HvJ EU, 28-04-2022, nr. C-319/20

Documentgegevens:

ECLI:EU:C:2022:322

Instantie: Hof van Justitie van de Europese Unie
Datum: 28-04-2022
Magistraten: A. Prechal, J. Passer, F. Biltgen, L. S. Rossi, N. Wahl
Zaaknummer: C-319/20
Conclusie: J. richard de la tour
Roepnaam: Facebook Ireland
Vakgebied(en): EU-recht (V)
Brondocumenten en formele relaties: ECLI:EU:C:2022:322, Uitspraak, Hof van Justitie van de Europese Unie, 28‑04‑2022
Conclusie, Hof van Justitie van de Europese Unie, 02‑12‑2021

Uitspraak 28‑04‑2022

Inhoudsindicatie

Prejudiciële verwijzing — Bescherming van natuurlĳke personen in verband met de verwerking van persoonsgegevens — Verordening (EU) 2016/679 — Artikel 80 — Vertegenwoordiging van de betrokkenen door een vereniging zonder winstoogmerk — Representatieve vordering die door een consumentenbelangenvereniging wordt ingesteld zonder dat daartoe een opdracht is gegeven en ongeacht of er concrete rechten van een betrokkene zijn geschonden — Vordering gebaseerd op het verbod van oneerlijke handelspraktijken, de schending van een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden

A. Prechal, J. Passer, F. Biltgen, L. S. Rossi, N. Wahl

Partij(en)

In zaak C-319/20,*

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) bij beslissing van 28 mei 2020, ingekomen bij het Hof op 15 juli 2020, in de procedure

Meta Platforms Ireland Limited, voorheen Facebook Ireland Limited,

tegen

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.,

wijst

HET HOF (Derde kamer),

samengesteld als volgt: A. Prechal, president van de Tweede kamer, waarnemend voor de president van de Derde kamer, J. Passer, F. Biltgen, L. S. Rossi (rapporteur) en N. Wahl, rechters,

advocaat-generaal: J. Richard de la Tour,

griffier: M. Krausenböck, administrateur,

gezien de stukken en na de terechtzitting op 23 september 2021,

gelet op de opmerkingen van:

—: Meta Platforms Ireland Limited, vertegenwoordigd door H.-G. Kamann, M. Braun, H. Frey en V. Wettner, Rechtsanwälte,
—: Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V., vertegenwoordigd door P. Wassermann, Rechtsanwalt,
—: de Duitse regering, vertegenwoording door D. Klebs en J. Möller als gemachtigden,
—: de Oostenrijkse regering, vertegenwoordigd door A. Posch, G. Kunnert en J. Schmoll als gemachtigden,
—: de Portugese regering, vertegenwoordigd door L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa en L. Medeiros als gemachtigden,
—: de Europese Commissie, aanvankelijk vertegenwoordigd door F. Erlbacher, H. Kranenborg en D. Nardi, vervolgens door F. Erlbacher en H. Kranenborg als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 2 december 2021,

het navolgende

Arrest

1

Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 80, leden 1 en 2, en van artikel 84, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2 en PB 2021, L 74, blz. 35; hierna: ‘AVG’).

2

Dit verzoek is ingediend in het kader van een geschil tussen de in Ierland gevestigde onderneming Meta Platforms Ireland Limited, voorheen Facebook Ireland Limited, en het Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (Duitse federale vereniging van consumentenbeschermingsorganisaties; hierna: ‘Bundesverband’) over de schending door Meta Platforms Ireland van de Duitse wetgeving inzake de bescherming van persoonsgegevens, hetgeen tegelijkertijd een oneerlijke handelspraktijk, een schending van een consumentenbeschermingswet en een schending van het verbod op de toepassing van ongeldige algemene voorwaarden vormt.

Toepasselijke bepalingen

Unierecht

AVG

3

In de overwegingen 9, 10, 13 en 142 AVG staat te lezen:

‘(9): De doelstellingen en beginselen van richtlijn 95/46/EG [van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31)] blijven overeind, maar de richtlijn heeft niet kunnen voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, dat er rechtsonzekerheid heerst of dat in brede lagen van de bevolking het beeld bestaat dat met name online-activiteiten aanzienlijke risico's voor de bescherming van natuurlijke personen inhouden. De lidstaten bieden op het vlak van verwerking van persoonsgegevens uiteenlopende niveaus van bescherming van de rechten en vrijheden van natuurlijke personen, met name de bescherming van persoonsgegevens, wat het vrije verkeer van persoonsgegevens binnen de Unie in de weg kan staan. Die verschillen kunnen dan ook een belemmering vormen voor de uitoefening van economische activiteiten op Unieniveau, de mededinging verstoren en de overheid beletten de taak die zij uit hoofde van het Unierecht heeft, te vervullen. Die verschillende beschermingsniveaus zijn toe te schrijven aan de verschillen in de uitvoering en toepassing van richtlijn [95/46].
(10): Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake [de] bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. […]
: […]
(13): Teneinde natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, is een verordening nodig om marktdeelnemers, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijke personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. […]
: […]
(142): Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk, die overeenkomstig het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het publieke belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij een toezichthoudende autoriteit, om namens betrokkenen het recht op een voorziening in rechte uit te oefenen, of om namens betrokkenen het recht op de ontvangst van een vergoeding uit te oefenen indien dit in het lidstatelijke recht is voorzien. De lidstaten kunnen bepalen dat deze organen, organisaties of verenigingen over het recht beschikken om, ongeacht een eventuele machtiging door een betrokkene, in die lidstaat een klacht in te dienen en over het recht op een doeltreffende voorziening in rechte, indien zij redenen hebben om aan te nemen dat de rechten van een betrokkene zijn geschonden als gevolg van een verwerking van persoonsgegevens die inbreuk maakt op deze verordening. Voor deze organen, organisaties of verenigingen kan worden bepaald dat zij niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om.’

