aan dat beroepsgerechtigde entiteiten in de zin van § 3, lid 1, eerste volzin, punt 1, UKlaG krachtens die bepaling verbodsacties kunnen instellen tegen schendingen van de wetgeving op het gebied van consumentenbescherming, waaronder volgens § 2, lid 2, eerste volzin, punt 11, van die wet ook de voorschriften vallen die zien op de toelaatbaarheid van het verzamelen, verwerken of gebruiken door een handelaar van persoonsgegevens van een consument voor reclamedoeleinden. Nog op grond van § 3, lid 1, eerste volzin, punt 1, UKlaG kunnen beroepsgerechtigde entiteiten overeenkomstig § 1 UKlaG bovendien een verbodsactie instellen tegen de toepassing van algemene voorwaarden die krachtens § 307 van het Bürgerliche Gesetzbuch (Duits burgerlijk wetboek; hierna: „BGB”) als ongeldig moeten worden beschouwd indien zij van mening zijn dat die algemene voorwaarden schending opleveren van een bepaling van gegevensbeschermingsrecht.

11.      § 13, lid 1, van het Telemediengesetz (wet inzake elektronische media; hierna: „TMG”)(9), van 26 februari 2007, bepaalt:

„De aanbieder van diensten moet – voor zover dit nog niet zou zijn gebeurd – de gebruiker bij het begin van het gebruik op een gemakkelijk te begrijpen wijze informeren over de aard, de omvang en het doel van de verzameling en het gebruik van persoonsgegevens en over de verwerking van zijn gegevens in staten buiten het toepassingsgebied van [richtlijn 95/46]. Bij een geautomatiseerde procedure, die later de identificatie van de gebruiker mogelijk maakt en waarmee het verzamelen of gebruik van persoonsgegevens wordt voorbereid, dient de gebruiker bij het begin van deze procedure te worden geïnformeerd. De gebruiker moet de inhoud van deze informatie te allen tijde kunnen consulteren.”

III. Feiten van het hoofdgeding en prejudiciële vraag

12.      In Duitsland is het Bundesverband opgenomen in de lijst van beroepsgerechtigde entiteiten in de zin van § 4 UKlaG. Facebook Ireland beheert onder het adres www.facebook.de het internetplatform Facebook, dat wordt gebruikt voor de uitwisseling van persoonlijke en andere gegevens.

13.      Op het internetplatform Facebook bevindt zich een zogenoemd appcentrum waar Facebook Ireland haar gebruikers onder meer gratis spellen van derde leveranciers aanbiedt. Bij het aanklikken van bepaalde spellen in het appcentrum op 26 november 2012 kregen gebruikers onder een button „Sofort spielen” („Nu spelen”) een aantal vermeldingen te zien. Daaruit bleek in wezen dat het gebruik van de toepassing in kwestie de vennootschap die de spellen had geleverd toeliet een aantal persoonsgegevens te ontvangen en haar de toestemming gaf om namens de gebruikers bepaalde gegevens te posten, waaronder hun score. Door de toepassing te gebruiken, ging de gebruiker akkoord met de algemene voorwaarden en met het gegevensbeschermingsbeleid van de toepassing. Bij het spel Scrabble werd bovendien aangegeven dat de toepassing statusberichten, foto’s en dergelijke meer mocht posten in naam van de gebruiker.

14.      Het Bundesverband heeft kritiek op de manier waarop de vermeldingen onder de knop „Nu Spelen” in het appcentrum worden weergegeven, aangezien zij oneerlijk zouden zijn, met name wegens de niet-naleving van de wettelijke vereisten die volgens de bepalingen inzake gegevensbescherming gelden voor het verkrijgen van rechtsgeldige toestemming van de gebruiker. Voorts voert het aan dat de afsluitende vermelding bij het spel Scrabble een algemene voorwaarde is die de gebruiker onevenredig benadeelt.

15.      In deze context heeft het Bundesverband bij het Landgericht Berlin (rechter in eerste aanleg Berlijn, Duitsland) een verbodsactie ingesteld tegen Facebook Ireland. De verwijzende rechter verduidelijkt dat deze actie is ingesteld los van enige inbreuk op de specifieke rechten inzake gegevensbescherming van een individuele betrokkene en zonder dat een dergelijke persoon opdracht daartoe heeft gegeven.

16.      Het Bundesverband vordert dat het Facebook Ireland wordt verboden, onder verbeurte van een dwangsom, „in het kader van commerciële activiteiten jegens consumenten met een vaste verblijfplaats in [...] Duitsland spellen aan te bieden op de website met het adres www.facebook.com, en dit in een appcentrum, waarbij de consument door op een knop als ,[Spel spelen]’ te klikken, verklaart dat de exploitant van het spel, via het door [Facebook Ireland] beheerde sociale netwerk, informatie verkrijgt over de persoonsgegevens die op dat netwerk te vinden zijn en gemachtigd wordt namens de consument informatie door te geven (te posten) [...]”.

17.      Het Bundesverband vordert eveneens dat het Facebook Ireland wordt verboden „in overeenkomsten met consumenten met een vaste verblijfplaats in [...] Duitsland het volgende beding of bedingen met een identieke inhoud aangaande het gebruik van toepassingen (apps) in het kader van een sociaal netwerk op te nemen of bedingen met betrekking tot de doorgifte van gegevens aan de exploitanten van spellen in te roepen: ,Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten’ [(Deze toepassing mag statusberichten, foto’s en dergelijke meer in jouw naam posten)]”.

18.      Het Landgericht Berlin heeft de door het Bundesverband tegen Facebook Ireland ingestelde vordering toegewezen. Het door Facebook Ireland tegen deze toewijzing bij het Kammergericht Berlin (hoogste rechterlijke instantie van de deelstaat Berlijn, Duitsland) ingestelde hoger beroep is verworpen.

19.      Facebook Ireland heeft bij de verwijzende rechter een beroep tot Revision tegen de beslissing van de appelrechter ingesteld.

20.      De verwijzende rechter is van oordeel dat de appelrechter de vordering van het Bundesverband terecht gegrond heeft verklaard. Door schending van de uit § 13, lid 1, eerste volzin, eerste zinssnede, TMG voortvloeiende informatieverplichtingen heeft Facebook Ireland immers inbreuk gemaakt op § 3a UWG en § 2, lid 2, eerste volzin, punt 11, UKlaG. De appelrechter heeft terecht aangenomen dat de hier aan de orde zijnde bepalingen overeenkomstig § 13 TMG aan te merken zijn als bepalingen ter regulering van het marktgedrag in de zin van § 3a UWG. Bovendien betreft het hier bepalingen die in de zin van § 2, lid 2, eerste volzin, punt 11, onder a), UKlaG zien op de toelaatbaarheid van het verzamelen, verwerken of gebruiken door een handelaar van voor reclamedoeleinden verzamelde, verwerkte of gebruikte persoonsgegevens van een consument. Bovendien is de verwijzende rechter van oordeel dat Facebook Ireland wegens schending van de in casu relevante informatieverplichtingen op het gebied van gegevensbescherming een overeenkomstig § 1 UKlaG ongeldige algemene voorwaarde heeft toegepast.

21.      De verwijzende rechter vraagt zich echter af of de appelrechter het hogere beroep van het Bundesverband terecht ontvankelijk heeft verklaard. Hij vraagt zich af of een vereniging die consumentenbelangen behartigt, zoals het Bundesverband, na de inwerkingtreding van verordening 2016/679 nog steeds bevoegd is om wegens schendingen van die verordening beroep in te stellen bij de civiele rechter, ongeacht of een individuele betrokkene in zijn concrete rechten is geschonden en zonder daartoe door een dergelijke persoon te zijn gemachtigd, op grond van schending van het recht in de zin van § 3a UWG, schending van een consumentenbeschermingswet in de zin van § 2, lid 2, eerste zin, punt 11, UKlaG of de toepassing van een ongeldige algemene voorwaarde in de zin van § 1 UKlaG.

22.      De verwijzende rechter merkt op dat er vóór de inwerkingtreding van verordening 2016/679 geen twijfel bestond over de ontvankelijkheid van het beroep. Het Bundesverband was immers bevoegd om krachtens § 8, lid 3, punt 3, UWG en § 3, lid 1, eerste volzin, punt 1, UKlaG verbodsacties in te stellen bij de civiele rechter.

