Preliminär utgåva

DOMSTOLENS DOM (fjärde avdelningen)

den 11 juli 2024 (*)

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 12.1 första meningen – Klar och tydlig information – Artikel 13.1 c och e – Den personuppgiftsansvariges skyldighet att lämna information – Artikel 80.2 – Registrerade företräds av en konsumentskyddsförening – Grupptalan som väcks utan mandat och oberoende av något åsidosättande av en registrerads konkreta rättigheter – Talan som grundar sig på ett åsidosättande av den personuppgiftsansvariges skyldighet att lämna information – Begreppet kränkning av en registrerad persons rättigheter ’som en följd av behandlingen’”

I mål C‑757/22,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesgerichtshof (Federala högsta domstolen, Tyskland) genom beslut av den 10 november 2022, som inkom till domstolen den 15 december 2022, i målet

Meta Platforms Ireland Ltd, tidigare Facebook Ireland Ltd,

mot

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,

meddelar

DOMSTOLEN (fjärde avdelningen)

sammansatt av avdelningsordföranden C. Lycourgos samt domarna O. Spineanu-Matei, J.-C. Bonichot, S. Rodin och L.S. Rossi (referent),

generaladvokat: J. Richard de la Tour,

justitiesekreterare: enhetschefen D. Dittert,

efter det skriftliga förfarandet och förhandlingen den 23 november 2023,

med beaktande av de yttranden som avgetts av:

–        Meta Platforms Ireland Ltd, genom M. Braun, H.-G. Kamann och V. Wettner, Rechtsanwälte,

–        Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., genom P. Wassermann, Rechtsanwalt,

–        Tysklands regering, genom J. Möller och P.-L. Krüger, båda i egenskap av ombud,

–        Portugals regering, genom P. Barros da Costa, J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud,

–        Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 25 januari 2024 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artikel 80.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen), jämförd med artikel 12.1 första meningen och artikel 13.1 c och e i denna förordning.

2        Begäran har framställts i ett mål mellan Meta Platforms Ireland Ltd, tidigare Facebook Ireland Ltd, med säte i Irland, och Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federal sammanslutning av konsumentcentra och konsumentföreningar, Tyskland) (nedan kallat Bundesverband) angående Meta Platforms Irelands åsidosättande av den tyska lagstiftningen om skydd av personuppgifter vilket samtidigt utgör en otillbörlig affärsmetod, ett åsidosättande av en konsumentskyddslag och ett åsidosättande av förbudet mot att använda ogiltiga allmänna villkor.

 Tillämpliga bestämmelser

 Dataskyddsförordningen

3        Skälen 10, 13, 39, 58, 60, 50 och 142 i dataskyddsförordningen har följande lydelse:

”(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …

…

(13)      För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt. …

…

(39)      Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. …

…

(58)      Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. …

…

(60)      Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. …

…

(142)      Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den registrerades mandat.”

4        I artikel 1 i denna förordning, med rubriken ”Syfte”, föreskrivs följande i punkt 1:

”I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.”

5        Artikel 4 leden 1, 2, 9 och 11 i nämnda förordning har följande lydelse:

”I denna förordning avses med

1)      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …

2)      behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

…

9)      mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte. …

…

11)      samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.”

6        I artikel 5 i samma förordning, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”1.      Vid behandling av personuppgifter ska följande gälla:

a)      Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)      De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. …

…

2.      Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

7        I artikel 6.1 a i dataskyddsförordningen, med rubriken ”Laglig behandling av personuppgifter”, föreskrivs följande:

”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)       Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.”

8        Kapitel III i dataskyddsförordningen, som består av artiklarna 12–23, har rubriken ”Den registrerades rättigheter”.

9        I artikel 12 i denna förordning, med rubriken ”Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter”, föreskrivs följande i punkt 1:

”Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.”