4

Artikel 1 van deze verordening, met als opschrift ‘Onderwerp en doelstellingen’, bepaalt in lid 1:

‘Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.’

5

Artikel 4, punt 1, AVG luidt als volgt:

‘Voor de toepassing van deze verordening wordt verstaan onder:

1): ‘persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;’

6

Hoofdstuk III AVG, dat de artikelen 12 tot en met 23 omvat, heeft als opschrift ‘Rechten van de betrokkene’.

7

Artikel 12 van deze verordening, met als opschrift ‘Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene’, bepaalt in lid 1:

‘De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.’

8

Artikel 13 AVG, met als opschrift ‘Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld’, bepaalt in lid 1, onder c) en e):

‘Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene al bij de verkrijging van de persoonsgegevens de volgende informatie:

: […]
c): de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
: […]
e): in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;’

9

Hoofdstuk VIII van deze verordening, dat de artikelen 77 tot en met 84 omvat, heeft als opschrift ‘Beroep, aansprakelijkheid en sancties’.

10

Artikel 77 AVG, met als opschrift ‘Recht om een klacht in te dienen bij een toezichthoudende autoriteit’, bepaalt in lid 1:

‘Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.’

11

Artikel 78 AVG, met als opschrift ‘Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit’, bepaalt in lid 1:

‘Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.’

12

Artikel 79 AVG, met als opschrift ‘Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker’, bepaalt in lid 1:

‘Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.’

13

Artikel 80 AVG, met als opschrift ‘Vertegenwoordiging van betrokkenen’, luidt als volgt:

‘1.: De betrokkene heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doelstellingen het algemeen belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.
2.: De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat een klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het, onderscheidenlijk zij, van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.’

14

Artikel 82 van deze verordening, met als opschrift ‘Recht op schadevergoeding en aansprakelijkheid’, bepaalt in lid 1:

‘Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.’

15

Artikel 84 AVG, met als opschrift ‘Sancties’, bepaalt in lid 1:

‘De lidstaten stellen de regels inzake andere sancties vast die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83, en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. Die sancties zijn doeltreffend, evenredig en afschrikkend.’

Richtlijn 2005/29

16

Richtlijn 2005/29/EG van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt en tot wijziging van richtlijn 84/450/EEG van de Raad, richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad (‘richtlijn oneerlijke handelspraktijken’) (PB 2005, L 149, blz. 22) heeft volgens artikel 1 ervan tot doel bij te dragen aan de goede werking van de interne markt en een hoog niveau van consumentenbescherming tot stand te brengen door de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake oneerlijke handelspraktijken die de economische belangen van de consumenten schaden, te harmoniseren.

17

Artikel 5 van richtlijn 2005/29, met als opschrift ‘Verbod op oneerlijke handelspraktijken’, bepaalt:

‘1.

Oneerlijke handelspraktijken zijn verboden.

2.

Een handelspraktijk is oneerlijk wanneer zij:

a): in strijd is met de vereisten van professionele toewijding,
en
b): het economische gedrag van de gemiddelde consument die zij bereikt of op wie zij gericht is of, indien zij op een bepaalde groep consumenten gericht is, het economisch gedrag van het gemiddelde lid van deze groep, met betrekking tot het product wezenlijk verstoort of kan verstoren.

[…]

5.

Bijlage I bevat de lijst van handelspraktijken die onder alle omstandigheden als oneerlijk worden beschouwd. […]’

18

Artikel 11 van deze richtlijn, met als opschrift ‘Handhaving’, bepaalt in lid 1:

‘De lidstaten zorgen voor de invoering van passende en doeltreffende middelen ter bestrijding van oneerlijke handelspraktijken, zodat de naleving van deze richtlijn in het belang van de consumenten kan worden afgedwongen.

Daartoe behoren wettelijke bepalingen op grond waarvan personen of organisaties die volgens de nationale wetgeving een rechtmatig belang hebben bij het bestrijden van oneerlijke handelspraktijken, met inbegrip van de concurrenten:

a): in rechte kunnen optreden tegen die oneerlijke handelspraktijken,
en/of
b): die oneerlijke handelspraktijken kunnen voorleggen aan een administratieve instantie die bevoegd is om hetzij zelf een uitspraak te doen over een klacht, hetzij een passende gerechtelijke procedure in te leiden.
Elke lidstaat beslist welke van deze procedures wordt gevolgd en of de rechterlijke of administratieve instantie mag eisen dat afdoening van de klacht eerst langs andere wegen, waaronder die bedoeld in artikel 10, wordt beproefd. Deze procedures kunnen worden gevolgd ongeacht of de getroffen consumenten zich bevinden op het grondgebied van de lidstaat waar de handelaar gevestigd is, of in een andere lidstaat.
: […]’

19

Bijlage I bij richtlijn 2005/29, die de lijst bevat van handelspraktijken die onder alle omstandigheden als oneerlijk worden beschouwd, bepaalt in punt 26:

‘Hardnekkig en ongewenst aandringen per telefoon, fax, e-mail of andere afstandsmedia behalve indien er, voor zover gerechtvaardigd volgens de nationale wetgeving, wordt beoogd een contractuele verplichting te doen naleven. Dit doet geen afbreuk aan […] de richtlijnen [95/46] […].’