23.      Volgens de verwijzende rechter is het mogelijk dat deze rechtssituatie met de inwerkingtreding van verordening 2016/679 is gewijzigd.

24.      Hij merkt op dat de bepalingen van § 13, lid 1, TMG sinds die inwerkingtreding niet langer van toepassing zijn, aangezien thans de informatieverplichtingen gelden die uit de artikelen 12 tot met 14 van verordening 2016/679 voortvloeien. Volgens de verwijzende rechter heeft Facebook Ireland dan ook niet voldaan aan de verplichting die op haar rust volgens artikel 12, lid 1, eerste volzin, van voornoemde verordening, namelijk ervoor te zorgen dat de betrokkene de in artikel 13, lid 1, onder c) en e), van deze verordening bedoelde informatie over de verwerkingsdoeleinden en de ontvanger van de persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt.

25.      Wat de ontvankelijkheid van het beroep betreft, heerst er volgens de verwijzende rechter onenigheid over de vraag of beroepsgerechtigde entiteiten in de zin van § 4 UKlaG na de inwerkingtreding van verordening 2016/679 bevoegd zijn om krachtens § 8, lid 3, punt 3, UWG, ingevolge een rechtsschending in de zin van § 3a UWG, in rechte op te komen tegen schendingen van de bepalingen van deze verordening, die op grond van artikel 288, tweede alinea, VWEU rechtstreekse werking hebben.

26.      De verwijzende rechter geeft dienaangaande aan dat de meningen uiteenlopen over de vraag of verordening 2016/679 zelf in een uitputtende regeling voor de handhaving van de erin vervatte bepalingen voorziet.

27.      De rechter merkt ten aanzien van de tekst van verordening 2016/679 op dat de procesbevoegdheid die verenigingen zoals het Bundesverband aan § 8, lid 3, punt 3, UWG ontlenen, niet onder artikel 80, lid 1, van die verordening valt, aangezien de in het hoofdgeding aan de orde zijnde verbodsactie niet is ingesteld in opdracht en in naam van een betrokkene teneinde diens persoonlijke rechten uit te oefenen. Het gaat daarbij veeleer om een eigen procesbevoegdheid van het Bundesverband die deze vereniging objectief machtigt om in rechte op te komen tegen inbreuken op de bepalingen van die verordening die als een rechtsschending in de zin van § 3a UWG kunnen worden gekwalificeerd, onafhankelijk van de vraag of is afgedaan aan de concrete rechten van betroffen personen dan wel in hun opdracht wordt gehandeld.

28.      De verwijzende rechter stelt dat artikel 80, lid 2, van verordening 2016/679 geen regeling bevat waaraan het Bundesverband procesbevoegdheid kan ontlenen met het oog op de objectieve handhaving van het gegevensbeschermingsrecht. Deze bepaling voorziet weliswaar in de mogelijkheid om aan een dergelijke entiteit de bevoegdheid te verlenen om een klacht in te dienen zonder dat een getroffene haar opdracht daartoe heeft verleend, maar daartoe is dan nog steeds vereist dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van een verwerking. Bijgevolg kan aan de bewoordingen van artikel 80, lid 2, van de verordening evenmin procesbevoegdheid worden ontleend ten behoeve van verenigingen op grond waarvan deze – zoals in casu op grond van § 3a en § 8, lid 3, punt 3, UWG – in rechte kunnen opkomen tegen schendingen van het gegevensbeschermingsrecht wanneer hun klacht losstaat van de schending van de subjectieve rechten van een concrete betrokken persoon. Hetzelfde kan worden afgeleid uit de tweede volzin van overweging 142 van verordening 2016/679, waarin de schending van de rechten van een betrokken persoon eveneens als voorwaarde wordt genoemd voor de procesbevoegdheid van verenigingen om een klacht in te dienen ongeacht een machtiging door een betrokkene.

29.      De procesbevoegdheid van verenigingen, zoals vastgesteld in § 8, lid 3, UWG, kan volgens de verwijzende rechter evenmin worden gesteund op artikel 84, lid 1, van verordening 2016/679, volgens welke bepaling de lidstaten de regels vaststellen inzake andere sancties die van toepassing zijn op inbreuken op deze verordening en alle nodige maatregelen treffen om ervoor te zorgen dat zij worden toegepast. Een procesbevoegdheid van verenigingen, zoals bedoeld in § 8, lid 3, UWG, kan geen „sanctie” vormen in de zin van die bepaling van de verordening.

30.      De verwijzende rechter merkt voorts op dat op basis van de systematiek van verordening 2016/679 niet met zekerheid kan worden bepaald of de procesbevoegdheid van een orgaan op grond van § 8, lid 3, punt 3, UWG, dus op grond van een bepaling waarmee wordt beoogd oneerlijke concurrentie tegen te gaan, sinds de inwerkingtreding van de verordening nog steeds kan worden erkend. Deze rechter is van oordeel dat uit het feit dat deze verordening de toezichthoudende autoriteiten omvangrijke bevoegdheden verleent om controles uit te voeren, onderzoek te verrichten en corrigerende maatregelen te nemen, kan worden afgeleid dat het in beginsel aan de toezichthoudende autoriteiten staat om te zorgen voor de handhaving van de verordening. Dat zou tegen een ruime uitlegging van artikel 80, lid 2, van verordening 2016/679 pleiten. De verwijzende rechter merkt eveneens op dat nationale maatregelen ter uitvoering van een verordening in principe alleen mogen worden vastgesteld wanneer zij uitdrukkelijk zijn toegestaan. Tegen een uitputtende regeling van de controle op de toepassing van het recht bij verordening 2016/679 kan evenwel worden aangevoerd dat artikel 77, lid 1, artikel 78, leden 1 en 2, en ook artikel 79, lid 1, van de verordening telkens de formulering „onverminderd andere mogelijkheden [...] van beroep” bevatten.

31.      Wat de doelstelling van verordening 2016/679 betreft, zou het nuttige effect van de verordening ervoor kunnen pleiten dat verenigingen overeenkomstig § 8, lid 3, punt 3, UWG procesbevoegdheid bezitten krachtens het mededingingsrecht, onafhankelijk van een schending van concrete rechten van betrokken personen, aangezien daarmee een aanvullende mogelijkheid tot rechtshandhaving behouden blijft teneinde het overeenkomstig overweging 10 van die verordening beoogde hoge niveau van gegevensbescherming te waarborgen. Daartegenover staat dat de erkenning van de procesbevoegdheid krachtens het mededingingsrecht in strijd zou kunnen zijn met de harmonisatiedoelstelling die de verordening nastreeft.

32.      De verwijzende rechter betwijfelt ook of de in § 3, lid 1, eerste volzin, punt 1, UKlaG genoemde organen na de inwerkingtreding van verordening 2016/679 bevoegd zijn om in rechte op te komen tegen schendingen van de in de verordening vastgestelde bepalingen door verbodsacties wegens niet-naleving van een consumentenbeschermingswet in de zin van § 2, lid 2, eerste volzin, punt 11, UKlaG in te stellen. Hetzelfde geldt voor de bevoegdheid krachtens § 1 UKlaG van verenigingen die consumentenbelangen behartigen om een verbodsactie in te stellen tegen de toepassing van ongeldige algemene voorwaarden in de zin van artikel 307 GBG.

33.      Zelfs indien de verschillende nationale regelingen die vóór de inwerkingtreding van verordening 2016/679 in de procesbevoegdheid van entiteiten hebben voorzien, als vervroegde omzetting van artikel 80, lid 2, van die verordening zouden kunnen worden gezien, zou het Bundesverband, opdat zijn procesbevoegdheid kan worden erkend in de onderhavige zaak, volgens de verwijzende rechter moeten aanvoeren dat met de verwerking afbreuk wordt gedaan aan de rechten die een betrokkene kan ontlenen aan die verordening. Aan die voorwaarde is echter niet voldaan.

34.      De verwijzende rechter onderstreept dat de verbodsactie van het Bundesverband immers eerder strekt tot het in abstracto toetsen van de wijze waarop het appcentrum van Facebook Ireland wordt voorgesteld, aan de objectief-juridische maatstaf van het gegevensbeschermingsrecht, zonder dat het Bundesverband schending heeft aangevoerd van de rechten van een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4, punt 1, van verordening 2016/679.