10      I artikel 13 i nämnda förordning, med rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”, föreskrivs följande i punkt 1 c och e:

”Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

…

c)      Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

…

e)      Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall …”

11      Kapitel VIII i samma förordning, som består av artiklarna 77–84, har rubriken ”Rättsmedel, ansvar och sanktioner”.

12      I artikel 77 i dataskyddsförordningen, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet” föreskrivs följande i punkt 1:

”Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.”

13      I artikel 78 i denna förordning, med rubriken ”Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut”, föreskrivs följande i punkt 1:

”Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.”

14      I artikel 79 i nämnda förordning, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, föreskrivs följande i punkt 1:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

15      Artikel 80 i samma förordning, med rubriken ”Företrädande av registrerade”, har följande lydelse:

”1.      Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78 och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82 om så föreskrivs i medlemsstatens nationella rätt.

2.      Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.”

16      I artikel 82 i dataskyddsförordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande i punkt 1:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”

17      I artikel 84 i dataskyddsförordningen, med rubriken ”Sanktioner”, föreskrivs följande i punkt 1:

”Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.”

 Tysk rätt

 Lagen om förbudsföreläggande

18      I 2 § i Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (lagen om förbudsföreläggande vid brott mot konsumentskyddet och andra kränkningar), av den 26 november 2001 (BGBl. 2001 I, s. 3138), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om förbudsföreläggande), föreskrivs följande:

”1)       Den som åsidosätter bestämmelser som har till syfte att skydda konsumenter (lagar om konsumentskydd), på annat sätt än vid tillämpning av eller genom rekommendationer om allmänna försäljningsvillkor, kan föreläggas att upphöra med detta, eller förbjudas att fortsätta med detta, till skydd för konsumenterna. … …

2)       Med lagar om konsumentskydd menas vid tillämpningen av denna bestämmelse särskilt:

…

11.      De bestämmelser som reglerar tillåtligheten av

a)      ett företags insamling av en konsuments personuppgifter eller

b)       ett företags behandling eller användning av inhämtade personuppgifter om en konsument,

i de fall då dessa uppgifter insamlas, behandlas eller används för reklamändamål, marknads- och opinionsundersökningar, upplysningsinstituts verksamhet, framtagande av personlighets- och användarprofiler, övrig datahandel eller andra jämförbara kommersiella ändamål.”

19      Bundesgerichtshof (Federala högsta domstolen, Tyskland) har påpekat att enligt 3 § stycke 1 första meningen punkt 1 i lagen om förbudsföreläggande får organisationer som har talerätt i den mening som avses i 4 § i denna lag dels, i enlighet med 1 §, begära att tillämpningen av ogiltiga allmänna villkor enligt 307 § i Bürgerliches Gesetzbuch (civillagen) ska upphöra, dels begära att åsidosättanden av konsumentskyddslagstiftningen, i den mening som avses i 2 § stycke 2 i samma lag, ska upphöra.

 Lagen om illojal konkurrens

20      I 3 § stycke 1 i Gesetz gegen den unlauteren Wettbewerb (lag om illojal konkurrens) av den 3 juli 2004 (BGBI. 2004 I, s. 1414), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om illojal konkurrens), föreskrivs följande:

”Otillbörliga affärsmetoder är förbjudna.”

21      I 3a § i lagen om illojal konkurrens föreskrivs följande:

”Personer agerar illojalt om de åsidosätter bestämmelser i lag vilka bland annat är avsedda att reglera beteendet på marknaden i marknadsaktörernas intresse och åsidosättandet är ägnat att märkbart påverka konsumenters, andra marknadsaktörers eller konkurrenters intressen.”