Richtlijn 2009/22

20

Artikel 1 van richtlijn 2009/22/EG van het Europees Parlement en de Raad van 23 april 2009 betreffende het doen staken van inbreuken in het raam van de bescherming van de consumentenbelangen (PB 2009, L 110, blz. 30), met als opschrift ‘Toepassingsgebied’, luidt:

‘1.: Deze richtlijn heeft tot doel de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten betreffende verbodsacties als bedoeld in artikel 2 ter bescherming van de collectieve belangen van consumenten, die zijn opgenomen in de in bijlage I genoemde richtlijnen, teneinde de goede werking van de interne markt te waarborgen.
2.: Voor de toepassing van deze richtlijn wordt onder ‘inbreuk’ verstaan: elke handeling die strijdig is met de bepalingen van de in bijlage I vermelde richtlijnen, als omgezet in de interne rechtsorde van de lidstaten en waardoor de in lid 1 bedoelde collectieve belangen worden geschaad.’

21

Artikel 7 van richtlijn 2009/22, met als opschrift ‘Voorschriften die een ruimere mogelijkheid tot het instellen van acties bieden’, luidt als volgt:

‘Deze richtlijn belet de lidstaten niet voorschriften te handhaven of vast te stellen waarbij op nationaal niveau aan bevoegde instanties, alsmede aan iedere betrokkene een ruimere mogelijkheid wordt geboden om een actie in te stellen.’

22

Bijlage I bij richtlijn 2009/22 bevat de lijst van de in artikel 1 van deze richtlijn bedoelde richtlijnen van de Unie. Punt 11 van deze bijlage vermeldt richtlijn 2005/29.

Richtlijn 2020/1828

23

De overwegingen 11, 13 en 15 van richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van richtlijn 2009/22 (PB 2020, L 409, blz. 1) luiden als volgt:

‘(11): Deze richtlijn mag niet in de plaats komen van bestaande nationale procedurele mechanismen ter bescherming van collectieve of individuele consumentenbelangen. Rekening houdend met hun rechtstradities moet de richtlijn het overlaten aan de lidstaten om te beslissen of zij het door deze richtlijn geëiste procedurele mechanisme voor representatieve vorderingen vormgeven als een onderdeel van een bestaand of een nieuw procedureel mechanisme voor collectieve stakings- of herstelmaatregelen dan wel als een afzonderlijk procedureel mechanisme, mits ten minste één nationaal procedureel mechanisme voor representatieve vorderingen voldoet aan deze richtlijn. […] Indien er op nationaal niveau procedurele mechanismen zijn naast het bij deze richtlijn voorgeschreven procedurele mechanisme, moet de bevoegde instantie kunnen kiezen welk procedureel mechanisme zij gebruikt.
: […]
(13): Het toepassingsgebied van deze richtlijn moet recht doen aan recente ontwikkelingen op het gebied van consumentenbescherming. Nu consumenten zich op een grotere en steeds meer gedigitaliseerde marktomgeving bewegen, is het voor een hoog niveau van consumentenbescherming nodig dat gebieden als gegevensbescherming, financiële diensten, reizen en toerisme, energie en telecommunicatie onder de richtlijn vallen, naast het algemene consumentenrecht. […]
: […]
(15): Deze richtlijn moet de rechtshandelingen in de lijst van bijlage I onverlet laten en mag de in die rechtshandelingen vervatte definities dus niet wijzigen of uitbreiden, noch eventueel in die rechtshandelingen vervatte handhavingsmechanismen vervangen. Indien van toepassing, kan bijvoorbeeld nog steeds een beroep worden gedaan op de handhavingsmechanismen die zijn vastgelegd in of krachtens [de AVG] om de collectieve belangen van consumenten te beschermen.’

24

Artikel 2 van die richtlijn, met als opschrift ‘Toepassingsgebied’, bepaalt in lid 1 het volgende:

‘Deze richtlijn is van toepassing op representatieve vorderingen die worden ingesteld wegens inbreuken door handelaren op de in bijlage I bedoelde bepalingen van Unierecht, met inbegrip van de in nationaal recht omgezette bepalingen daarvan, die de collectieve belangen van consumenten schaden of kunnen schaden. Deze richtlijn laat de in bijlage I bedoelde bepalingen van Unierecht onverlet. […]’

25

Artikel 24 van voormelde richtlijn, met als opschrift ‘Omzetting’, bepaalt in lid 1:

‘De lidstaten stellen de nodige wettelijke en bestuursrechtelijke bepalingen vast om aan deze richtlijn te voldoen en maken die bekend uiterlijk op 25 december 2022. Zij delen de Commissie de tekst van die bepalingen onverwijld mede.

De lidstaten passen die bepalingen toe met ingang van 25 juni 2023.

[…]’

26

Bijlage I bij richtlijn 2020/1828, die de lijst bevat van de in artikel 2, lid 1, van die richtlijn bedoelde bepalingen van Unierecht, vermeldt in punt 56 de AVG.