35.      De verwijzende rechter geeft aan dat indien zou worden vastgesteld dat de procesbevoegdheid waarover het Bundesverband volgens voornoemde bepalingen van het Duitse recht beschikte, na de inwerkingtreding van verordening 2016/679 is weggevallen, hij het door Facebook Ireland ingestelde beroep in Revision zou moeten toewijzen en de verbodsactie van het Bundesverband niet-ontvankelijk verklaren, aangezien de procesbevoegdheid volgens het Duitse procesrecht moet blijven bestaan tot aan het einde van de procedure in laatste aanleg.

36.      Gelet op het bovenstaande heeft het Bundesgerichtshof de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vraag:

„Staan de bepalingen in hoofdstuk VIII – en inzonderheid artikel 80, leden 1 en 2, en artikel 84, lid 1, van verordening 2016/679 – in de weg aan nationale regelingen die, naast de bevoegdheden tot optreden van de voor het toezicht op en de handhaving van de verordening bevoegde autoriteiten en de aan de betrokkene geboden rechtsbeschermingsmogelijkheden, zowel aan concurrenten als aan naar nationaal recht beroepsgerechtigde verenigingen, organen en beroepsorganisaties de bevoegdheid verlenen om wegens schendingen van verordening 2016/679 bij de civiele rechter op te komen tegen de inbreukmaker, op grond van het verbod op oneerlijke handelspraktijken, schending van een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden, ongeacht of een individuele betrokkene in zijn concrete rechten is geschonden en zonder daartoe door een betrokkene te zijn gemachtigd?”

37.      Schriftelijke opmerkingen zijn ingediend door het Bundesverband, Facebook Ireland, de Oostenrijkse en de Portugese regering en de Commissie. Met uitzondering van de Portugese regering hebben al deze partijen, alsmede de Duitse regering, hun argumenten mondeling voorgedragen ter terechtzitting van 23 september 2021.

IV.    Analyse

38.      Met zijn vraag wenst de verwijzende rechter in wezen te vernemen of verordening 2016/679, en in het bijzonder artikel 80, lid 2, aldus moet worden uitgelegd dat zij zich verzet tegen een nationale regeling die verenigingen die consumentenbelangen behartigen de mogelijkheid biedt om in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, op grond van het verbod op oneerlijke handelspraktijken, schending van een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden.

39.      Volgens artikel 4, punt 1, van verordening 2016/679 is een „betrokkene” in de zin van die verordening „een geïdentificeerde of identificeerbare natuurlijke persoon”. Wanneer dergelijke personen van mening zijn dat hun persoonsgegevens zijn verwerkt in strijd met de bepalingen van deze verordening, beschikken zij over meerdere rechtsmiddelen.

40.      Zo hebben betrokkenen op grond van artikel 77 van diezelfde verordening het recht om een klacht in te dienen bij een toezichthoudende autoriteit. Voorts hebben betrokkenen op grond van artikel 78 van verordening 2016/679 het recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit. Bovendien verleent artikel 79, lid 1, van de verordening elke betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.

41.      Betrokkenen kunnen uiteraard zelf een klacht indienen bij een toezichthoudende autoriteit, of zij kunnen voornoemde voorzieningen in rechte instellen. Artikel 80 van verordening 2016/679 biedt betrokkenen onder bepaalde voorwaarden echter ook de mogelijkheid om zich te laten vertegenwoordigen door een orgaan, organisatie of vereniging zonder winstoogmerk. Naast de voorzieningen in rechte die worden ingesteld door de betrokkenen zelf, voorziet het Unierecht ook in verschillende mogelijkheden om representatieve vorderingen in te stellen via entiteiten die belast worden met de vertegenwoordiging van de betrokkenen.(10) Artikel 80 van verordening 2016/679 volgt derhalve de tendens om de representatieve vorderingen die door dergelijke entiteiten worden ingesteld ter verdediging van algemene of collectieve belangen, verder te ontwikkelen als middel om de toegang tot de rechter van personen die geraakt worden door schendingen van de geldende voorschriften te versterken.(11)

42.      Artikel 80 van verordening 2016/679, met als opschrift „Vertegenwoordiging van betrokkenen”, bevat twee leden. Het eerste betreft de situatie waarin een betrokkene een orgaan, organisatie of vereniging zonder winstoogmerk de opdracht geeft hem te vertegenwoordigen. Het tweede ziet op onafhankelijk van de opdracht van een betrokkene door een entiteit ingestelde representatieve vorderingen.

43.      Aangezien de door het Bundesverband ingestelde verbodsactie niet berust op de opdracht van een betrokkene, is in de onderhavige prejudiciële verwijzing artikel 80, lid 2, van verordening 2016/679 de relevante bepaling.

A.      Arrest Fashion ID

44.      In het arrest Fashion ID heeft het Hof zich ten aanzien van richtlijn 95/46 uitgesproken over een soortgelijke vraag als die in deze prejudiciële verwijzing. Zo heeft het verklaard dat „de artikelen 22, 23 en 24 van [die richtlijn] aldus moeten worden uitgelegd dat zij niet in de weg staan aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens”.(12)

45.      Om tot die conclusie te komen, is het Hof uitgegaan van de vaststelling dat in geen enkele bepaling van richtlijn 95/46 aan de lidstaten de verplichting wordt opgelegd of uitdrukkelijk de bevoegdheid wordt toegekend om in hun nationale recht een vereniging de mogelijkheid te bieden om een betrokkene in rechte te vertegenwoordigen of om op eigen initiatief een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens.(13) Volgens het Hof betekent dit echter niet dat de richtlijn in de weg staat aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij zich aan een dergelijke inbreuk schuldig maakt.(14) In dat verband heeft het Hof gewezen op de inherente kenmerken van een richtlijn en op de verplichting die rust op de lidstaten waarvoor de betreffende richtlijn bestemd is om alle maatregelen te treffen die nodig zijn om de volle werking van die richtlijn overeenkomstig het ermee beoogde doel te verzekeren.(15)

46.      Het Hof heeft eraan herinnerd dat een van de doelstellingen van richtlijn 95/46 erin bestaat „met betrekking tot de verwerking van persoonsgegevens te zorgen voor een doeltreffende en volledige bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op bescherming van de persoonlijke levenssfeer” en „een hoog beschermingsniveau in de [Europese] Unie te waarborgen”.(16) Volgens het Hof draagt het feit dat een lidstaat in zijn nationale regeling aan een vereniging die consumentenbelangen behartigt, de mogelijkheid biedt om een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, bij aan de verwezenlijking van deze doelstellingen.(17) Het Hof heeft bovendien benadrukt dat „de lidstaten bij de omzetting van [...] richtlijn [95/46] in velerlei opzicht over speelruimte beschikken”(18), in het bijzonder met betrekking tot de artikelen 22, 23 en 24 van die richtlijn, die „in algemene bewoordingen zijn gesteld, en die geen uitputtende harmonisatie tot stand brengen van de nationale bepalingen inzake beroepen die bij de rechter kunnen worden ingesteld tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens”(19). „Dat aan een vereniging die consumentenbelangen behartigt, de mogelijkheid wordt geboden om een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, lijkt [dus] te kunnen worden aangemerkt als een in [artikel 24 van de richtlijn] bedoelde passende maatregel, die [...] overeenkomstig de rechtspraak van het Hof bijdraagt aan de verwezenlijking van de met die richtlijn nagestreefde doelstellingen”.(20)

47.      Met de onderhavige prejudiciële verwijzing wordt het Hof verzocht om te bepalen of hetgeen onder richtlijn 95/46 was toegestaan, na de inwerkingtreding van verordening 2016/679 moet worden verboden. Leidt artikel 80, lid 2, van deze verordening met andere woorden tot de schrapping in rechte van de procesbevoegdheid van een vereniging die consumentenbelangen behartigt in het kader van een verbodsactie zoals die in het hoofdgeding?