22      I 8 § i denna lag föreskrivs följande:

”1)       Den som använder affärsmetoder som är förbjudna enligt 3 § eller 7 § kan bli föremål för ett föreläggande om upphörande och, om det föreligger risk för att beteendet upprepas, ett förbudsföreläggande. …

…

3)      Följande personer kan ansöka om de förelägganden som avses i första stycket:

…

3.      godkända organisationer som styrker att de är upptagna i förteckningen över godkända organisationer, i enlighet med 4 § i [lagen om förbudsförelägganden] …”

 Lagen om elektroniska informations- och kommunikationstjänster

23      Bundesgerichtshof (Federala högsta domstolen) har angett att 13 § stycke 1 Telemediengesetz (lagen om elektroniska informations- och kommunikationstjänster) av den 26 februari 2007 (BGBl. 2007 I, s. 179), var tillämplig fram till dess att dataskyddsförordningen trädde i kraft. Sedan dess har denna bestämmelse ersatts av artiklarna 12–14 i dataskyddsförordningen.

24      I 13 § stycke 1 första meningen i lagen om elektroniska informations- och kommunikationstjänster föreskrevs följande:

”Senast när användningen inleds ska tjänsteleverantören på ett lättbegripligt sätt informera användaren om formerna för, omfattningen av och syftet med insamlingen och användningen av personuppgifter samt om behandlingen av användarens uppgifter i länder utanför tillämpningsområdet för Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).”

 Målet vid den nationella domstolen och tolkningsfrågan

25      Meta Platforms Ireland, som hanterar utbudet av online-tjänster inom det sociala nätverket Facebook i unionen, är ansvarig för behandlingen av personuppgifter som avser användare av detta sociala nätverk i unionen. Facebook Germany GmbH, som har sitt säte i Tyskland, gör på webbadressen www.facebook.de reklam för försäljning av reklamutrymme. Webbplattformen Facebook innehöll, bland annat på webbadressen www.facebook.de, en sida kallad App-Zentrum (Appcenter) på vilken Meta Platforms Ireland erbjöd användarna gratis spel som tillhandahölls av tredje man. När användarna besökte denna sida informerades de om att de genom att använda vissa av dessa applikationer gjorde det möjligt för applikationerna att samla in olika personuppgifter och att de tillät applikationerna att i användarnas namn publicera vissa av dessa uppgifter, såsom användarnas poängantal och, för ett av de aktuella spelen, användarnas status och foton. Användarna informerades även om att de genom att använda de berörda applikationerna godtog de allmänna villkoren för desamma och deras policy i fråga om dataskydd.

26      Bundesverband, som är ett organ som har talerätt enligt 4 § i lagen om förbudsförelägganden, ansåg att den information som tillhandahölls i de aktuella spelapplikationerna i Appcenter var otillbörlig, bland annat på grund av att de inte uppfyllde de lagstadgade villkoren om att erhålla ett giltigt samtycke från användaren enligt bestämmelserna om skydd av personuppgifter. Bundesverband ansåg dessutom att informationen om att dessa applikationer hade rätt att i användarnas namn publicera vissa av deras personuppgifter utgjorde ett allmänt villkor som på ett otillbörligt sätt missgynnade dem.

27      Mot denna bakgrund väckte Bundesverband talan vid Landgericht Berlin (Regiondomstolen i Berlin, Tyskland) om förbudsföreläggande med stöd av 3 § i lagen om illojal konkurrens, 2 § stycke 2 första meningen punkt 11 i lagen om förbudsförelägganden och civillagen, och yrkade bland annat att Meta Platforms Ireland skulle förbjudas att i Appcenter tillhandahålla sådana spelapplikationer som de aktuella. Talan väcktes oberoende av något konkret åsidosättande av en registrerads rätt till skydd för personuppgifter och utan mandat från en sådan person.

28      Landgericht Berlin (Regiondomstolen i Berlin) biföll Bundesverbands yrkanden. Meta Platforms Irelands överklagande ogillades av Kammergericht Berlin (Regionöverdomstolen i Berlin). Meta Platforms Ireland överklagade därefter regionöverdomstolens avslagsbeslut till den hänskjutande domstolen.

