–

Meta Platforms Ireland Ltd ved Rechtsanwälte M. Braun, H.-G. Kamann og V. Wettner,

–

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV ved Rechtsanwalt P. Wassermann,

–

den tyske regering ved J. Möller og P.-L. Krüger, som befuldmægtigede,

–

den portugisiske regering ved P. Barros da Costa, J. Ramos og C. Vieira Guerra, som befuldmægtigede,

–

Europa-Kommissionen ved A. Bouchagiar, F. Erlbacher og H. Kranenborg, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«), sammenholdt med forordningens artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem Meta Platforms Ireland Ltd, tidligere Facebook Ireland Ltd, der har hjemsted i Irland, og Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (forbundssammenslutning for forbrugercentraler og ‑sammenslutninger, Tyskland) (herefter »Bundesverband«) vedrørende Meta Platforms Irelands overtrædelse af den tyske lovgivning om beskyttelse af personoplysninger, som samtidig udgør en urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse og en tilsidesættelse af forbuddet mod at anvende ugyldige almindelige forretningsbetingelser.

3

Følgende fremgår af 10., 13., 39., 58., 60. og 142. betragtning til databeskyttelsesforordningen:

[...]

[...]

[...]

[...]

[...]

4

Denne forordnings artikel 1 med overskriften »Genstand og formål« bestemmer i stk. 1:

»I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.«

5

Den nævnte forordnings artikel 4, nr. 1), 2), 9) og 11), har følgende ordlyd:

»I denne forordning forstås ved:

[...]

[...]

6

Samme forordnings artikel 5 med overskriften »Principper for behandling af personoplysninger« bestemmer følgende:

»1.   Personoplysninger skal:

[...]

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

7

Databeskyttelsesforordningens artikel 6, stk. 1, litra a), med overskriften »Lovlig behandling« bestemmer:

»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

8

Databeskyttelsesforordningens kapitel III, som indeholder forordningens artikel 12-23, har overskriften »Den registreredes rettigheder«.

9

Forordningens artikel 12 med overskriften »Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder« bestemmer i stk. 1:

»Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 og enhver meddelelse i henhold til artikel 15-22 og 34 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet godtgøres med andre midler.«

10

Den nævnte forordnings artikel 13 med overskriften »Oplysningspligt ved indsamling af personoplysninger hos den registrerede« bestemmer i stk. 1, litra c) og e):

»Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

[...]

[...]

11

Den samme forordnings kapitel VIII, som indeholder forordningens artikel 77-84, har overskriften »Retsmidler, ansvar og sanktioner«.

12

Databeskyttelsesforordningens artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« bestemmer i stk. 1:

»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.«

13

Forordningens artikel 78 med overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed« bestemmer i stk. 1:

»Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.«

14

Den nævnte forordnings artikel 79 med overskriften »Adgang til effektive retsmidler over for en dataansvarlig eller databehandler« fastsætter i stk. 1:

»Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.«

15

Samme forordnings artikel 80 med overskriften »Repræsentation af registrerede« har følgende ordlyd:

»1.   Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 77, 78 og 79, på sine vegne og til, hvis det er fastsat i medlemsstaternes nationale ret, at udøve retten til at modtage erstatning som omhandlet i artikel 82 på sine vegne.

2.   Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis den/det har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.«

16

Databeskyttelsesforordningens artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« bestemmer i stk. 1:

»Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.«

17

Databeskyttelsesforordningens artikel 84 med overskriften »Sanktioner« fastsætter i stk. 1:

»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.«

18

§ 2 i Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (lov om søgsmål med påstand om forbud i forbindelse med overtrædelser af lovgivningen om forbrugerrettigheder og andre love) af 26. november 2001 (BGBl. 2001 I, s. 3138) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »lov om søgsmål med påstand om forbud«), har følgende ordlyd:

»(1)   Ud fra forbrugerbeskyttelseshensyn kan der nedlægges forbud over for en person, der på anden måde end ved anvendelse eller anbefaling af almindelige forretningsbetingelser tilsidesætter forskrifter, der tjener til forbrugerbeskyttelse (forbrugerbeskyttelseslove) [...]