48.      Dat valt reeds te betwijfelen op basis van punt 62 van het arrest Fashion ID, waarin het Hof heeft opgemerkt dat „het feit dat het de lidstaten op grond van artikel 80, lid 2, van verordening 2016/679 [...] uitdrukkelijk is toegestaan om verenigingen die consumentenbelangen behartigen, de mogelijkheid te bieden in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, geenszins [impliceert] dat de lidstaten hun dit recht onder de vigeur van richtlijn 95/46 niet mochten toekennen, maar [...] door dat feit juist [wordt] bevestigd dat de in dit arrest in aanmerking genomen uitlegging van die richtlijn de wil van de Uniewetgever weerspiegelt”.(21)

49.      Om de redenen die ik hierna zal uiteenzetten, ben ik van oordeel dat noch de vervanging van richtlijn 95/46 door een verordening, noch de omstandigheid dat in verordening 2016/679 een artikel is gewijd aan de vertegenwoordiging van betrokkenen in het kader van rechtsvorderingen, iets afdoet aan het oordeel van het Hof in het arrest Fashion ID, te weten dat het de lidstaten is toegestaan om verenigingen die consumentenbelangen behartigen, de mogelijkheid te bieden in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens.

B.      Bijzondere kenmerken van verordening 2016/679

50.      Er zij met betrekking tot de vervanging van richtlijn 95/46 door een andere regeling, te weten verordening 2016/679, op gewezen dat de keuze van de Uniewetgever voor de rechtsvorm van een verordening, die krachtens artikel 288 VWEU verbindend is in al haar onderdelen en rechtstreeks toepasselijk is in elke lidstaat, te verklaren is door de wil van die wetgever om, zoals aangegeven in overweging 13 van verordening 2016/679, natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen. Met deze verordening lijkt op het eerste gezicht dan ook een volledige harmonisatie te worden nagestreefd waarbij niet louter minimumnormen worden vastgesteld die de lidstaten strenger zouden kunnen maken en aan de lidstaten niet de keuze laten om af te wijken van de bepalingen van de verordening of deze aan te vullen of uit te voeren, teneinde de gelijktijdige en uniforme toepassing in de Unie van de bepalingen van de verordening niet gevaar te brengen.

51.      De werkelijkheid blijkt complexer. De rechtsgrondslag van verordening 2016/679, te weten artikel 16 VWEU(22), verzet zich immers tegen de aanname dat de Unie met de vaststelling van die verordening alle mogelijke vertakkingen zou hebben bestreken die de bescherming van persoonsgegevens kan hebben op andere gebieden, met name betreffende het arbeidsrecht, het mededingingsrecht of het consumentenrecht, door de lidstaten het recht te ontzeggen om op meer of minder autonome wijze, naargelang het al dan niet een bij het Unierecht geregeld gebied betreft, specifieke voorschriften op die gebieden vast te stellen.(23) In die zin is de met verordening 2016/679 beoogde harmonisatie, ook al is de bescherming van persoonsgegevens transversaal van aard, beperkt tot de specifieke aspecten die ter zake worden geregeld in de verordening. Daarbuiten staat het de lidstaten nog steeds vrij wetgeving vast te stellen, voor zover die geen afbreuk doet aan de inhoud en de doelstellingen van de verordening.

52.      Als de bepalingen van verordening 2016/679 nader worden bekeken, dient te worden vastgesteld dat de omvang van de met die verordening beoogde harmonisatie verschilt naargelang de specifieke bepaling. De normatieve werking van de verordening moet dus per geval afzonderlijk worden bepaald.(24) Hoewel in lijn met de vaste rechtspraak betreffende richtlijn 95/46(25) kan worden gesteld dat verordening 2016/679 „in beginsel tot een volledige harmonisatie” strekt, wordt in diverse bepalingen van die verordening evenwel een manoeuvreerruimte aan de lidstaten gelaten die, naargelang van het geval, door hen kan worden aangewend onder de voorwaarden en binnen de grenzen die in die bepalingen zijn vastgesteld.(26)

53.      Er zij aan herinnerd dat volgens vaste rechtspraak van het Hof „bepalingen van verordeningen krachtens artikel 288 VWEU en wegens hun aard en hun functie in het systeem van de bronnen van het Unierecht in het algemeen rechtstreekse werking hebben in de nationale rechtsorden, zonder dat de nationale autoriteiten uitvoeringsmaatregelen hoeven vast te stellen. Voor sommige bepalingen kan het evenwel noodzakelijk zijn dat door de lidstaten nationale maatregelen ter uitvoering ervan worden vastgesteld”.(27) Het gebruik van een verordening betekent niet noodzakelijk dat de bepalingen van die verordening aan de rechtssubjecten geen enkele bewegingsruimte laten.(28) Het verbindende en rechtstreeks toepasselijke karakter van een verordening belet overigens niet dat een dergelijke handeling facultatieve regels kan bevatten.(29)

54.      Artikel 80, lid 2, van verordening 2016/679 is, gelet op het gebruik van het woord „kunnen”, een voorbeeld van een facultatieve bepaling die de lidstaten een beoordelingsmarge laat bij de uitvoering ervan.

55.      Deze bepaling maakt deel uit van de talrijke „open clausules” in deze verordening, die deze verordening onderscheiden van een klassieke verordening en haar meer op een richtlijn doen lijken.(30) De verwijzingen naar het nationale recht in deze clausules kunnen verbindend zijn(31), maar vaker nog betreffen zij een mogelijkheid die aan de lidstaten wordt geboden(32). Gebleken is dat de talrijke verwijzingen naar de nationale rechtsorden het risico meebrengen van een nieuwe versnippering van het stelsel voor de bescherming van persoonsgegevens binnen de Unie, hetgeen zou indruisen tegen de wil van de Uniewetgever om tot een verder doorgedreven uniformisering van dat stelsel te komen en nadelige gevolgen zou kunnen hebben voor de doeltreffendheid van voornoemde bescherming en voor de begrijpelijkheid van de verplichtingen voor de verwerkingsverantwoordelijken en verwerkers.(33) De reikwijdte van de bij verordening 2016/679 tot stand gebrachte harmonisatie wordt dus beperkt door de talrijke „open clausules” in die verordening.

56.      Het is duidelijk dat de Uniewetgever de aspecten die verband houden met de vertegenwoordiging van betrokkenen met het oog op het indienen van een klacht bij een toezichthoudende autoriteit of het instellen van een rechtsvordering in verordening 2016/679 uitgebreider en nauwkeuriger heeft willen regelen dan in richtlijn 95/46 het geval was.(34) Lid 1 en lid 2 van artikel 80 van deze verordening hebben evenwel niet dezelfde normatieve werking. Terwijl lid 1 van dit artikel verbindend is voor de lidstaten(35), biedt lid 2 hun immers louter een mogelijkheid. Zo is het noodzakelijk dat de lidstaten, opdat de in artikel 80, lid 2, van de verordening bedoelde representatieve vordering zonder machtiging kan worden ingesteld, gebruikmaken van de in die bepaling geboden mogelijkheid om deze vorm van vertegenwoordiging van betrokkenen op te nemen in hun nationale recht.

57.      Artikel 80, lid 2, van verordening 2016/679 kan niet worden geacht tot een volledige harmonisatie van de representatieve vorderingen zonder machtiging op het gebied van de bescherming van persoonsgegevens te hebben geleid, al is het maar omdat deze bepaling facultatief is en er daardoor verschillen tussen de nationale rechtsstelsels kunnen bestaan. De lidstaten moeten bij de omzetting van deze bepaling in hun nationale recht evenwel de voorwaarden en beperkingen eerbiedigen die de Uniewetgever aan het gebruik van de in deze bepaling geboden mogelijkheid heeft gesteld.

58.      Hoewel die voorwaarden nauwkeuriger zijn omschreven dan in richtlijn 95/46 het geval was, behouden de lidstaten een aanzienlijke beoordelingsmarge bij de tenuitvoerlegging van artikel 80, lid 2, van verordening 2016/679.

59.      Uit de gegevens waarover het Hof beschikt, blijkt dat de Duitse wetgever na de inwerkingtreding van deze verordening geen specifieke bepalingen heeft vastgesteld om artikel 80, lid 2, van de verordening om te zetten in zijn nationale recht. Onderzocht moet echter worden, zoals de verwijzende rechter aan het Hof vraagt, of de bestaande voorschriften van het Duitse recht waarbij verenigingen die consumentenbelangen behartigen procesbevoegdheid is verleend om gedragingen te doen staken die een schending opleveren van zowel de bepalingen van verordening 2016/679 als de voorschriften ter bescherming van de consumenten, verenigbaar zijn met die bepaling. Met andere woorden, is het nationale recht dat werd vastgesteld vóórdat deze verordening in werking is getreden, in overeenstemming met hetgeen volgens artikel 80, lid 2, van die verordening is toegestaan?