29      Den hänskjutande domstolen ansåg att Bundesverbands talan var välgrundad, eftersom Meta Platforms Ireland hade åsidosatt 3a § i lagen om illojal konkurrens samt 2 § stycke 2 första meningen led 11 i lagen om förbudsförelägganden och hade tillämpat ett ogiltigt allmänt villkor i den mening som avses i 1 § i lagen om förbudsförelägganden.

30      Den hänskjutande domstolen hyste emellertid tvivel om huruvida Bundesverbands talan kunde tas upp till sakprövning. Den fann nämligen att det inte var uteslutet att Bundesverband, som hade talerätt vid den tidpunkt då talan väcktes – med stöd av 8 § stycke 3 i lagen om illojal konkurrens och 3 § stycke 1 första meningen punkt 1 i lagen om förbudsföreläggande – hade förlorat denna ställning under förfarandets gång till följd av att dataskyddsförordningen hade trätt i kraft, särskilt artikel 80.1 och 80.2 samt artikel 84.1 i förordningen. Om så var fallet skulle den hänskjutande domstolen varit tvungen att bifalla Meta Platforms Ireland överklagande och ogilla Bundesverbands talan om förbudsföreläggande, eftersom talerätt enligt tillämpliga processuella bestämmelser i tysk rätt ska bestå fram till dess att sista instans har avgjort målet.

31      Genom beslut av den 28 maj 2020 beslutade Bundesgerichtshof (Federala högsta domstolen) sålunda att vilandeförklara målet och ställa en fråga till EU-domstolen om tolkningen av artikel 80.1 och 80.2 samt artikel 84.1 i dataskyddsförordningen.

32      I sin dom av den 28 april 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), besvarade domstolen denna fråga med att artikel 80.2 i dataskyddsförordningen ska tolkas så, att den inte utgör hinder för nationell lagstiftning enligt vilken en konsumentskyddsförening, utan något mandat som anförtrotts denna förening i detta avseende och oberoende av någon kränkning av registrerades konkreta rättigheter, tillerkänns talerätt mot den som påstås ha gjort intrång i skyddet av personuppgifter, genom att åberopa ett åsidosättande av förbudet mot otillbörliga affärsmetoder, av en lag gällande konsumentskydd eller av förbudet mot ogiltiga allmänna villkor, när behandlingen av de ifrågavarande uppgifterna kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt denna förordning.

33      Mot bakgrund av denna dom anser den hänskjutande domstolen att en enhets talerätt i den mening som avses i artikel 80.2 i dataskyddsförordningen inte förutsätter att en sådan enhet i förväg identifierar den person som berörs av en behandling av uppgifter som påstås strida mot bestämmelserna i dataskyddsförordningen. Begreppet ”en registrerad”, i den mening som avses i artikel 4.1 i dataskyddsförordningen, omfattar inte bara en ”identifierad” fysisk person, utan även en ”identifierbar” fysisk person, det vill säga en fysisk person som direkt eller indirekt ”kan identifieras” särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer. Under dessa omständigheter kan det vara tillräckligt att avgränsa en kategori eller grupp av personer som berörs av en sådan behandling för att en grupptalan ska kunna väckas. I förevarande fall har Bundesverband identifierat en sådan grupp eller kategori.

34      Enligt den hänskjutande domstolen prövades emellertid inte i den ovannämnda domen det villkor som anges i artikel 80.2 i dataskyddsförordningen, enligt vilket en konsumentskyddsorganisation, för att kunna utnyttja de rättsmedel som föreskrivs i denna förordning, måste anse att en registrerads rättigheter enligt förordningen har kränkts ”som en följd av behandlingen”.

35      Till att börja med anser den hänskjutande domstolen att det inte klart framgår av den domen huruvida ett åsidosättande av skyldigheten enligt artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen att, i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, lämna information till den registrerade om ändamålen med den behandling för vilken personuppgifterna är avsedda och om mottagarna av personuppgifterna, innebär att rättigheter har kränkts ”som en följd av behandlingen”, eller huruvida begreppet behandling, i den mening som avses i artikel 4 led 2 i förordningen, omfattar situationer som föregår insamlingen av sådana uppgifter.