(2)   Forbrugerbeskyttelseslove i denne bestemmelses forstand er navnlig:

[...]

11. bestemmelserne om lovligheden af

19

Bundesgerichtshof (forbundsdomstol, Tyskland) har anført, at organer, der har søgsmålskompetence som omhandlet i § 4 lov om søgsmål med påstand om forbud, i henhold til denne lovs § 3, stk. 1, første punktum, nr. 1, i overensstemmelse med den nævnte lovs § 1 dels kan nedlægge påstand om, at anvendelsen af ugyldige almindelige forretningsbetingelser i henhold til § 307 i Bürgerliches Gesetzbuch (borgerlig lovbog) forbydes, dels kan nedlægge påstand om, at overtrædelser af forbrugerbeskyttelseslovgivningen i henhold til samme lovs § 2, stk. 2, forbydes.

20

§ 3, stk. 1, i Gesetz gegen den unlauteren Wettbewerb (lov om illoyal konkurrence) af 3. juli 2004 (BGBl. 2004 I, s. 1414) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »lov om illoyal konkurrence«) fastsætter:

»Urimelig handelspraksis er ulovlig.«

21

§ 3a i lov om illoyal konkurrence har følgende ordlyd:

»Urimeligt handler den, som handler i strid med en lovbestemmelse, der bl.a. har til formål at regulere adfærden på markedet i markedsaktørernes interesse, for så vidt som overtrædelsen mærkbart kan skade forbrugernes, øvrige markedsaktørers eller konkurrenters interesser.«

22

Denne lovs § 8 bestemmer:

»(1)   Den, der gør sig skyldig i ulovlig handelspraksis som omhandlet i § 3 eller § 7, kan meddeles påbud om at ophøre med den retsstridige handling og kan, såfremt der er risiko for gentagelse, meddeles forbud mod denne. [...]

[...]

(3)   Påbud og forbud i henhold til stk. 1 kan begæres af:

[...]

23

Bundesgerichtshof (forbundsdomstol) har anført, at § 13, stk. 1, i Telemediengesetz (lov om elektroniske medier) af 26. februar 2007 (BGBl. 2007 I, s. 179) fandt anvendelse, indtil databeskyttelsesforordningen trådte i kraft. Fra dette tidspunkt er denne bestemmelse blevet erstattet af databeskyttelsesforordningens artikel 12-14.

24

§ 13, stk. 1, første punktum, i lov om elektroniske medier havde følgende ordlyd:

»Tjenesteudbyderen skal ved sessionens begyndelse informere brugeren om arten, omfanget og formålet med at indsamle og anvende personoplysninger samt om behandlingen af den pågældendes oplysninger i stater uden for anvendelsesområdet for Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31) i almindeligt forståelig form, medmindre en sådan orientering allerede har fundet sted.«

25

Meta Platforms Ireland, som forvalter udbuddet af tjenester i det sociale onlinenetværk Facebook i EU, er den dataansvarlige for personoplysninger om brugerne af dette sociale netværk i EU. Facebook Germany GmbH, der har hjemsted i Tyskland, reklamerer på internetadressen www.facebook.de for salg af reklameplads. Internetplatformen Facebook indeholdt bl.a. på internetsiden www.facebook.de et område kaldet »App-Zentrum« (app-center), hvor Meta Platforms Ireland stillede gratis spilapplikationer leveret af tredjemand til rådighed for brugerne. I forbindelse med brugen af dette område blev brugeren informeret om, at denne ved anvendelse af visse af disse applikationer gjorde det muligt for applikationerne at indsamle forskellige personoplysninger, og at brugeren gav tilladelse til, at disse applikationer kunne offentliggøre visse af disse oplysninger i brugerens navn, såsom dennes pointresultater og, for så vidt angår et af de omhandlede spil, brugerens status og fotos. Brugeren blev også informeret om, at denne ved anvendelsen af de pågældende applikationer accepterede de generelle betingelser for disse applikationer og deres databeskyttelsespolitik.