60.      Zoals de Duitse regering tijdens de terechtzitting heeft verduidelijkt, betreffen de nationale bepalingen waarbij verenigingen zoals het Bundesverband worden gemachtigd om een representatieve vordering zoals die in het hoofdgeding in te stellen, maatregelen ter omzetting van richtlijn 2009/22. Ter beantwoording van de vraag of dergelijke vorderingen eveneens zijn toegestaan op grond van artikel 80, lid 2, van verordening 2016/679 en of voornoemde nationale bepalingen derhalve zijn vastgesteld in het kader van de beoordelingsvrijheid die elke lidstaat toekomt(36), dient dit artikel te worden uitgelegd tegen de achtergrond van zowel de bewoordingen ervan als de systematiek en de doelstellingen van de verordening.

C.      Letterlijke, systematische en teleologische uitlegging van artikel 80, lid 2, van verordening 2016/679

61.      Volgens artikel 80, lid 2, van verordening 2016/679 kunnen de representatieve vorderingen waarin dat artikel voorziet, worden ingesteld door „een orgaan, organisatie of vereniging als bedoeld in lid 1” van dat artikel. Artikel 80, lid 1, van deze verordening gewaagt van „een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doeleinden het openbare belang dienen, en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens”. Een dergelijke definitie kan mijns inziens niet worden beperkt tot entiteiten die uitsluitend de bescherming van persoonsgegevens tot doel hebben, maar bestrijkt alle entiteiten die een doelstelling van openbaar belang nastreven die verband houdt met de bescherming van persoonsgegevens. Dat is het geval voor verenigingen die consumentenbelangen behartigen, zoals het Bundesverband, die vorderingen instellen tot staking van gedragingen die, doordat zij inbreuk maken op de bepalingen van deze verordening, eveneens de regels inzake consumentenbescherming of de strijd tegen oneerlijke mededinging schenden.(37)

62.      Uit artikel 80, lid 2, van verordening 2016/679 volgt dat de representatieve vordering kan worden ingesteld door een entiteit die voldoet aan de in lid 1 van dat artikel genoemde voorwaarden, indien zij „van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking”. In tegenstelling tot wat de verwijzende rechter lijkt te suggereren, geloof ik niet dat die laatste zinssnede restrictief moet worden uitgelegd, alsof deze zou betekenen dat entiteiten, teneinde over procesbevoegdheid te beschikken volgens hetgeen artikel 80, lid 2, van verordening 2016/679 bepaalt, vooraf een of meerdere personen zouden moeten identificeren die door de desbetreffende verwerking de facto worden geraakt. Niets in de ontstaansgeschiedenis van deze verordening wijst daarop. Bovendien lijkt de definitie van het begrip „betrokkene” in de zin van artikel 4, punt 1, van de verordening, te weten „een geïdentificeerde of identificeerbare natuurlijke persoon”(38) mijns inziens in tegenspraak te zijn met het vereiste dat personen wier persoonsgegevens in strijd met de bepalingen van verordening 2016/679 zijn verwerkt, reeds geïdentificeerd moeten zijn op het tijdstip waarop een representatieve vordering wordt ingesteld op grond van artikel 80, lid 2, van die verordening. Daaruit volgt logischerwijs dat uit hoofde van deze bepaling niet kan worden geëist dat een entiteit het bestaan van concrete gevallen jegens individueel aangeduide personen aantoont teneinde bevoegd te zijn om een vordering in te stellen overeenkomstig die bepaling.

63.      Ik ben van mening dat om volgens artikel 80, lid 2, van verordening 2016/679 een representatieve vordering te kunnen instellen, enkel hoeft te worden aangevoerd dat er sprake is van een verwerking van persoonsgegevens die is verricht in strijd met bepalingen van deze richtlijn waarbij individuele rechten worden beschermd, zodat die verwerking de rechten van geïdentificeerde of identificeerbare personen kan schenden, zonder dat de procesbevoegdheid van een entiteit voor elk geval afzonderlijk hoeft te worden getoetst aan de vraag of de rechten van een of meerdere specifieke personen zijn geschonden.(39) Kortom, een dergelijke vordering moet gebaseerd zijn op de schending van de rechten die een natuurlijke persoon ten gevolge van een verwerking van zijn persoonsgegevens aan die verordening kán ontlenen. Deze vordering heeft niet tot doel een objectief recht te beschermen, maar strekt uitsluitend tot bescherming van de subjectieve rechten die de betrokkenen rechtstreeks ontlenen aan verordening 2016/679.(40) Met de open clausule in artikel 80, lid 2, van de verordening wordt met andere woorden beoogd dat procesbevoegde entiteiten door een toezichthoudende autoriteit of door een rechter kunnen laten controleren of de verwerkingsverantwoordelijken de in de verordening vastgestelde voorschriften ter bescherming van betrokkenen hebben nageleefd.(41) In dat opzicht volstaat het dat een entiteit de schending aanvoert van bepalingen van verordening 2016/679 die tot doel hebben de subjectieve rechten van betrokkenen te beschermen opdat zij procesbevoegd zou zijn uit hoofde van artikel 80, lid 2.

64.      Zoals de Commissie in wezen aangeeft, zou een uitlegging van artikel 80, lid 2, van verordening 2016/679 waarbij een entiteit, teneinde een representatieve vordering zonder machtiging te kunnen instellen, zou moeten aantonen of aanvoeren dat de rechten van een bepaalde persoon in een bepaalde situatie zijn geschonden, de werkingssfeer van deze bepaling al te zeer inperken. Net als de Portugese regering en de Commissie ben ik van mening dat artikel 80, lid 2, van deze verordening aldus moet worden uitgelegd dat de nuttige werking ervan behouden blijft ten opzichte van lid 1 van dat artikel. Artikel 80, lid 2, van die verordening moet volgens mij dan ook aldus worden opgevat dat het verder reikt dan alleen de vertegenwoordiging van individuele gevallen zoals bedoeld in lid 1 van dat artikel, doordat het de mogelijkheid biedt om – op eigen initiatief van de procesbevoegde autoriteiten – de collectieve belangen van personen wier persoonsgegevens in strijd met verordening 2016/679 zijn verwerkt, autonoom te vertegenwoordigen De nuttige werking van artikel 80, lid 2, van die verordening zou sterk worden beperkt indien zou worden geoordeeld dat entiteiten, net zoals in lid 1 van dat artikel wordt geëist, in beide gevallen uitsluitend vorderingen ter vertegenwoordiging van individueel en met naam aangeduide personen zouden kunnen instellen.

65.      Deze door mij bepleite uitlegging van artikel 80, lid 2, van verordening 2016/679 strookt overigens met het preventieve karakter en het ontradende doel van verbodsacties en met het feit dat zij losstaan van enig individueel conflict.(42)

66.      Om te vermijden dat er met betrekking tot de procesbevoegdheid van entiteiten die een verbodsactie kunnen instellen twee verschillende maatstaven zouden ontstaan naargelang de betrokken verbodsactie gebaseerd is op een nationale maatregel die binnen de werkingssfeer van artikel 80, lid 2, van verordening 2016/679 dan wel binnen de werkingssfeer van richtlijn 2020/1828 valt, lijkt het mij aangewezen om – hoewel die richtlijn niet van toepassing is in het hoofdgeding – rekening te houden met het feit dat laatstgenoemde richtlijn niet van dergelijke entiteiten eist dat zij individuele, met naam aangeduide consumenten ten tonele voeren die zijn geraakt door de inbreuk in kwestie(43), maar wel dat zij aanvoeren dat handelaren inbreuken hebben gepleegd op de in bijlage I bij die richtlijn bedoelde bepalingen van Unierecht(44), welke bijlage overigens melding maakt van verordening 2016/679, in punt 56 ervan.

67.      Indien het standpunt wordt ingenomen dat artikel 80, lid 2, van verordening 2016/679 restrictief moet worden uitgelegd, worden de verdediging van de collectieve belangen van consumenten(45) en de bescherming van de rechten van elke persoon wiens gegevens in strijd met deze verordening zijn verwerkt, mijns inziens ten onrechte als antipoden benaderd. De verdediging van de collectieve belangen van consumenten sluit volgens mij immers de bescherming van de subjectieve rechten die betrokkenen rechtstreeks aan verordening 2016/679 ontlenen niet uit, maar maakt juist deel uit van die bescherming.