36      Vidare anser den hänskjutande domstolen att det inte är klarlagt huruvida åsidosättandet av informationsskyldigheten i ett sådant fall som det här aktuella har skett ”som en följd av” en behandling av personuppgifter i den mening som avses i artikel 80.2 i dataskyddsförordningen. Den hänskjutande domstolen har i detta avseende understrukit att om denna formulering skulle kunna tyda på att den enhet som väcker en grupptalan, för att denna talan ska kunna tas upp till sakprövning, måste åberopa en kränkning av en registrerads rättigheter till följd av en behandling av personuppgifter, i den mening som avses i artikel 4 led 2 i förordningen, och som således inträffar efter en sådan behandling, skulle syftet med förordningen, att bland annat säkerställa en hög skyddsnivå för personuppgifter, kunna tala för att denna enhets talerätt ska utvidgas till att omfatta ett åsidosättande av informationsskyldigheten, trots att denna skyldighet måste uppfyllas innan personuppgifter behandlas.

37      Mot denna bakgrund beslutade Bundesgerichtshof (Federala högsta domstolen) att vilandeförklara målet och ställa följande tolkningsfråga till EU-domstolen:

”Är det fråga om en kränkning [av en registrerads rättigheter] ’som en följd av behandlingen’, i den mening som avses i artikel 80.2 i dataskyddsförordningen, när en konsumentskyddsförening till stöd för sin talan gör gällande att en registrerads rättigheter har kränkts genom att informationsskyldigheten enligt artikel 12.1 första meningen i dataskyddsförordningen jämförd med artikel 13.1 c och e i dataskyddsförordningen beträffande ändamålet med behandlingen och mottagaren av personuppgifterna inte har uppfyllts?”

 Prövning av tolkningsfrågan

38      Den hänskjutande domstolen har ställt sin fråga för att få klarhet i huruvida artikel 80.2 i dataskyddsförordningen ska tolkas så, att villkoret att en bemyndigad enhet, för att kunna väcka grupptalan enligt denna bestämmelse, ska göra gällande att den anser att en registrerads rättigheter har kränkts ”som en följd av behandlingen”, i den mening som avses i denna bestämmelse, är uppfyllt när en sådan talan grundar sig på ett åsidosättande av den personuppgiftsansvariges skyldighet enligt artikel 12.1 första meningen och artikel 13.1 c och e i samma förordning, att i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, informera den registrerade om ändamålet med behandlingen av uppgifterna och om mottagarna av dessa uppgifter, senast vid insamlingen av uppgifterna.

39      För att besvara denna fråga ska det inledningsvis erinras om att dataskyddsförordningen bland annat reglerar de rättsmedel som gör det möjligt att skydda den registrerades rättigheter när personuppgifter som rör honom eller henne har behandlats på ett sätt som påstås strida mot bestämmelserna i denna förordning. Skyddet av dessa rättigheter kan sålunda tillvaratas antingen direkt av den registrerade, som har rätt att själv lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat i enlighet med artikel 77 i dataskyddsförordningen, eller att väcka talan vid nationell domstol enligt artiklarna 78 och 79 i denna förordning, eller av en bemyndigad enhet, med stöd av artikel 80 i förordningen, med eller utan ett mandat för detta.

40      I synnerhet öppnar artikel 80.2 i dataskyddsförordningen en möjlighet för medlemsstaterna att föreskriva en mekanism för grupptalan mot den som påstås göra intrång i skyddet av personuppgifter, utan mandat från den registrerade, samtidigt som det i artikeln uppställs ett antal krav vad gäller den personkrets och det materiella tillämpningsområde som ska iakttas i detta syfte (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 63).