Duits recht

Wet betreffende verbodsacties

27

§ 2 van het Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz — UKlaG) (wet betreffende verbodsacties bij inbreuken op het consumentenrecht of bij andere inbreuken) van 26 november 2001 (BGBl. 2001 I, blz. 3138), in de op het hoofdgeding toepasselijke versie (hierna: ‘wet betreffende verbodsacties’), luidt:

‘(1)

Van eenieder die op andere wijze dan door de toepassing of aanbeveling van algemene voorwaarden inbreuk maakt op bepalingen ter bescherming van de consument (wetten betreffende de bescherming van de consument), kan in het belang van de bescherming van de consument worden gevorderd dat hij deze inbreuk staakt en er in de toekomst van afziet. […]

(2)

In de zin van deze bepaling wordt onder ‘wetten betreffende de bescherming van de consument’ met name verstaan:

[…]

11.

de voorschriften die regelen onder welke voorwaarden een ondernemer:

a): persoonsgegevens van een consument mag verzamelen of
b): de persoonsgegevens die met betrekking tot een consument zijn verzameld, mag verwerken of gebruiken,
wanneer de gegevens worden verzameld, verwerkt of gebruikt om reclame te maken, markt- en opinieonderzoeken te verrichten, een kredietbeoordelingsbureau te exploiteren, persoonlijkheids- en gebruikersprofielen op te stellen, adressen te verkopen, andere gegevens te verhandelen, of voor soortgelijke commerciële doeleinden.’

28

Het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) geeft aan dat beroepsgerechtigde entiteiten in de zin van § 4 van de wet betreffende verbodsacties op grond van § 3, lid 1, eerste volzin, punt 1, van deze wet, ten eerste overeenkomstig § 1 van die wet verbodsacties kunnen instellen tegen de toepassing van algemene voorwaarden die krachtens § 307 van het Bürgerliche Gesetzbuch (Duits burgerlijk wetboek) als ongeldig moeten worden beschouwd, en ten tweede verbodsacties kunnen instellen tegen schendingen van de wetgeving inzake consumentenbescherming, in de zin van § 2, lid 2, van die wet.

Wet inzake oneerlijke mededinging

29

§ 3, lid 1, van het Gesetz gegen den unlauteren Wettbewerb (wet inzake oneerlijke mededinging) van 3 juli 2004 (BGBl. 2004 I, blz. 1414), in de op het hoofdgeding toepasselijke versie (hierna: ‘wet inzake oneerlijke mededinging’), bepaalt:

‘Oneerlijke handelspraktijken zijn verboden.’

30

§ 3a van de wet inzake oneerlijke mededinging luidt als volgt:

‘Eenieder die handelt in strijd met een wettelijk voorschrift dat mede is vastgesteld om in het belang van de marktdeelnemers het marktgedrag te reguleren, maakt zich schuldig aan een oneerlijke handelspraktijk indien de inbreuk de belangen van consumenten, andere marktdeelnemers of concurrenten wezenlijk kan aantasten.’

31

§ 8 van de wet inzake oneerlijke mededinging luidt:

‘(1)

Van eenieder die zich schuldig maakt aan een krachtens § 3 of § 7 verboden handelspraktijk, kan worden gevorderd dat hij deze praktijk staakt en er, in geval van gevaar voor recidive, in de toekomst van afziet. […]

[…]

(3)

De in lid 1 bedoelde vorderingen komen toe aan:

[…]

3.: bevoegde instanties die aantonen dat zij zijn vermeld in de lijst van de bevoegde instanties bedoeld in § 4 van [de wet betreffende verbodsacties] […],
: […]’

Wet inzake elektronische media

32

Het Bundesgerichtshof geeft aan dat § 13, lid 1, van het Telemediengesetz (wet inzake elektronische media) van 26 februari 2007 (BGBl. 2007 I, blz. 179) van toepassing was tot de inwerkingtreding van de AVG. Sinds die datum is deze bepaling vervangen door de artikelen 12 tot en met 14 van de AVG.

33

§ 13, lid 1, eerste volzin, van de wet inzake elektronische media bepaalde:

Hoofdgeding en prejudiciële vraag

34

Meta Platforms Ireland, die het dienstenaanbod van het sociale onlinenetwerk Facebook in de Unie beheert, is verantwoordelijk voor de verwerking van persoonsgegevens van de gebruikers van dit sociale netwerk in de Unie. Facebook Germany GmbH, gevestigd in Duitsland, promoot de verkoop van advertentieruimte onder het adres www.facebook.de. Op het internetplatform Facebook bevindt zich met name onder het adres www.facebook.de een appcentrum genaamd ‘App-Zentrum’ waar Meta Platforms Ireland haar gebruikers gratis spellen van derde leveranciers aanbiedt. Bij het aanklikken van bepaalde spellen in het App-Zentrum krijgt de gebruiker de melding dat het gebruik van de applicatie in kwestie het betrokken spelbedrijf de mogelijkheid biedt een aantal persoonsgegevens te ontvangen en haar het recht verleent om namens de gebruikers bepaalde gegevens te posten, waaronder hun score. Door de applicatie te gebruiken gaat de gebruiker aldus akkoord met de algemene voorwaarden en met het gegevensbeschermingsbeleid ervan. Bij een bepaald spel wordt bovendien aangegeven dat de applicatie statusberichten, foto's en dergelijke meer mag posten in naam van de gebruiker.

35

Volgens het Bundesverband, een instantie die procesbevoegd is op grond van § 4 van de wet betreffende verbodsacties, zijn de door de betrokken spelen in het App-Zentrum verstrekte meldingen oneerlijk, met name wegens niet-naleving van de wettelijke vereisten die volgens de bepalingen inzake gegevensbescherming gelden voor het verkrijgen van rechtsgeldige toestemming van de gebruiker. Bovendien is het Bundesverband van mening dat de melding dat het de applicatie is toegestaan om bepaalde persoonlijke informatie namens de gebruiker te publiceren, een algemene voorwaarde is die de gebruiker ten onrechte benadeelt.