68.      Ik zie in het feit dat in overweging 15 van richtlijn 2020/1828 staat te lezen dat „[i]ndien van toepassing[...] bijvoorbeeld nog steeds een beroep [kan] worden gedaan op de handhavingsmechanismen die zijn vastgelegd in of krachtens verordening [...] 2016/679 [...] om de collectieve belangen van consumenten te beschermen”(46), overigens de bevestiging dat de in artikel 80, lid 2, van deze verordening bedoelde representatieve vordering wel degelijk kan strekken tot de bescherming van laatstgenoemde belangen.

69.      Uit het voorgaande leid ik af dat artikel 80, lid 2, van verordening 2016/679 de lidstaten mijns inziens toestaat te voorzien in een mogelijkheid voor bevoegde entiteiten om, zonder machtiging van de betrokkenen, representatieve vorderingen in te stellen om de collectieve belangen van de consumenten te beschermen, voor zover schending wordt aangevoerd van bepalingen van die verordening die tot doel hebben subjectieve rechten aan de betrokkenen te verlenen.

70.      Dat is wel degelijk het geval in de verbodsactie die het Bundesverband heeft ingesteld tegen Facebook Ireland.

71.      Ik herinner eraan dat Facebook Ireland naar de mening van de verwijzende rechter en volgens de vordering van het Bundesverband de voor haar uit artikel 12, lid 1, eerste volzin, van verordening 2016/679 voortvloeiende verplichting niet is nagekomen om ervoor te zorgen dat de betrokkene de in artikel 13, lid 1, onder c) en e), van deze verordening bedoelde informatie over de verwerkingsdoeleinden en de ontvanger van de persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt. Deze bepalingen behoren ontegensprekelijk tot de categorie van bepalingen waarbij subjectieve rechten worden verleend aan de betrokkenen, wat met name wordt bevestigd door het feit dat zij zijn opgenomen in hoofdstuk III van de verordening, met als opschrift „Rechten van de betrokkene”. De bescherming van die rechten kan dus hetzij rechtstreeks door de betrokkenen worden gevorderd, hetzij door een entiteit die daartoe bevoegd is krachtens artikel 80, lid 1, van verordening 2016/679 dan wel krachtens nationale bepalingen tot omzetting van artikel 80, lid 2, van die verordening.

72.      Ik ben voorts van mening dat artikel 80, lid 2, van verordening 2016/679 zich niet verzet tegen nationale regelingen die bepalen dat een vereniging die consumentenbelangen behartigt, bevoegd is om een verbodsactie in te stellen teneinde de eerbiediging te garanderen van de rechten die bij die verordening zijn verleend middels voorschriften die de bescherming van consumenten en de bestrijding van oneerlijke handelspraktijken beogen. Dergelijke regelingen kunnen namelijk soortgelijke bepalingen bevatten als voornoemde verordening, in het bijzonder ten aanzien van de informatie die aan betrokkenen moet worden verstrekt over de verwerking van hun persoonsgegevens(47), wat impliceert dat een inbreuk op een voorschrift inzake de bescherming van persoonsgegevens tegelijkertijd een inbreuk kan opleveren van de voorschriften inzake consumentenbescherming of oneerlijke handelspraktijken. Niets in de tekst van artikel 80, lid 2, verordening 2016/679 belet een gedeeltelijke omzetting van die open clausule, in zoverre de representatieve vordering strekt tot bescherming van de rechten die betrokkenen, in hun hoedanigheid van consumenten, aan deze verordening ontlenen.(48)

73.      Die uitlegging van artikel 80, lid 2, verordening 2016/679 is volgens mij, in deze vorm, het meest geschikt om de met die verordening nagestreefde doelstellingen te bereiken.

74.      In dat verband heeft het Hof opgemerkt dat „[z]oals blijkt uit artikel 1, lid 2, van verordening 2016/679, gelezen in samenhang met de overwegingen 10, 11 en 13 ervan, [...] deze verordening de instellingen, organen en instanties van de Unie en de bevoegde autoriteiten van de lidstaten bijgevolg de verplichting [oplegt] om een hoog niveau van bescherming van de door artikel 16 VWEU en artikel 8 van het Handvest [van de grondrechten van de Europese Unie] gewaarborgde rechten te waarborgen”.(49) Bovendien is voornoemde verordening erop gericht „te zorgen voor een doeltreffende bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen, met name hun recht op eerbiediging van de persoonlijke levenssfeer en op bescherming van persoonsgegevens”.(50)

75.      Aan de doelstelling om een hoog niveau van bescherming van persoonsgegevens te waarborgen zou worden afgedaan indien het de lidstaten zou worden belet maatregelen te nemen die, hoewel zij de bescherming van de consument beogen, eveneens bijdragen aan de verwezenlijking van de doelstelling van bescherming van de persoonsgegevens. Net zoals bij richtlijn 95/46 het geval was, kan ook na de inwerkingtreding van verordening 2016/679 nog steeds de stelling worden verdedigd dat het verlenen van procesbevoegdheid aan verenigingen die consumentenbelangen behartigen om in strijd met de bepalingen van deze verordening verrichte verwerkingen te doen staken, de rechten van de betrokkenen helpt te versterken via groepsacties.(51)

76.      De verdediging van de collectieve belangen van consumenten door verenigingen is dus bijzonder geschikt om een hoog niveau van bescherming van persoonsgegevens tot stand te brengen. Vanuit deze optiek zou de preventieve werking van de vorderingen die door deze verenigingen worden ingesteld, niet kunnen worden verzekerd indien de representatieve vordering waarin artikel 80, lid 2, van verordening 2016/679 voorziet, uitsluitend betrekking zou hebben op schendingen van de rechten van personen die daardoor individueel en daadwerkelijk worden geraakt.

77.      Een verbodsactie die wordt ingesteld door een vereniging die consumentenbelangen behartigt, zoals het Bundesverband, draagt er dus ontegensprekelijk aan bij dat de effectieve toepassing van de rechten die door verordening 2016/679 worden beschermd, wordt verzekerd.(52)

78.      Bovendien zou het op zijn minst paradoxaal zijn dat de versterking van de middelen om de naleving van de regels betreffende de bescherming van persoonsgegevens te controleren die de Uniewetgever met de vaststelling van verordening 2016/679 voor ogen had, uiteindelijk zou leiden tot een daling van het niveau van die bescherming ten opzichte van het niveau dat de lidstaten onder de vigeur van richtlijn 95/46 konden verzekeren.

79.      Het klopt dat de regelgeving inzake oneerlijke handelspraktijken, enerzijds, en de regelgeving inzake de bescherming van persoonsgegevens, anderzijds, zich in het Unierecht – in tegenstelling tot in de Verenigde Staten – los van elkaar hebben ontwikkeld. Voor beide gebieden geldt derhalve een ander rechtskader.

80.      Er bestaat evenwel een wisselwerking tussen beide gebieden, waardoor vorderingen in het kader van de regelgeving inzake de bescherming van persoonsgegevens tegelijkertijd indirect kunnen bijdragen aan het doen staken van een oneerlijke handelspraktijk. Het omgekeerde is eveneens het geval.(53) Bovendien blijkt uit verordening 2016/679 zelf, en met name uit overweging 42, dat er een verband bestaat tussen de bescherming van persoonsgegevens, vanuit het oogpunt van de toestemming die wordt gegeven voor de verwerking van die gegevens, en de bescherming van de consument. De Commissie heeft overigens gewezen op de wisselwerking tussen de Unieregelgeving betreffende de bescherming van persoonsgegevens en richtlijn 2005/29/EG(54).

81.      De gevallen waarin er sprake is van een wisselwerking tussen het recht inzake de bescherming van persoonsgegevens, het consumentenrecht en het mededingingsrecht zijn veelvuldig en meervoudig, aangezien dezelfde gedraging tegelijkertijd onder rechtsregelingen kan vallen die tot deze verschillende gebieden behoren. Een dergelijke wisselwerking helpt om de bescherming van persoonsgegevens doeltreffender te maken.(55)

82.      Het is juist dat de begunstigden van de bij verordening 2016/679 verleende rechten niet beperkt zijn tot de categorie „de consument”, aangezien de verordening niet berust op een consumentgerichte opvatting van de bescherming van natuurlijke personen wat de verwerking van persoonsgegevens betreft(56), maar op de opvatting dat deze bescherming, overeenkomstig artikel 8 van het Handvest van de grondrechten en zoals in overweging 1 en in artikel 1, lid 2, van de verordening is vermeld, een grondrecht is(57).