41      Vad för det första gäller den personkrets som omfattas av tillämpningsområdet för en sådan mekanism tillerkänns ett organ, en organisation eller en sammanslutning som uppfyller de kriterier som uppställs i artikel 80.1 i dataskyddsförordningen talerätt. Såsom domstolen redan har konstaterats kan en konsumentskyddsförening, såsom Bundesverband, omfattas av detta begrepp, eftersom den eftersträvar ett mål av allmänt intresse som består i att säkerställa de registrerades rättigheter och friheter i egenskap av konsumenter, i den mån förverkligandet av ett sådant mål kan ha samband med skyddet av konsumenternas personuppgifter (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkterna 64 och 65).

42      Vad för det andra gäller det materiella tillämpningsområdet för denna mekanism, förutsätter en sådan grupptalan som föreskrivs i artikel 80.2 i dataskyddsförordningen av en enhet som uppfyller de villkor som anges i punkt 1 i samma artikel att denna enhet, oberoende av vilka mandat som den innehar, ”anser att den registrerades rättigheter enligt … förordningen har kränkts som en följd av behandlingen” av vederbörandes personuppgifter (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 67).

43      Domstolen har i detta avseende klargjort att en grupptalan inte förutsätter att det föreligger ett ”konkret åsidosättande” av de rättigheter som en person tillerkänns enligt bestämmelserna om skydd av personuppgifter. Härav följer att det, för att en sådan enhet ska tillerkännas talerätt, räcker att åberopa att behandlingen av uppgifter kan påverka de rättigheter som identifierade eller identifierbara fysiska personer tillerkänns enligt förordningen, utan att det är nödvändigt att styrka att en registrerad har lidit faktisk skada till följd av intrång i dennes rättigheter i en viss situation (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkterna 70 och 72).

44      Såsom domstolen redan har slagit fast är emellertid en förutsättning för att väcka grupptalan att den berörda enheten ”anser” att en registrerads rättigheter enligt förordningen har kränkts som en följd av behandlingen av dennes personuppgifter och således gör gällande att det ”föreligger en sådan behandling av uppgifter” som strider mot denna förordning (se, för ett liknande resonemang, dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 71), vilket innebär att en sådan behandling inte kan vara av rent hypotetisk karaktär, såsom generaladvokaten har påpekat i punkt 48 i sitt förslag till avgörande.

45      Såsom framgår av ordalydelsen i artikel 80.2 i dataskyddsförordningen innebär väckandet av en grupptalan med stöd av denna bestämmelse i praktiken att kränkningen av den registrerades rättigheter enligt denna förordning sker i samband med en behandling av personuppgifter.

46      Denna tolkning stöds av en jämförelse av de olika språkversionerna av artikel 80.2 i dataskyddsförordningen och av skäl 142 däri, där det anges att de enheter som uppfyller villkoren i artikel 80.1 i förordningen ska ha skäl att anse att en registrerad persons rättigheter har kränkts till följd av ”behandling av personuppgifter som strider mot [samma] förordning”.

47      Efter detta klargörande ska domstolen, för att besvara tolkningsfrågan, också pröva huruvida åsidosättandet av den personuppgiftsansvariges skyldighet enligt artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen att, i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, informera den registrerade om ändamålet med en behandling av personuppgifter och om mottagarna av sådana uppgifter, senast vid insamlingen av dessa uppgifter, utgör en kränkning av den registrerades rättigheter ”som en följd av behandlingen”, i den mening som avses i artikel 80.2 i dataskyddsförordningen.

48      EU-domstolen erinrar inledningsvis om att syftet med dataskyddsförordningen, såsom det framgår av artikel 1 och skäl 10 i förordningen, bland annat består i att säkerställa en hög nivå på skyddet av fysiska personers grundläggande fri- och rättigheter, i synnerhet rätten till skydd för privatlivet med avseende på behandling av personuppgifter (se, för ett liknande resonemang, dom av den 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, punkt 53).