26

Bundesverband, som er et organ, der har søgsmålskompetence som omhandlet i § 4 i lov om søgsmål med påstand om forbud, var af den opfattelse, at de oplysninger, der blev givet i de pågældende spilapplikationer i app-centret, var urimelige, bl.a. på grund af, at de ikke overholdt de retlige betingelser for indhentelse af et gyldigt samtykke fra brugeren i henhold til bestemmelserne om beskyttelse af personoplysninger. Bundesverband var desuden af den opfattelse, at oplysningerne om, at det blev tilladt applikationen at offentliggøre visse personoplysninger i brugernes navne, udgjorde en almindelig forretningsbetingelse, der stillede brugerne urimeligt dårligt.

27

Bundesverband anlagde i denne sammenhæng søgsmål ved Landgericht Berlin (den regionale ret i første instans i Berlin, Tyskland) med påstand om forbud på grundlag af § 3a i lov om illoyal konkurrence, § 2, stk. 2, første punktum, nr. 11, i lov om søgsmål med påstand om forbud og den borgerlige lovbog, med henblik på bl.a. at forbyde Meta Platforms Ireland at udbyde spilapplikationer som de omhandlede i app-centret. Dette søgsmål blev anlagt uafhængigt af en konkret krænkelse af en registrerets ret til beskyttelse af personoplysninger og uden bemyndigelse fra en sådan person.

28

Landgericht Berlin (den regionale ret i første instans i Berlin) afsagde dom i overensstemmelse med Bundesverbands påstande. Den af Meta Platforms Ireland iværksatte appel ved Kammergericht Berlin (den regionale appeldomstol i Berlin, Tyskland) blev ikke taget til følge. Meta Platforms Ireland iværksatte herefter revisionsappel ved den forelæggende ret til prøvelse af appeldomstolens afgørelse, hvorved selskabet ikke fik medhold.

29

Den forelæggende ret var af den opfattelse, at Bundesverbands søgsmål havde grundlag, eftersom Meta Platforms Ireland havde overtrådt § 3a i lov om illoyal konkurrence og § 2, stk. 2, første punktum, nr. 11, i lov om søgsmål med påstand om forbud, og selskabet havde anvendt en ugyldig almindelig forretningsbetingelse i den forstand, hvori udtrykket er anvendt i § 1 i lov om søgsmål med påstand om forbud.

30

Den forelæggende ret var imidlertid i tvivl om, hvorvidt Bundesverbands søgsmål kunne antages til realitetsbehandling. Denne ret var nemlig af den opfattelse, at det ikke var udelukket, at Bundesverband, der havde søgsmålskompetence på tidspunktet for anlæggelsen af søgsmålet – på grundlag af § 8, stk. 3, i lov om illoyal konkurrence og § 3, stk. 1, første punktum, nr. 1, i lov om søgsmål med påstand om forbud – havde mistet denne søgsmålskompetence under sagens behandling som følge af databeskyttelsesforordningens ikrafttræden, og navnlig denne forordnings artikel 80, stk. 1 og 2, og artikel 84, stk. 1. Hvis dette er tilfældet, burde den forelæggende ret tage Meta Platforms Irelands revisionsappel til følge og afvise Bundesverbands søgsmål, eftersom søgsmålskompetencen ifølge de relevante processuelle bestemmelser i tysk ret skal bestå indtil afslutningen i den sidste instans.

31

Ved afgørelse af 28. maj 2020 besluttede Bundesgerichtshof (forbundsdomstol) at udsætte sagen og forelægge Domstolen et præjudicielt spørgsmål vedrørende fortolkningen af databeskyttelsesforordningens artikel 80, stk. 1 og 2, og artikel 84, stk. 1.