83.      Dat neemt echter niet weg dat de betrokkenen in het digitale tijdperk vaak consumenten zijn. Dat is dan ook de reden waarom de regels ter bescherming van consumenten vaak worden ingeroepen om die consumenten te beschermen tegen een verwerking van hun persoonsgegevens die is verricht in strijd met de bepalingen van verordening 2016/679.

84.      Aan het einde van deze analyse moet worden vastgesteld dat er mogelijk een overlapping bestaat tussen de representatieve vordering van artikel 80, lid 2, van verordening 2016/679 en die waarin richtlijn 2020/1828 voorziet om stakingsmaatregelen te verkrijgen, wanneer de „betrokkenen” in de zin van deze verordening eveneens „consumenten” zijn in de zin van artikel 3, punt 1, van die richtlijn.(58) Volgens mij wijst dit erop dat het recht inzake de bescherming van persoonsgegevens complementair is en samenhangt met andere rechtsgebieden, zoals het consumentenrecht en het mededingingsrecht. De Uniewetgever heeft die tendens bij de vaststelling van voornoemde richtlijn nog verder doorgedreven door de bescherming van de collectieve belangen van de consument nadrukkelijker te verbinden aan de naleving van verordening 2016/679. Dat kan de effectieve toepassing van de in die verordening vervatte voorschriften alleen maar ten goede komen.

V.      Conclusie

85.      Gelet op een en ander geef ik het Hof in overweging om de prejudiciële vraag van het Bundesgerichtshof te beantwoorden als volgt:

„Artikel 80, lid 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat het niet in de weg staat aan een nationale regeling die verenigingen die consumentenbelangen behartigen toestaat in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens en waarbij deze verenigingen zich beroepen op het verbod op oneerlijke handelspraktijken, een inbreuk op de consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden, wanneer de representatieve vordering in kwestie tot doel heeft de rechten te doen eerbiedigen die personen wier gegevens worden verwerkt rechtstreeks aan die verordening ontlenen.”

1      Oorspronkelijke taal: Frans.

2      Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1).

3      Zie arrest van 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629; hierna: „arrest Fashion ID”).

4      Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

5      Zie tevens overweging 142 van deze verordening.

6      BGBl. 2004 I, blz. 1414 (hierna: „UWG”).

7      BGBl. 2001 I, blz. 3138, 3173 (hierna: „UKlaG”).

8      PB 2009, L 110, blz. 30.

9      BGBl. 2007 I, blz. 179.

10      De vertegenwoordiging van betrokkenen is ook opgenomen in artikel 67 van verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van verordening (EG) nr. 45/2001 en besluit nr. 1247/2002/EG (PB 2018, L 295, blz. 39), en in artikel 55 van richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89). In beide gevallen gaat het om een vertegenwoordiging met opdracht.

11      Die tendens, waaraan met name uitvoering is gegeven in richtlijn 2009/22, heeft onlangs geleid tot de vaststelling van richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van richtlijn 2009/22/EG (PB 2020, L 409, blz. 1). De omzettingstermijn van die richtlijn is vastgesteld op 25 december 2022. Zie in dit verband Pato, A., „Collective Redress Mechanisms in the EU”, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londen, 2019, blz. 45‑117. Zie eveneens Gsell, B., „The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward”, Common Market Law Review, 58e jaargang, deel 5, Kluwer Law International, Alpen aan de Rijn, 2021, blz. 1365‑1400.

12      Zie arrest Fashion ID (punt 63 en dictum).

13      Zie arrest Fashion ID (punt 47).

14      Zie arrest Fashion ID (punt 48).

15      Zie arrest Fashion ID (punt 49).

16      Zie arrest Fashion ID (punt 50).

17      Zie arrest Fashion ID (punt 51).

18      Zie arrest Fashion ID (punt 56 en aldaar aangehaalde rechtspraak).

19      Zie arrest Fashion ID (punt 57 en dictum).

20      Zie arrest Fashion ID (punt 59).

21      Cursivering van mij.

22      Zoals het Hof heeft onderstreept in zijn arrest van 15 juni 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, punt 44).

23      Uit de preambule van verordening 2016/679 blijkt dat deze verordening is vastgesteld op grond van artikel 16 VWEU, waarin, in lid 2, met name is bepaald dat het Europees Parlement en de Raad volgens de gewone wetgevingsprocedure de voorschriften vaststellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens.

24      Om de omvang van de met een regeling zoals verordening 2016/679 beoogde harmonisatie te bepalen, is dus een „micro-analyse [nodig], waarbij wordt gekeken naar een specifieke regel of, in het beste geval, naar een specifiek en welomschreven aspect van het Unierecht”: zie conclusie van advocaat-generaal Bobek in de zaak Dzivev e.a. (C‑310/16, EU:C:2018:623, punt 74). Zie ook Mišćenić, E., en Hoffmann, A.‑L., „The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)”, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, deel 4, blz. 44‑61, waarin wordt opgemerkt dat „[i]t is [...] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them” (blz. 49).

25      Zie arrest van 6 november 2003, Lindqvist (C‑101/01, EU:C:2003:596, punt 96).

26      Zie met betrekking tot richtlijn 95/46, arrest van 6 november 2003, Lindqvist (C‑101/01, EU:C:2003:596, punt 97). In tegenstelling tot wat soms wordt gedacht, leidt de keuze van de Uniewetgever voor een verordening in plaats van een richtlijn niet noodzakelijkerwijs tot een volledige harmonisatie van het beoogde gebied. Zie Mišćenić, E., en Hoffmann, A.‑L., op. cit., die vermelden dat „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, [...] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules” (blz. 48).

27      Zie met name arrest van 15 juni 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, punt 110 en aldaar aangehaalde rechtspraak). Zie eveneens, met betrekking tot een gebied dat eerder onder een richtlijn viel, arrest van 21 december 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, punt 42), waarin het Hof heeft verduidelijkt dat de omstandigheid dat „de Unieregeling inzake dierenbescherming tijdens het vervoer voortaan bij verordening is vastgesteld, [...] niet noodzakelijkerwijs [betekent dat] elke nationale maatregel tot uitvoering van deze regeling [verboden is]”.

28      Zie arrest van 27 oktober 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29      Zo heeft het Hof erkend dat een lidstaat die ervoor heeft gekozen om een door een verordening geboden mogelijkheid niet te gebruiken, artikel 288 VWEU niet schendt: zie arrest van 17 december 2015, Imtech Marine Belgium (C‑300/14, EU:C:2015:825, punten 27‑31). Zie met betrekking tot een verordening waarbij uitvoerrestituties worden ingesteld die de lidstaten kunnen toekennen of weigeren toe te kennen, arrest van 27 oktober 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30      Zie inzake die openingsclausules Wagner, J., en Benecke, A., „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law”, European Data Protection Law Review, Lexxion, Berlijn, deel 2, nr. 3, 2016, blz. 353‑361.

31      Zie met name artikelen 51 en 84 van verordening nr. 2016/679.

32      Zie met name artikel 6, leden 2 en 3, artikel 8, lid 1, tweede alinea, en de artikelen 85‑89, van verordening nr. 2016/679.

33      Zie in dit verband Mišćenić, E., en Hoffmann, A.‑L., op. cit., die opmerken dat „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, [...] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses [...] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation” (blz. 50 en 51).

34      Richtlijn 95/46 voorzag in artikel 28, lid 4, louter in de mogelijkheid dat een vereniging een klacht kon indienen bij een toezichthoudende autoriteit namens een persoon die stelde dat zijn rechten waren geschonden in het kader van een verwerking van persoonsgegevens.

35      Zij het met uitzondering van de representatieve vordering met machtiging om namens betrokkenen het recht op de ontvangst van een vergoeding uit te oefenen, die facultatief blijft voor de lidstaten.

36      Zie naar analogie arrest van 21 december 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, punt 43).

37      Zie Pato, A., „The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights”, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburg, 2019, blz. 98‑106. Deze auteur stelt dat „[t]he number of actors who potentially have standing to sue is broad” en „[c]onsumer associations will usually meet those requirements easily” (blz. 99).