49      All behandling av personuppgifter ska i detta syfte vara förenlig med de principer som reglerar behandlingen av personuppgifter och de rättigheter som registrerade personer har enligt kapitel II respektive kapitel III i denna förordning. I synnerhet ska all behandling av personuppgifter, med förbehåll för de undantag som anges i artikel 23 i nämnda förordning, vara förenlig med dels de principer som reglerar behandlingen av sådana uppgifter som anges i artikel 5 i förordningen och uppfylla de laglighetsvillkor som anges i artikel 6 i samma förordning, dels med de rättigheter som registrerade personer har enligt artiklarna 12–22 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 208, samt dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkterna 50 och 61 samt där angiven rättspraxis).

50      Det ska i detta hänseende betonas att enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Enligt artikel 5.1 b ska dessa uppgifter dessutom samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

51      Vad gäller tolkningen av artikel 5.1 b i dataskyddsförordningen har domstolen slagit fast att denna bestämmelse bland annat kräver att ändamålen med behandlingen ska vara klart angivna och identifierade senast vid insamlingen av personuppgifterna (dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkterna 64 och 65).

52      Enligt artikel 5.2 i dataskyddsförordningen är det dessutom den personuppgiftsansvarige som har bevisbördan för att uppgifterna bland annat samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

53      Det följer således av artikel 5 i dataskyddsförordningen att en behandling av personuppgifter bland annat måste uppfylla konkreta krav på öppenhet i förhållande till den person som berörs av en sådan behandling. I detta syfte föreskrivs i kapitel III i dataskyddsförordningen dels specifika skyldigheter för den personuppgiftsansvarige, dels en rad rättigheter för den registrerade som berörs av en behandling av personuppgifter. Bland dessa rättigheter återfinns bland annat rätten att från den personuppgiftsansvarige erhålla information om de konkreta mottagare till vilka personuppgifter som rör honom eller henne har lämnats ut eller kommer att lämnas ut (dom av den 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punkt 48).

54      I artikel 13.1 c och e i dataskyddsförordningen föreskrivs särskilt en skyldighet för den personuppgiftsansvarige att, när personuppgifter samlas in från den registrerade, informera den registrerade om ändamålen med den behandling för vilken personuppgifterna är avsedda och den rättsliga grunden för behandlingen samt om mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

55      I artikel 12.1 i förordningen föreskrivs dessutom att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att bland annat se till att den information som avses i föregående punkt och som lämnas till den registrerade är koncis, klar och tydlig, begriplig, lätt tillgänglig och formulerad på ett klart och tydligt språk.

56      Såsom domstolen har slagit fast syftar artikel 12.1 i dataskyddsförordningen, som är ett uttryck för principen om öppenhet, till att garantera att den registrerade fullt ut ska kunna förstå den information som lämnas till honom eller henne (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 38).

57      Vikten av att uppfylla en sådan informationsskyldighet bekräftas även av skäl 60 i dataskyddsförordningen, där det anges att principen om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Det betonas i detta sammanhang att den personuppgiftsansvarige bör lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 36).

58      Av det ovan anförda följer, för det första, att den personuppgiftsansvariges skyldighet att lämna information till registrerade som berörs av en behandling av personuppgifter är en följd av den rätt till information som dessa personer har enligt artiklarna 12 och 13 i dataskyddsförordningen och som således ingår bland de rättigheter som grupptalan enligt artikel 80.2 i denna förordning syftar till att skydda. Såsom framgår av punkterna 56 och 57 ovan säkerställer iakttagandet av denna skyldighet på ett mer allmänt sätt att principerna om öppenhet och likabehandling i artikel 5.1 i nämnda förordning iakttas.

59      För det andra kan, såsom generaladvokaten har påpekat i punkt 47 i sitt förslag till avgörande, den påstådda kränkningen av den registrerades rätt att få tillräcklig information om alla omständigheter kring en behandling av personuppgifter, i synnerhet ändamålet med behandlingen och mottagaren av uppgifterna, utgöra hinder för att kunna lämna ”informerat” samtycke, i den mening som avses i artikel 4.11 i dataskyddsförordningen, vilket kan medföra att behandlingen blir olaglig, i den mening som avses i artikel 5.1 i denna förordning.