32

Med dom i sagen af 28. april 2022, Meta Platforms Ireland (C-319/20, EU:C:2022:322), besvarede Domstolen dette spørgsmål med, at databeskyttelsesforordningens artikel 80, stk. 2, skal fortolkes således, at den ikke er til hinder for en national lovgivning, som gør det muligt for en sammenslutning, der varetager beskyttelsen af forbrugernes interesser – uden bemyndigelse, som er blevet givet denne med henblik herpå, og uafhængigt af en krænkelse af en registrerets konkrete rettigheder – at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at gøre gældende, at der foreligger en tilsidesættelse af forbuddet mod urimelig handelspraksis, en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser, når den pågældende behandling af oplysninger kan påvirke de rettigheder, som identificerede eller identificerbare fysiske personer har i henhold til denne forordning.

33

I lyset af den nævnte dom er den forelæggende ret af den opfattelse, at en enheds søgsmålskompetence som omhandlet i databeskyttelsesforordningens artikel 80, stk. 2, ikke er betinget af, en sådan enhed foretager en forudgående individuel identifikation af den registrerede, der er berørt af en behandling af oplysninger, som angiveligt er i strid med databeskyttelsesforordningens bestemmelser. Begrebet »den registrerede« som omhandlet i denne forordnings artikel 4, nr. 1), ville således ikke alene omfatte en »identificeret fysisk person«, men ligeledes en »identificerbar fysisk person«, dvs. en fysisk person, »der [...] kan identificeres«, direkte eller indirekte ved en identifikator, som f.eks. et navn, et identifikationsnummer, lokaliseringsdata eller en onlineidentifikator. Under disse omstændigheder kan udpegelsen af en kategori eller gruppe af personer, der berøres af en sådan behandling, være tilstrækkelig med henblik på anlæggelse af et gruppesøgsmål. I det foreliggende tilfælde har Bundesverband identificeret en sådan gruppe eller kategori.

34

Ifølge den forelæggende ret behandlede Domstolens ovennævnte dom imidlertid ikke den betingelse, der er fastsat i databeskyttelsesforordningens artikel 80, stk. 2, hvorefter en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, med henblik på at gøre brug af de retsmidler, der er fastsat i denne forordning, skal påberåbe sig, at en registrerets rettigheder i henhold til den nævnte forordning er blevet krænket »som følge af behandling«.

35

For det første er denne ret af den opfattelse, at det ikke fremgår klart af denne dom, om tilsidesættelse af forpligtelsen til i henhold til databeskyttelsesforordningens artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e), at give den registrerede oplysning om formålet med behandlingen af personoplysninger og om modtagerne af disse oplysninger i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog udgør en overtrædelse »som følge af behandling«, og om begrebet »behandling« som omhandlet i denne forordnings artikel 4, nr. 2), omfatter situationer, der går forud for indsamlingen af sådanne oplysninger.

36

For det andet er den nævnte ret af den opfattelse, at det ikke er klart fastslået, om tilsidesættelse af oplysningspligten i et tilfælde som det foreliggende er sket »som følge af« en behandling af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 80, stk. 2. Den forelæggende ret har i denne forbindelse præciseret, at selv om en sådan formulering kunne give indtryk af, at den enhed, der anlægger et gruppesøgsmål, for at dette søgsmål kan antages til realitetsbehandling, skal påberåbe sig en krænkelse af en registrerets rettigheder, som følger af en behandlingsaktivitet vedrørende personoplysninger som omhandlet i denne forordnings artikel 4, nr. 2), og som således ligger efter en sådan aktivitet, kan formålet med den nævnte forordning om bl.a. at sikre et højt beskyttelsesniveau for personoplysninger tale for, at denne enheds søgsmålskompetence skal udstrækkes til at omfatte de tilfælde, hvor oplysningspligten tilsidesættes, selv om denne forpligtelse skal være opfyldt, inden enhver behandlingsaktivitet vedrørende personoplysninger påbegyndes.

