Zaak C‑319/20

Meta Platforms Ireland Limited, voorheen Facebook Ireland Limited

tegen

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.

(verzoek om een prejudiciële beslissing, ingediend door het Bundesgerichtshof)

Arrest van het Hof (Derde kamer) van 28 april 2022

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 80 – Vertegenwoordiging van de betrokkenen door een vereniging zonder winstoogmerk – Representatieve vordering die door een consumentenbelangenvereniging wordt ingesteld zonder dat daartoe een opdracht is gegeven en ongeacht of er concrete rechten van een betrokkene zijn geschonden – Vordering gebaseerd op het verbod van oneerlijke handelspraktijken, de schending van een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden”

Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Vertegenwoordiging van betrokkenen – Procesbevoegdheid – Vereniging die consumentenbelangen behartigt – Representatieve vordering die door die vereniging wordt ingesteld zonder dat daartoe een opdracht is gegeven en ongeacht of er concrete rechten van een betrokkene zijn geschonden – Vordering gebaseerd op de schending van regels inzake consumentenbescherming of de strijd tegen oneerlijke handelspraktijken – Toelaatbaarheid – Voorwaarde

(Verordening 2016/679 van het Europees Parlement en de Raad, art. 80, lid 2)

(zie punten 57‑60, 63‑79, 83 en dictum)

Samenvatting

Meta Platforms Ireland beheert het dienstenaanbod van het sociale onlinenetwerk Facebook en is verantwoordelijk voor de verwerking van persoonsgegevens van de gebruikers van dit netwerk in de Europese Unie. Op het internetplatform Facebook bevindt zich onder het internetadres www.facebook.de een applicatiecentrum genaamd „App-Zentrum”, waar Meta Platforms Ireland haar gebruikers gratis spellen van derden aanbiedt. Bij het aanklikken van bepaalde van deze spellen krijgt de gebruiker de melding dat het gebruik van de applicatie in kwestie het betrokken spelbedrijf de mogelijkheid biedt een aantal persoonsgegevens te ontvangen en haar het recht verleent om namens hem berichten te posten. Door de applicatie te benutten, gaat de gebruiker akkoord met de algemene voorwaarden en met het gegevensbeschermingsbeleid. Bij een bepaald spel wordt de gebruiker bovendien geïnformeerd dat de applicatie foto’s en andere informatie in zijn naam mag posten.

Volgens de Duitse federale vereniging van consumentenbeschermingsorganisaties ( 1 ) waren de door de betrokken spelen in het App-Zentrum verstrekte meldingen oneerlijk. Bijgevolg heeft het Bundesverband, als instantie die bevoegd is om in rechte de staking van overtredingen van het consumentenbeschermingsrecht te vorderen ( 2 ), een verbodsactie ingesteld tegen Meta Platforms Ireland. Deze vordering werd ingesteld los van enige specifieke inbreuk op het recht inzake gegevensbescherming van een betrokken persoon en zonder dat een dergelijke persoon daartoe opdracht had gegeven. Nadat haar hoger beroep tegen de beslissing tot toewijzing van deze vordering was verworpen, heeft Meta Platforms Ireland beroep tot Revision ingesteld bij het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland). Omdat deze rechterlijke instantie twijfels had over de ontvankelijkheid van de vordering van het Bundesverband, en met name over diens bevoegdheid om op te treden tegen Meta Platforms Ireland, heeft zij het Hof om een prejudiciële beslissing verzocht.

In zijn arrest heeft het Hof geoordeeld dat artikel 80, lid 2, van de algemene verordening gegevensbescherming ( 3 ) zich er niet tegen verzet dat een vereniging die consumentenbelangen behartigt in rechte optreedt tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens en zich daarbij beroept op het verbod op oneerlijke handelspraktijken, een inbreuk op een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden, ook wanneer zij daartoe geen opdracht heeft gekregen en ongeacht of de concrete rechten van de betrokkenen zijn geschonden. Een dergelijk optreden is mogelijk wanneer de desbetreffende gegevensverwerking afbreuk kan doen aan de rechten die geïdentificeerde of identificeerbare natuurlijke personen aan de AVG ontlenen.

Beoordeling door het Hof

Allereerst herinnert het Hof eraan dat de AVG ( 4 ) weliswaar in beginsel de nationale regelgevingen inzake de bescherming van persoonsgegevens volledig beoogt te harmoniseren, maar onder meer in artikel 80, lid 2, de lidstaten een beoordelingsmarge laat bij de uitvoering van die verordening ( 5 ). Om de gelegenheid te bieden zonder opdracht een representatieve vordering ter bescherming van persoonsgegevens in te stellen zoals bedoeld in deze bepaling, moeten de lidstaten dus gebruikmaken van de door deze bepaling geboden mogelijkheid om deze vorm van vertegenwoordiging van betrokkenen op te nemen in hun nationale recht. Wanneer zij deze mogelijkheid benutten, moeten zij hun beoordelingsmarge evenwel gebruiken onder de voorwaarden en binnen de grenzen die in de bepalingen van de AVG zijn gesteld, en dus een wettelijke regeling vaststellen die geen afbreuk doet aan de inhoud en de doelstellingen van die verordening.