38      Cursivering van mij. Volgens diezelfde bepaling „[wordt] als identificeerbaar [...] beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”. Zoals Martial-Braz, N., „Le champ d’application du RGPD”, in Bensamoun, A., en Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Parijs, 2020, blz. 19‑33, opmerkt, „le caractère identifiable s’entend très largement puisque le critère d’identification de la personne s’entend de l’ensemble des moyens raisonnablement susceptibles d’être mis en œuvre pour identifier la personne” (blz. 24). Zie met betrekking tot het begrip „identificeerbare persoon” in de zin van artikel 2, onder a), van richtlijn 95/46, met name arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779).

39      Zie Boehm, F., „Artikel 80 Vertretung von betroffenen Personen”, in Simitis, S., Hornung, G., en Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, in het bijzonder punt 13.

40      Zie Frenzel, E. M., „Art. 80 Vertretung von betroffenen Personen”, in Paal, B. P., en Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3e druk, C.H. Beck, Munich, 2021, in het bijzonder punt 11, en Kreße, B., „Artikel 80 Vertretung von betroffenen Personen”, in Sydow, G., Europäische Datenschutzverordnung, 2e druk, Nomos, Baden-Baden, 2018, in het bijzonder punt 13.

41      Zie Moos, F., en Schefzig, J., „Art. 80 Vertretung von betroffenen Personen”, in Taeger, J., en Gabel, D., Kommentar DSGVO – BDSG, 3e druk, Deutscher Fachverlag, Frankfurt am Main, 2019, in het bijzonder punt 22.

42      Zie met betrekking tot oneerlijke bedingen in overeenkomsten tussen handelaren en consumenten met name arrest van 14 april 2016, Sales Sinués en Drame Ba (C‑381/14 en C‑385/14, EU:C:2016:252, punt 29).

43      Zie overweging 33 en artikel 8, lid 3, onder a), van richtlijn 2020/1828, waarin is bepaald dat „[d]e bevoegde instantie [...] geen bewijs [hoeft] te leveren [...] van het daadwerkelijke verlies dat of de daadwerkelijke schade die de individuele consumenten door de in artikel 2, lid 1, bedoelde inbreuk hebben geleden”. Artikel 7, lid 2, van die richtlijn bepaalt weliswaar dat de bevoegde instantie de rechtbank of de administratieve autoriteit „voldoende informatie [moet] verschaffen over de consumenten die betrokken zijn bij de representatieve vordering”, maar uit overweging 34 van die richtlijn vloeit bovendien voort dat deze informatie, waarvan de mate van detail kan verschillen naargelang de maatregel die de bevoegde instantie beoogt, niet strekt tot aanduiding van individuele consumenten die door de desbetreffende inbreuk zijn geraakt, maar eerder gegevens behelst zoals de plaats waar het schadelijke feit zich heeft voorgedaan of de groep van bij de representatieve vordering betrokken consumenten (zie eveneens overweging 65 van richtlijn 2020/1828). Ik wijs er daarnaast ook op dat zelfs wanneer met de representatieve vordering herstelmaatregelen worden beoogd, in overweging 49 van richtlijn 2020/1828 is aangegeven dat „[d]e bevoegde instantie [...] niet [mag] worden verplicht elke bij de representatieve vordering betrokken consument individueel te identificeren om de representatieve vordering te kunnen instellen”. Zie in dit verband Gsell, B., op. cit., in het bijzonder blz. 1370.

44      Zie artikel 2, lid 1, van richtlijn 2020/1828.

45      Zie overweging 3 van richtlijn 2009/22, waarin wordt gepreciseerd dat verbodsacties die binnen de werkingssfeer van deze richtlijn vallen gericht zijn op de bescherming van de „collectieve belangen van consumenten”, die worden gedefinieerd als „belangen die niet de cumulatie behelzen van belangen van individuen die door een inbreuk zijn geschaad”. In artikel 3, punt 3, van richtlijn 2020/1828 wordt het begrip „collectieve belangen van consumenten” gedefinieerd als „het algemeen belang van de consumenten, en meer in het bijzonder wat betreft maatregelen tot herstel, het belang van een groep consumenten”.

46      Cursivering van mij.

47      Zie Helberger, N., Zuiderveen Borgesius, F., en Reyna, A., „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law”, Common Market Law Review, 54e jaargang, deel 5, Kluwer Law International, Alpen aan de Rijn, 2017, blz. 1427‑1465, die opmerken dat „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual” (blz. 1437).

48      Zie Neun, A., en Lubitzsch, K., „Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz”, Betriebs-Berater, Deutscher Fachverlag, Frankfurt am Main, 2017, blz. 2563‑2569, in het bijzonder blz. 2567.

49      Zie arrest van 15 juni 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, punt 45).

50      Zie arrest van 15 juni 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, punt 91).

51      Zie conclusie van advocaat-generaal Bobek in de zaak Fashion ID (C‑40/17, EU:C:2018:1039, punt 33).

52      Voor voorbeelden van vorderingen die zijn ingesteld door verenigingen die consumentenbelangen behartigen, zie Helberger, N., Zuiderveen Borgesius, F., en Reyna, A., op. cit., in het bijzonder blz. 1452 en 1453.

53      Zie voor de complementariteit van vorderingen in verband met de bescherming van persoonsgegevens en vorderingen tot staking van oneerlijke handelspraktijken, Van Eijk, N., Hoofnagle, C. J., en Kannekens, E., „Unfair Commercial Practices: A Complementary Approach to Privacy Protection”, European Data Protection Law Review, Lexxion, Berlijn, deel 3, nr. 3, 2017, blz. 325‑337, die opmerken dat „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective” (blz. 336).

54      Richtlijn van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt en tot wijziging van richtlijn 84/450/EEG van de Raad, richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad („richtlijn oneerlijke handelspraktijken”) (PB 2005 L 149, blz. 22). Zie werkdocument van de diensten van de Commissie – Richtsnoeren voor de tenuitvoerlegging/toepassing van richtlijn 2005/29/EG betreffende oneerlijke handelspraktijken bij het document: mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de regio’s – Een brede aanpak voor het stimuleren van de grensoverschrijdende elektronische handel voor Europese burgers en bedrijven [SWD(2016) 163 final], in het bijzonder punt 1.4.10, blz. 26‑31. De Commissie legt daarin de nadruk op de noodzaak van een eerlijke verwerking van de gegevens, die inhoudt dat de betrokkene bepaalde relevante informatie krijgt, met name over de doeleinden van de desbetreffende verwerking van persoonsgegevens (blz. 28). De Commissie geeft eveneens aan dat „[a]ls een handelaar [richtlijn 95/46] of [richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37)] schendt, [...] dit op zich niet altijd [betekent] dat de praktijk ook strijdig is met [richtlijn 2005/29]”. Volgens de Commissie „[moeten] [d]ergelijke inbreuken op de gegevensbescherming [...] evenwel in aanmerking worden genomen bij de beoordeling van de algehele oneerlijkheid van handelspraktijken op grond van [richtlijn 2005/29], met name wanneer de handelaar consumentengegevens verwerkt in strijd met de gegevensbeschermingsvoorschriften, d.w.z. voor direct marketing of andere commerciële doeleinden zoals profilering, persoonlijke prijsstelling of ,big data’-toepassingen” (blz. 30).

55      Zie in dat verband met name Helberger, N., Zuiderveen Borgesius, F., en Reyna, A., op. cit., die erop wijzen dat „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets” (blz. 1429). Zie eveneens Van Eijk, N., Hoofnagle, C. J., en Kannekens, E., op. cit., in het bijzonder blz. 336. Zie voor een voorbeeld van de complementariteit van tussen de voorschriften betreffende de bescherming van persoonsgegevens en de voorschriften waarbij oneerlijke handelspraktijken van ondernemingen jegens consumenten worden verboden, mijn conclusie in de zaak StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56      Zie Martial-Braz, N., op. cit., in het bijzonder blz. 23.

57      Zie arrest van 15 juni 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, punt 44).

58      Zie overweging 14 van richtlijn 2020/1828, waarin staat dat de richtlijn „alleen de belangen [moet] beschermen van natuurlijke personen die door [de inbreuken op de in bijlage I bedoelde bepalingen van Uniewetgeving] schade hebben ondervonden of kunnen ondervinden indien die personen consumenten zijn uit hoofde van deze richtlijn”.