37

På denne baggrund har Bundesgerichtshof (forbundsdomstol) besluttet at udsætte sagen på ny og forelægge Domstolen følgende præjudicielle spørgsmål:

»Gøres en krænkelse af [en registrerets] rettigheder »som følge af behandling« som omhandlet i [databeskyttelsesforordningens] artikel 80, stk. 2, [...] gældende, såfremt en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, støtter sit søgsmål på, at en registrerets rettigheder er blevet krænket, fordi pligterne i henhold til [databeskyttelsesforordningens] artikel 12, stk. 1, første punktum, sammenholdt med [databeskyttelsesforordningens] artikel 13, stk. 1, litra c) og e), [...] til at oplyse om formålet med databehandlingen og om modtageren af personoplysningerne ikke er blevet opfyldt?«

38

Med dette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 80, stk. 2, skal fortolkes således, at betingelsen om, at en bemyndiget enhed for at kunne anlægge et gruppesøgsmål i henhold til denne bestemmelse skal gøre gældende, at den er af den opfattelse, at en registrerets rettigheder i forbindelse med behandling af personoplysninger som omhandlet i denne forordning er blevet krænket »som følge af behandling« i denne bestemmelses forstand, er opfyldt, når et sådant søgsmål er baseret på den omstændighed, at den dataansvarlige har tilsidesat sine forpligtelser i henhold til den nævnte forordnings artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e), til i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog at give den registrerede oplysninger om formålet med databehandlingen og om modtagerne af sådanne oplysninger senest på det tidspunkt, hvor de indsamles.

39

Med henblik på at besvare dette spørgsmål skal det indledningsvis bemærkes, at databeskyttelsesforordningen bl.a. regulerer de retsmidler, der gør det muligt at beskytte den registreredes rettigheder, når personoplysninger om den pågældende har været genstand for en behandling, som angiveligt er i strid med denne forordnings bestemmelser. Beskyttelsen af disse rettigheder kan således påberåbes enten direkte af den registrerede, som har ret til selv at indgive en klage til en tilsynsmyndighed i en medlemsstat i henhold til databeskyttelsesforordningens artikel 77 eller til at anlægge sag ved de nationale domstole i henhold til denne forordnings artikel 78 og 79, eller af en bemyndiget enhed, når der foreligger eller ikke foreligger en bemyndigelse hertil i henhold til nævnte forordnings artikel 80.

40

Databeskyttelsesforordningens artikel 80, stk. 2, giver navnlig medlemsstaterne mulighed for at fastsætte en mekanisme for gruppesøgsmål mod den, der formodes at have krænket beskyttelsen af personoplysninger, såfremt den registrerede ikke har givet bemyndigelse hertil, samtidig med at den fastsætter en række krav med hensyn til det personelle og materielle anvendelsesområde, som skal overholdes i denne forbindelse (dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 63).

41

Hvad i denne henseende for det første angår det personelle anvendelsesområde for denne mekanisme anerkendes det, at et organ, en organisation eller en sammenslutning, der opfylder kriterierne i databeskyttelsesforordningens artikel 80, stk. 1, har søgsmålskompetence. Som Domstolen allerede har fastslået, kan en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, såsom Bundesverband, være omfattet af dette begreb, for så vidt som den forfølger et mål af almen interesse, der består i at sikre de registreredes rettigheder og frihedsrettigheder i deres egenskab af forbrugere, fordi gennemførelsen af et sådant formål kan være forbundet med beskyttelsen af sidstnævntes personoplysninger (dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 64 og 65).

42

Hvad for det andet angår det materielle anvendelsesområde for den nævnte mekanisme forudsætter anlæggelsen af et gruppesøgsmål, der er fastsat i databeskyttelsesforordningens artikel 80, stk. 2, af en enhed, der opfylder de betingelser, der er nævnt i artikel 80, stk. 1, at denne enhed, uafhængigt af enhver bemyndigelse, den er blevet betroet, »har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandlinger« af vedkommendes personoplysninger (dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 67).