Vervolgens benadrukt het Hof dat artikel 80, lid 2, AVG de mogelijkheid voor de lidstaten om te voorzien in een mechanisme van representatieve vordering tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens afhankelijk stelt van de naleving van een aantal vereisten. Ten eerste komt de procesbevoegdheid toe aan een orgaan, organisatie of vereniging die voldoet aan de criteria van de AVG ( 6 ). Een vereniging die consumentenbelangen behartigt, zoals het Bundesverband, en die een doel van algemeen belang nastreeft dat erin bestaat de rechten en vrijheden van de betrokkenen in hun hoedanigheid van consument te waarborgen, kan onder dat begrip vallen, aangezien de verwezenlijking van een dergelijk doel verband kan houden met de bescherming van hun persoonsgegevens. Ten tweede kan de betrokken entiteit de representatieve vordering slechts los van enige haar toevertrouwde opdracht instellen indien zij van mening is dat de rechten van een betrokkene uit hoofde van de AVG zijn geschonden ten gevolge van de verwerking van zijn persoonsgegevens.

Om een representatieve vordering te kunnen instellen ( 7 ), hoeft de betrokken entiteit dus niet de persoon die specifiek wordt geraakt door een verwerking van gegevens die in strijd zou zijn met de bepalingen van de AVG, vooraf individueel te identificeren. Het is voldoende dat zij een categorie of groep van personen aanwijst die door een dergelijke verwerking worden getroffen. ( 8 )

Verder is voor het instellen van een dergelijke vordering geen concrete schending vereist van de rechten die een persoon aan de AVG ontleent. Om procesbevoegd te zijn volstaat het immers dat een entiteit aanvoert dat de betrokken gegevensverwerking afbreuk kán doen aan de rechten die geïdentificeerde of identificeerbare natuurlijke personen aan die verordening ontlenen, zonder dat zij het bewijs hoeft te leveren dat de betrokkene in een bepaalde situatie reële schade heeft geleden doordat zijn rechten zijn geschonden. In het licht van het door de AVG nagestreefde doel draagt het feit dat verenigingen die consumentenbelangen behartigen, zoals het Bundesverband, bevoegd zijn om via een representatieve vordering verbodsacties in te stellen met betrekking tot verwerkingen die in strijd zijn met de bepalingen van de AVG – ongeacht of de rechten van een individueel en concreet door die inbreuk getroffen persoon zijn geschonden – er aldus ongetwijfeld toe bij dat de rechten van de betrokkenen worden versterkt en dat hun een hoog beschermingsniveau wordt geboden.

Ten slotte preciseert het Hof dat de schending van een regel inzake de bescherming van persoonsgegevens tegelijkertijd kan leiden tot de schending van regels inzake consumentenbescherming of oneerlijke handelspraktijken. De AVG ( 9 ) biedt de lidstaten immers de mogelijkheid om verenigingen die consumentenbelangen behartigen toe te staan om tegen schendingen van de in de AVG neergelegde rechten op te komen door zich te beroepen op regels die ertoe strekken consumenten te beschermen en oneerlijke handelspraktijken te bestrijden.

( 1 ) Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (hierna: „Bundesverband”).

( 2 ) Naar Duits recht omvatten de wetten inzake consumentenbescherming ook regels die bepalen onder welke voorwaarden het verzamelen, verwerken of gebruiken van de persoonsgegevens van een consument door een onderneming of een ondernemer rechtmatig is.

( 3 ) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2 en PB 2021, L 74, blz. 35; hierna: „AVG”). Krachtens artikel 80, lid 2, AVG „[kunnen] [d]e lidstaten [...] bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat een klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het, onderscheidenlijk zij, van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking [van diens persoonsgegevens]”.

( 4 ) Zoals blijkt uit artikel 1, lid 1, gelezen in het licht van de overwegingen 9, 10 en 13, van deze verordening.

( 5 ) Door gebruik te maken van de „open clausules”.

( 6 ) Deze worden met name genoemd in artikel 80, lid 1, AVG. Deze bepaling verwijst naar „een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doeleinden het algemeen belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens”.

( 7 ) Op grond van artikel 80, lid 2, AVG.

( 8 ) Met name gelet op de draagwijdte van het begrip „betrokkene” in artikel 4, punt 1, AVG, dat zowel ziet op een „geïdentificeerde natuurlijke persoon” als op een „identificeerbare natuurlijke persoon”.

( 9 ) Met name artikel 80, lid 2, AVG.