60      Giltigheten av det samtycke som lämnats av den registrerade beror nämligen bland annat på huruvida den registrerade i förväg har erhållit informationen med avseende på samtliga omständigheter kring den behandling av de aktuella uppgifterna som vederbörande hade rätt till enligt artikel 12 och 13 i dataskyddsförordningen och som gör det möjligt för vederbörande att ge sitt samtycke med full kännedom om omständigheterna.

61      Eftersom en behandling av personuppgifter som sker i strid med den registrerades rätt till information enligt artiklarna 12 och 13 i dataskyddsförordningen strider mot kraven i artikel 5 i dataskyddsförordningen, ska en kränkning av denna rätt till information anses utgöra en kränkning av den registrerades rättigheter ”som en följd av behandlingen”, i den mening som avses i artikel 80.2 i dataskyddsförordningen.

62      Av detta följer att rätten för den som berörs av en behandling av personuppgifter, som följer av artikel 12.1 första meningen och artikel 13.1 c och e i dataskyddsförordningen, att från den personuppgiftsansvarige, i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, få information om ändamålet med en sådan behandling och om mottagarna av sådana uppgifter, utgör en rättighet vars kränkning gör det möjligt att använda sig av den mekanism för grupptalan som föreskrivs i artikel 80.2 i förordningen.

63      Denna tolkning bekräftas för det första av syftet med dataskyddsförordningen, som det erinrats om i punkt 48 ovan, nämligen att säkerställa ett effektivt skydd för fysiska personers grundläggande fri- och rättigheter och, i synnerhet, en hög skyddsnivå för var och en av deras rätt till privatliv med avseende på behandling av personuppgifter som rör honom eller henne.

64      För det andra är en sådan tolkning även förenlig med den preventiva funktionen hos den grupptalan som föreskrivs i artikel 80.2 i dataskyddsförordningen vilken väcks av konsumentskyddsföreningar, såsom i förevarande fall Bundesverband (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 76).

65      Mot bakgrund av det ovan anförda ska tolkningsfrågan besvaras enligt följande. Artikel 80.2 i dataskyddsförordningen ska tolkas så, att villkoret att en bemyndigad enhet, för att kunna väcka grupptalan enligt denna bestämmelse, ska göra gällande att den anser att en registrerads rättigheter har kränkts ”som en följd av behandlingen”, i den mening som avses i denna bestämmelse, är uppfyllt när enheten gör gällande att den registrerades rättigheter har kränkts i samband med en behandling av personuppgifter och att denna kränkning är en följd av att den personuppgiftsansvarige har åsidosatt sin skyldighet enligt artikel 12.1 första meningen och artikel 13.1 c och e i nämnda förordning, att i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, informera den registrerade som berörs av denna behandling om ändamålet med behandlingen av uppgifterna och om mottagarna av dessa uppgifter, senast vid insamlingen av uppgifterna.

 Rättegångskostnader

66      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (fjärde avdelningen) följande:

Artikel 80.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

ska tolkas så,

att villkoret att en bemyndigad enhet, för att kunna väcka grupptalan enligt denna bestämmelse, ska göra gällande att den anser att en registrerads rättigheter har kränkts ”som en följd av behandlingen”, i den mening som avses i denna bestämmelse, är uppfyllt när enheten gör gällande att den registrerades rättigheter har kränkts i samband med en behandling av personuppgifter och att denna kränkning är en följd av att den personuppgiftsansvarige har åsidosatt sin skyldighet enligt artikel 12.1 första meningen och artikel 13.1 c och e i nämnda förordning, att i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, informera den registrerade som berörs av denna behandling om ändamålet med behandlingen av uppgifterna och om mottagarna av dessa uppgifter, senast vid insamlingen av uppgifterna.

Underskrifter

*      Rättegångsspråk: tyska.