43

I denne henseende har Domstolen præciseret, at anlæggelsen af et gruppesøgsmål bl.a. ikke er betinget af, at der foreligger en »konkret krænkelse« af de rettigheder, som en person har i henhold til databeskyttelsesreglerne, således at det med henblik på at anerkende en sådan enheds søgsmålskompetence er tilstrækkeligt at gøre gældende, at den pågældende behandling af oplysninger kan påvirke de rettigheder, som identificerede eller identificerbare fysiske personer har i henhold til den nævnte forordning, uden at det er nødvendigt at godtgøre, at den registrerede i en bestemt situation har lidt en reel skade som følge af krænkelsen af dennes rettigheder (dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 70 og 72).

44

Som Domstolen dog allerede har fastslået, forudsætter anlæggelsen af et gruppesøgsmål imidlertid, at den omhandlede enhed »har grund til at formode«, at den registreredes rettigheder i henhold til databeskyttelsesforordningen er blevet krænket som følge af behandlinger af vedkommendes personoplysninger, og således gør gældende, at der »foreligger en behandling af oplysninger«, som efter denne enheds opfattelse er i strid med denne forordnings bestemmelser (jf. i denne retning dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 71), idet en sådan behandling ikke kan være rent hypotetisk, således som generaladvokaten har anført i punkt 48 i forslaget til afgørelse.

45

Som det fremgår af ordlyden af databeskyttelsesforordningens artikel 80, stk. 2, indebærer anlæggelsen af et gruppesøgsmål på grundlag af denne bestemmelse, at tilsidesættelsen af den registreredes rettigheder i henhold til denne forordning, finder sted i forbindelse med en behandling af personoplysninger.

46

Denne fortolkning understøttes af en sammenligning af de forskellige sprogversioner af databeskyttelsesforordningens artikel 80, stk. 2, og af 142. betragtning hertil, hvoraf det fremgår, at de enheder, der opfylder betingelserne i denne forordnings artikel 80, stk. 1, skal have grund til at formode, at en registrerets rettigheder i henhold til den nævnte forordning er blevet krænket »som følge af behandling af personoplysninger, der overtræder denne forordning«.

47

Efter denne præcisering skal det med henblik på at besvare det præjudicielle spørgsmål endvidere efterprøves, om tilsidesættelse af den forpligtelse, der påhviler den dataansvarlige i henhold til databeskyttelsesforordningens artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e), til i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog at give den registrerede oplysninger om formålet med en behandling af personoplysninger og om modtagerne af sådanne oplysninger senest ved indsamlingen af disse oplysninger, udgør en krænkelse af den registreredes rettigheder »som følge af behandling« som omhandlet i databeskyttelsesforordningens artikel 80, stk. 2.

48

Det skal indledningsvis bemærkes, at det formål, der forfølges med databeskyttelsesforordningen, som det fremgår af forordningens artikel 1 og tiende betragtning hertil, bl.a. består i at sikre et højt beskyttelsesniveau for fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til privatliv i forbindelse med behandlingen af personoplysninger (jf. i denne retning dom af 7.3.2024, IAB Europe, C-604/22, EU:C:2024:214, præmis 53).

49

Med henblik herpå fastsætter kapitel II og III i denne forordning henholdsvis principperne for behandling af personoplysninger og den registreredes rettigheder, som enhver behandling af personoplysninger skal overholde. Med forbehold af de undtagelser, der er fastsat i den nævnte forordnings artikel 23, skal enhver behandling af personoplysninger dels overholde de principper vedrørende behandling af sådanne oplysninger, der er fastsat i samme forordnings artikel 5, og opfylde de betingelser for lovlighed, der er anført i denne forordnings artikel 6, dels respektere den registreredes rettigheder som fastsat i databeskyttelsesforordningens artikel 12-22 (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 208, og af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 50 og 61 og den deri nævnte retspraksis).