36

In deze context heeft het Bundesverband bij het Landgericht Berlin (rechter in eerste aanleg Berlijn, Duitsland) een verbodsactie ingesteld tegen Meta Platforms Ireland op grond van § 3a van de wet inzake oneerlijke mededinging, § 2, lid 2, eerste volzin, punt 11, van de wet betreffende verbodsacties, en het burgerlijk wetboek. Deze actie is ingesteld los van enige specifieke inbreuk op de rechten inzake gegevensbescherming van een individuele betrokkene en zonder dat een dergelijke persoon daartoe opdracht heeft gegeven.

37

Het Landgericht Berlin heeft de door het Bundesverband tegen Meta Platforms Ireland ingestelde vordering toegewezen. Het door Meta Platforms Ireland tegen deze toewijzing bij het Kammergericht Berlin (hoogste rechterlijke instantie van de deelstaat Berlijn, Duitsland) ingestelde hoger beroep is verworpen. Vervolgens heeft Meta Platforms Ireland bij de verwijzende rechter een beroep tot Revision tegen de beslissing van de appelrechter ingesteld.

38

De verwijzende rechter is van oordeel dat de vordering van het Bundesverband gegrond is, aangezien Meta Platforms Ireland § 3a van de wet inzake oneerlijke mededinging en § 2, lid 2, eerste volzin, punt 11, van de wet betreffende verbodsacties heeft geschonden en gebruik heeft gemaakt van een algemene voorwaarde die ongeldig is in de zin van § 1 van laatstgenoemde wet.

39

Die rechter vraagt zich echter af of de vordering van het Bundesverband ontvankelijk is. Volgens hem is het immers niet uitgesloten dat het Bundesverband, dat op grond van § 8, lid 3, van de wet inzake oneerlijke mededinging en van § 3, lid 1, eerste zin, punt 1, van de wet betreffende verbodsacties op de datum van instelling van zijn beroep procesbevoegd was, deze hoedanigheid in de loop van het geding heeft verloren als gevolg van de inwerkingtreding van de AVG, met name artikel 80, leden 1 en 2, en artikel 84, lid 1, daarvan. In dat geval zou de verwijzende rechter het door Meta Platforms Ireland ingestelde beroep in Revision moeten toewijzen en de vordering van het Bundesverband niet-ontvankelijk moeten verklaren, aangezien de procesbevoegdheid volgens het Duitse procesrecht moet blijven bestaan tot aan het einde van de procedure in laatste aanleg.

40

Volgens de verwijzende rechter blijkt het antwoord op deze vraag niet duidelijk uit de bewoordingen, de opzet en het doel van de bepalingen van de AVG.

41

Wat de bewoordingen van de bepalingen van de AVG betreft, merkt de verwijzende rechter op dat de organen, organisaties of verenigingen zonder winstoogmerk die rechtsgeldig zijn opgericht overeenkomstig de wetgeving van een lidstaat, krachtens artikel 80, lid 1, AVG procesbevoegd zijn indien de betrokkene een orgaan, organisatie of vereniging heeft gemachtigd om namens hem de in de artikelen 77 tot en met 79 AVG genoemde rechten uit te oefenen, alsmede het in artikel 82 AVG genoemde recht op schadeloosstelling indien de wetgeving van een lidstaat daarin voorziet.

42

De verwijzende rechter benadrukt echter dat het bij § 8, lid 3, punt 3, van de wet inzake oneerlijke mededinging niet gaat om de toekenning van procesbevoegdheid om een dergelijke vordering in te stellen in opdracht en in naam van een betrokkene teneinde diens persoonlijke rechten uit te oefenen. Veeleer verleent deze wet aan een vereniging, op basis van een recht dat haar eigen is en dat voortvloeit uit § 3, lid 1, en § 3a van de wet inzake oneerlijke mededinging, de procesbevoegdheid om objectief-juridisch op te treden tegen schendingen van bepalingen van de AVG, los van de schending van concrete rechten van de betrokkenen en ongeacht een opdracht van deze personen.

43

Voorts merkt de verwijzende rechter op dat artikel 80, lid 2, AVG geen regeling bevat waaraan een vereniging procesbevoegdheid kan ontlenen met het oog op de objectieve handhaving van het gegevensbeschermingsrecht, aangezien deze bepaling vereist dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van een specifieke verwerking.

44

Bovendien kan de procesbevoegdheid van verenigingen, zoals vastgesteld in § 8, lid 3, van de wet inzake oneerlijke mededinging, evenmin worden gesteund op artikel 84, lid 1, AVG, volgens welke bepaling de lidstaten de regels vaststellen inzake andere sancties die van toepassing zijn op inbreuken op deze verordening en zij alle nodige maatregelen treffen om ervoor te zorgen dat deze worden toegepast. Een procesbevoegdheid van verenigingen, zoals bedoeld in § 8, lid 3, van de wet inzake oneerlijke mededinging, kan immers geen ‘sanctie’ vormen in de zin van die bepaling van de AVG.

45

Wat de opzet van de bepalingen van de AVG betreft, is de verwijzende rechter van oordeel dat uit het feit dat deze verordening met name de bevoegdheden van de toezichthoudende autoriteiten heeft geharmoniseerd, kan worden afgeleid dat het hoofdzakelijk aan die autoriteiten staat om te zorgen voor de handhaving ervan. Tegen de stelling van een uitputtende regeling van de controle op de toepassing van het recht bij deze verordening kan evenwel worden aangevoerd dat artikel 77, lid 1, artikel 78, leden 1 en 2, evenals artikel 79, lid 1, AVG telkens de formulering ‘onverminderd andere mogelijkheden van beroep’ bevatten.

46

Wat het doel van de AVG betreft, zou het nuttige effect van de verordening volgens de verwijzende rechter ervoor kunnen pleiten dat verenigingen overeenkomstig § 8, lid 3, punt 3, van de wet inzake oneerlijke mededinging procesbevoegd zijn op grond van het mededingingsrecht, onafhankelijk van een schending van concrete rechten van betrokken personen, aangezien daarmee een aanvullende mogelijkheid tot rechtshandhaving behouden blijft teneinde het overeenkomstig overweging 10 van de AVG beoogde hoge niveau van gegevensbescherming te bieden. Daartegenover staat dat de erkenning van procesbevoegdheid op grond van het mededingingsrecht als onverenigbaar met de door de verordening nagestreefde harmonisatiedoelstelling zou kunnen worden beschouwd.

47

Tegen deze achtergrond heeft het Bundesgerichtshof de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vraag:

‘Staan de bepalingen in hoofdstuk VIII — en inzonderheid artikel 80, leden 1 en 2, en artikel 84, lid 1, [AVG] — in de weg aan nationale regelingen die, naast de bevoegdheden tot optreden van de voor het toezicht op en de handhaving van de verordening bevoegde autoriteiten en de aan de betrokkene geboden rechtsbeschermingsmogelijkheden, zowel aan concurrenten als aan naar nationaal recht beroepsgerechtigde verenigingen, organen en beroepsorganisaties de bevoegdheid verlenen om wegens schendingen van [de AVG] bij de civiele rechter op te komen tegen de inbreukmaker, op grond van het verbod op oneerlijke handelspraktijken, schending van een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden, ongeacht of een individuele betrokkene in zijn concrete rechten is geschonden en zonder daartoe door een betrokkene te zijn gemachtigd?’

Beantwoording van de prejudiciële vraag

48

Vooraf zij erop gewezen dat, zoals onder meer blijkt uit punt 36 evenals uit de punten 41 tot en met 44 van het onderhavige arrest, de partijen in het hoofdgeding enerzijds een vereniging die consumentenbelangen behartigt, met name het Bundesverband, en anderzijds Meta Platforms Ireland zijn, en dat dit geding betrekking heeft op de vraag of een dergelijke vereniging tegen deze vennootschap kan optreden zonder daartoe te zijn gemachtigd en ongeacht de vraag of betrokkenen zijn geschonden in hun concrete rechten.

49

In deze omstandigheden hangt het antwoord op de prejudiciële vraag, zoals de Commissie in haar schriftelijke opmerkingen terecht heeft opgemerkt, uitsluitend af van de uitlegging van artikel 80, lid 2, AVG aangezien artikel 80, lid 1, AVG en artikel 84 AVG in casu niet relevant zijn. Ten eerste vooronderstelt de toepassing van artikel 80, lid 1, AVG immers dat de betrokken persoon het in die bepaling bedoelde orgaan of de in die bepaling bedoelde organisatie of vereniging zonder winstoogmerk heeft gemachtigd om namens hem de in de artikelen 77 tot en met 79 AVG bedoelde rechtsmaatregelen te nemen. Het staat echter vast dat dit in het hoofdgeding niet het geval is, aangezien het Bundesverband los van enige opdracht van de betrokkene handelt. Ten tweede staat vast dat artikel 84 AVG ziet op de administratieve en strafrechtelijke sancties die van toepassing zijn op schendingen van die verordening, hetgeen evenmin in het hoofdgeding aan de orde is.

50

Bovendien moet worden opgemerkt dat in het hoofdgeding niet de vraag naar de procesbevoegdheid van een concurrent aan de orde is. Bijgevolg hoeft enkel te worden geantwoord op het deel van de vraag dat betrekking heeft op de procesbevoegdheid van krachtens het nationale recht gemachtigde verenigingen, organen en beroepsorganisaties als bedoeld in artikel 80, lid 2, AVG.

51

Hieruit volgt dat prejudiciële vraag aldus moet worden begrepen dat de verwijzende rechter in wezen wenst te vernemen of artikel 80, lid 2, AVG aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die een vereniging die consumentenbelangen behartigt toestaat — ook wanneer zij geen opdracht daartoe heeft gekregen en los van de vraag of er sprake is van enige schending van concrete rechten van een betrokkene — in rechte op te treden tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens en deze vereniging zich daarbij beroept op het verbod op oneerlijke handelspraktijken, een inbreuk op een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden.

52

Ter beantwoording van deze vraag zij eraan herinnerd dat de AVG, zoals blijkt uit overweging 10 ervan, teneinde met name de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, tot doel heeft te zorgen voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.

53

In deze context regelt hoofdstuk VIII van die verordening onder meer de rechtsmiddelen waarmee de rechten van de betrokkene kunnen worden beschermd wanneer zijn persoonsgegevens beweerdelijk in strijd met de bepalingen van de verordening zijn verwerkt. De bescherming van deze rechten kan dus worden ingeroepen hetzij rechtstreeks door de betrokkene, hetzij door een daartoe gemachtigde entiteit, al dan niet met een daartoe strekkende opdracht, overeenkomstig artikel 80 AVG.

54

Om te beginnen heeft de betrokkene dus het recht om zelf een klacht in te dienen bij een toezichthoudende autoriteit van een lidstaat of een vordering in te stellen bij de nationale burgerlijke rechter. Meer in het bijzonder heeft deze persoon respectievelijk het recht om overeenkomstig artikel 77 AVG een klacht in te dienen bij een toezichthoudende autoriteit, het recht om op grond van artikel 78 AVG een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit, het recht om krachtens artikel 79 AVG een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker, en het recht om op grond van artikel 82 AVG schadevergoeding voor de geleden schade te vorderen van de verwerkingsverantwoordelijke of de verwerker.