50

I denne henseende skal det fremhæves, at personoplysninger i henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra a), skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. I henhold til denne artikel 5, stk. 1, litra b), skal disse oplysninger desuden indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.

51

Hvad angår fortolkningen af databeskyttelsesforordningens artikel 5, stk. 1, litra b), har Domstolen fastslået, at denne bestemmelse bl.a. kræver, at formålene med behandlingen skal angives klart og identificeres senest ved indsamlingen af personoplysningerne (dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 64 og 65).

52

I henhold til databeskyttelsesforordningens artikel 5, stk. 2, er det desuden den dataansvarlige, der skal påvise, at disse oplysninger bl.a. indsamles til udtrykkeligt angivne og legitime formål, og at de behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

53

Det følger således af databeskyttelsesforordningens artikel 5, at en behandling af personoplysninger bl.a. skal opfylde konkrete krav om gennemsigtighed i forhold til registrerede, der er berørt af en sådan behandling. Med henblik herpå fastsætter databeskyttelsesforordningens kapitel III dels klare forpligtelser for den dataansvarlige, dels en række rettigheder for den registrerede, der er berørt af en behandling af personoplysninger, herunder bl.a. retten til at få oplysninger fra den dataansvarlige om formålene med denne behandling og om de konkrete modtagere, som personoplysningerne vedrørende den pågældende er eller vil blive videregivet til (dom af 22.6.2023, Pankki S, C-579/21, EU:C:2023:501, præmis 48).

54

Navnlig databeskyttelsesforordningens artikel 13, stk. 1, litra c) og e), fastsætter en forpligtelse for den dataansvarlige til, når personoplysninger indsamles hos den registrerede, at give den registrerede oplysninger om henholdsvis formålene med den behandling, som oplysningerne skal bruges til, retsgrundlaget for behandlingen og modtagerne eller kategorierne af modtagere af de nævnte oplysninger.

55

Desuden kræver forordningens artikel 12, stk. 1, at den dataansvarlige træffer passende foranstaltninger med henblik på navnlig at sikre, at de oplysninger, der er omhandlet i foregående præmis, og som gives til den registrerede, er kortfattede, gennemsigtige, letforståelige, lettilgængelige og formuleret i et klart og enkelt sprog.

56

Som Domstolen har fastslået, er databeskyttelsesforordningens artikel 12, stk. 1, et udtryk for princippet om gennemsigtighed og tilsigter at gøre det muligt for den registrerede at opnå fuld forståelse af de fremsendte oplysninger (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 38).

57

Vigtigheden af at overholde en sådan oplysningspligt bekræftes ligeledes af 60. betragtning til databeskyttelsesforordningen, hvori det anføres, at principperne om rimelig og gennemsigtig behandling kræver, at den registrerede informeres om behandlingsaktiviteters eksistens og deres formål, idet det understreges, at den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 36).

58

Det fremgår for det første af det ovenstående, at den oplysningspligt, der påhviler den dataansvarlige over for de registrerede, der er berørt af en behandling af personoplysninger, udgør en logisk følge af den ret til oplysninger, som de registrerede har i henhold til databeskyttelsesforordningens artikel 12 og 13, og som således er en del af de rettigheder, som de gruppesøgsmål, der er fastsat i denne forordnings artikel 80, stk. 2, har til formål at beskytte. Som det ligeledes fremgår af denne doms præmis 56 og 57, sikrer overholdelsen af denne forpligtelse mere generelt overholdelsen af principperne om gennemsigtig og rimelig behandling, der er fastsat i den nævnte forordnings artikel 5, stk. 1.

59

For det andet, og således som generaladvokaten har anført i punkt 47 i forslaget til afgørelse, kan den angivelige krænkelse af de registreredes ret til at blive tilstrækkeligt informeret om alle omstændigheder i forbindelse med en behandling af personoplysninger, især om formålet med behandlingen og om modtageren af oplysningerne, forhindre, at der gives et »informeret« samtykke som omhandlet i databeskyttelsesforordningens artikel 4, nr. 11), hvilket kan gøre denne behandling ulovlig i henhold til denne forordnings artikel 5, stk. 1.

60

Faktisk afhænger gyldigheden af den registreredes samtykke bl.a. af, om den registrerede på forhånd har modtaget oplysninger i lyset af alle omstændighederne i forbindelse med behandlingen af de omhandlede oplysninger, som den registrerede havde ret til i henhold til databeskyttelsesforordningens artikel 12 og 13, og som sikrer, at dette samtykke gives med fuldt kendskab til følgerne.

61

For så vidt som en behandling af personoplysninger, der sker i strid med den registreredes ret til information som omhandlet i databeskyttelsesforordningens artikel 12 og 13, tilsidesætter de krav, som fremgår af denne forordnings artikel 5, skal tilsidesættelsen af denne ret til information anses for at indebære, at den registreredes rettigheder er blevet krænket »som følge af behandling« som omhandlet i den nævnte forordnings artikel 80, stk. 2.

62

Det følger heraf, at den ret, som tilkommer den registrerede, der er berørt af en behandling af personoplysninger, og som følger af databeskyttelsesforordningens artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e), til fra den dataansvarlige i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog at få oplysninger om formålet med en sådan behandling og om modtagerne af sådanne oplysninger, udgør en ret, hvis tilsidesættelse gør det muligt at anvende den mekanisme for gruppesøgsmål, der er fastsat i denne forordnings artikel 80, stk. 2.

63

Denne fortolkning bekræftes for det første af databeskyttelsesforordningens formål, der er nævnt i denne doms præmis 48, og som består i at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder samt navnlig at sikre et højt beskyttelsesniveau for enhver persons ret til beskyttelse af personoplysninger vedrørende vedkommende.

64

For det andet er en sådan fortolkning ligeledes i overensstemmelse med den præventive funktion af de gruppesøgsmål, der er omhandlet i databeskyttelsesforordningens artikel 80, stk. 2, og som kan anlægges af sammenslutninger, der varetager beskyttelsen af forbrugernes interesser, såsom Bundesverband i det foreliggende tilfælde (dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 76).

65

Henset til det ovenstående skal det præjudicielle spørgsmål besvares med, at databeskyttelsesforordningens artikel 80, stk. 2, skal fortolkes således, at betingelsen om, at en bemyndiget enhed for at kunne anlægge et gruppesøgsmål i henhold til denne bestemmelse skal gøre gældende, at den er af den opfattelse, at en registrerets rettigheder i henhold til denne forordning er blevet krænket »som følge af behandling«, i denne bestemmelses forstand, er opfyldt, når denne enhed gør gældende, at krænkelsen af den registreredes rettigheder er sket i forbindelse med behandlingen af personoplysninger og skyldes tilsidesættelse af den forpligtelse, der påhviler den dataansvarlige i henhold til den nævnte forordnings artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e), til i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog at give den registrerede, der er berørt af denne behandling, oplysninger om formålet med behandlingen af personoplysninger og om modtagerne af sådanne oplysninger senest på tidspunktet for indsamlingen heraf.

66

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Fjerde Afdeling) for ret:

Artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

betingelsen om, at en bemyndiget enhed for at kunne anlægge et gruppesøgsmål i henhold til denne bestemmelse skal gøre gældende, at den er af den opfattelse, at en registrerets rettigheder i henhold til denne forordning er blevet krænket »som følge af behandling« i denne bestemmelses forstand, er opfyldt, når denne enhed gør gældende, at krænkelsen af den registreredes rettigheder er sket i forbindelse med behandlingen af personoplysninger og skyldes tilsidesættelse af den forpligtelse, der påhviler den dataansvarlige i henhold til den nævnte forordnings artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e), til i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog at give den registrerede, der er berørt af denne behandling, oplysninger om formålet med behandlingen af personoplysninger og om modtagerne af sådanne oplysninger senest på tidspunktet for indsamlingen heraf.