55

Vervolgens heeft de betrokkene krachtens artikel 80, lid 1, AVG onder bepaalde voorwaarden het recht een orgaan, organisatie of vereniging zonder winstoogmerk de opdracht te geven om klacht namens hem in te dienen of namens hem de in voornoemde artikelen bedoelde rechten uit te oefenen.

56

Ten slotte kunnen de lidstaten overeenkomstig artikel 80, lid 2, AVG bepalen dat elk orgaan, elke organisatie of elke vereniging over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat een klacht in te dienen bij de toezichthoudende autoriteit overeenkomstig artikel 77 van deze verordening, en de in de artikelen 78 en 79 van diezelfde verordening bedoelde rechten uit te oefenen, indien die entiteit van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking van hem betreffende persoonsgegevens.

57

In dit verband moet worden opgemerkt dat de AVG, zoals blijkt uit haar artikel 1, lid 1, gelezen in het licht van met name de overwegingen 9, 10 en 13 ervan, in beginsel de nationale regelgevingen inzake de bescherming van persoonsgegevens volledig beoogt te harmoniseren. De bepalingen van deze verordening bieden de lidstaten evenwel de mogelijkheid om strengere of afwijkende nationale bepalingen vast te stellen die hun een beoordelingsmarge laten met betrekking tot de wijze waarop deze regels kunnen worden toegepast (‘open clausules’).

58

Er zij immers aan herinnerd dat volgens vaste rechtspraak van het Hof bepalingen van verordeningen krachtens artikel 288 VWEU en wegens hun aard en hun functie in het systeem van de bronnen van het Unierecht in het algemeen rechtstreekse werking hebben in de nationale rechtsorden, zonder dat de nationale autoriteiten uitvoeringsmaatregelen hoeven vast te stellen. Voor sommige bepalingen kan het evenwel noodzakelijk zijn dat door de lidstaten nationale maatregelen ter uitvoering ervan worden vastgesteld (arrest van 15 juni 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483, punt 110 en aldaar aangehaalde rechtspraak).

59

Dit geldt met name voor artikel 80, lid 2, AVG, dat de lidstaten een beoordelingsmarge laat bij de uitvoering ervan. Om de gelegenheid te bieden zonder opdracht een representatieve vordering ter bescherming van persoonsgegevens in te stellen zoals bedoeld in deze bepaling, moeten de lidstaten dus gebruikmaken van de door deze bepaling geboden mogelijkheid om deze vorm van vertegenwoordiging van betrokkenen op te nemen in hun nationale recht.

60

Zoals de advocaat-generaal in de punten 51 en 52 van zijn conclusie heeft opgemerkt, moeten de lidstaten, wanneer zij de hun door een dergelijke open clausule geboden mogelijkheid benutten, hun beoordelingsmarge evenwel gebruiken onder de voorwaarden en binnen de grenzen die in de bepalingen van de AVG zijn gesteld, en aldus een wettelijke regeling vaststellen die geen afbreuk doet aan de inhoud en de doelstellingen van die verordening.

61

In casu heeft de Duitse wetgever, zoals de Duitse regering tijdens de pleitzitting in de onderhavige zaak heeft bevestigd, na de inwerkingtreding van de AVG geen specifieke bepalingen vastgesteld om artikel 80, lid 2, van deze verordening om te zetten in zijn nationale recht. De in het hoofdgeding aan de orde zijnde nationale regeling, die is vastgesteld ter omzetting van richtlijn 2009/22, biedt organisaties die consumentenbelangen behartigen immers reeds de mogelijkheid om in rechte op te treden tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens. De Duitse regering benadrukt bovendien dat het Hof in zijn arrest van 29 juli 2019, Fashion ID (C-40/17, EU:C:2019:629), betreffende de uitlegging van de bepalingen van richtlijn 95/46, heeft geoordeeld dat deze bepalingen zich niet verzetten tegen die nationale regeling.

62

Zoals de advocaat-generaal in punt 60 van zijn conclusie heeft opgemerkt, moet in die omstandigheden in wezen worden nagegaan of de in het hoofdgeding aan de orde zijnde nationale regels zijn vastgesteld in het kader van de beoordelingsmarge die elke lidstaat bij de tenuitvoerlegging van artikel 80, lid 2, AVG behoudt en dient deze bepaling dan ook te worden uitgelegd rekening houdend met zowel de bewoordingen ervan als de systematiek en de doelstellingen van deze verordening.

63

In dit verband moet worden opgemerkt dat artikel 80, lid 2, AVG de lidstaten de mogelijkheid biedt om te voorzien in een regeling op grond waarvan een representatieve vordering tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens kan worden ingesteld, maar dat daarbij bepaalde vereisten inzake de personele en materiële werkingssfeer worden opgesomd die daartoe moeten worden vervuld.

64

Wat in de eerste plaats de personele werkingssfeer van een dergelijke regeling betreft, wordt erkend dat procesbevoegdheid toekomt aan een orgaan, organisatie of vereniging die voldoet aan de criteria van artikel 80, lid 1, AVG. In het bijzonder verwijst deze bepaling naar ‘een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doeleinden het algemeen belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens’.

65

Vastgesteld moet worden dat een vereniging die consumentenbelangen behartigt, zoals het Bundesverband, onder dat begrip kan vallen doordat zij een doelstelling van algemeen belang nastreeft die erin bestaat de rechten en vrijheden van de betrokkenen in hun hoedanigheid van consument te waarborgen, aangezien de verwezenlijking van een dergelijk doel verband kan houden met de bescherming van hun persoonsgegevens.

66

Inbreuken op voorschriften die ertoe strekken de consument te bescherming of oneerlijke handelspraktijken te bestrijden — welke inbreuken een vereniging die, zoals het Bundesverband, consumentenbelangen behartigt tracht te voorkomen en te bestraffen, met name door op grond van de toepasselijke nationale regeling verbodsacties in te stellen — kunnen immers, zoals in casu het geval is, samenhangen met een inbreuk op voorschriften die zijn vastgesteld ter bescherming van de persoonsgegevens van diezelfde consument.

67

Wat in de tweede plaats de materiële werkingssfeer van die regeling betreft, veronderstelt de uitoefening van de in artikel 80, lid 2, AVG bedoelde representatieve vordering door een entiteit die aan de in lid 1 van dat artikel genoemde voorwaarden voldoet, dat deze entiteit, los van enige haar toevertrouwde opdracht, ‘van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking’ van zijn persoonsgegevens.

68

In dit verband moet ten eerste worden gepreciseerd dat van een dergelijke entiteit niet kan worden vereist dat zij voor het instellen van een representatieve vordering in de zin van artikel 80, lid 2, AVG de persoon die specifiek wordt geraakt door een verwerking van gegevens die beweerdelijk in strijd is met de bepalingen van de AVG, vooraf individueel identificeert.

69

Het volstaat immers op te merken dat het begrip ‘betrokkene’ in de zin van artikel 4, punt 1, AVG niet alleen ziet op een ‘geïdentificeerde natuurlijke persoon’, maar ook op een ‘identificeerbare natuurlijke persoon’, namelijk een natuurlijke persoon ‘die direct of indirect kan worden geïdentificeerd’ aan de hand van een identificator, zoals met name een naam, een identificatienummer, locatiegegevens of een online identificator. In die omstandigheden kan de aanwijzing van een categorie of groep van personen die door een dergelijke verwerking worden getroffen, eveneens volstaan om een dergelijke representatieve vordering in te stellen.

70

Ten tweede is het instellen van een representatieve vordering krachtens artikel 80, lid 2, AVG evenmin afhankelijk van een concrete schending van de rechten die een persoon aan de regels inzake gegevensbescherming ontleent.

71

Zoals uit de in punt 67 van het onderhavige arrest in herinnering gebrachte bewoordingen van deze bepaling blijkt, is voor het instellen van een representatieve vordering immers enkel vereist dat de betrokken entiteit ‘van mening is’ dat de in deze verordening vastgestelde rechten van een betrokkene zijn geschonden als gevolg van de verwerking van diens persoonsgegevens, en dus stelt dat er sprake is van met de bepalingen van deze verordening strijdige gegevensverwerking.

72

Hieruit volgt dat het voor de erkenning van procesbevoegdheid aan een dergelijke entiteit op grond van die bepaling volstaat dat zij aanvoert dat de betrokken gegevensverwerking afbreuk kan doen aan de rechten die geïdentificeerde of identificeerbare natuurlijke personen aan die verordening ontlenen, zonder dat zij het bewijs hoeft te leveren dat de betrokkene in een bepaalde situatie reële schade heeft geleden doordat zijn rechten zijn geschonden.

73

Een dergelijke uitlegging is in overeenstemming met de vereisten die voortvloeien uit artikel 16 VWEU en uit artikel 8 van het Handvest van de grondrechten van de Europese Unie en dus met het door de AVG nagestreefde doel, namelijk een doeltreffende bescherming van de fundamentele rechten en vrijheden van natuurlijke personen te waarborgen en met name een hoog niveau van bescherming van het recht van eenieder op bescherming van zijn of haar persoonsgegevens (arrest van 15 juni 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483, punten 44, 45 en 91).

74

Het feit dat verenigingen die consumentenbelangen behartigen, zoals het Bundesverband, bevoegd zijn om via een representatieve vordering verbodsacties in te stellen met betrekking tot verwerkingen die in strijd zijn met de bepalingen van die verordening, ongeacht of de rechten van een individueel en concreet door die inbreuk getroffen persoon zijn geschonden, draagt er ongetwijfeld toe bij dat de rechten van de betrokkenen worden versterkt en hun een hoog beschermingsniveau wordt geboden.

75

Bovendien dient erop te worden gewezen dat de uitoefening van een dergelijke representatieve vordering, voor zover daarmee een groot aantal schendingen kan worden voorkomen van de rechten van personen op wie de verwerking van de persoonsgegevens betrekking hebben, doeltreffender kan zijn dan het beroep dat slechts één persoon die individueel en concreet wordt geraakt door een schending van zijn recht op bescherming van zijn persoonsgegevens, tegen de dader van die schending kan instellen.

76

Zoals de advocaat-generaal in punt 76 van zijn conclusie heeft opgemerkt, zou de preventieve werking van de vorderingen die worden ingesteld door verenigingen die consumentenbelangen behartigen, zoals het Bundesverband, immers niet kunnen worden verzekerd indien de representatieve vordering waarin artikel 80, lid 2, AVG voorziet, uitsluitend betrekking zou hebben op schendingen van de rechten van een persoon die daardoor individueel en daadwerkelijk wordt geraakt.

77

Zoals de verwijzende rechter wenst te vernemen moet in de derde plaats nog worden nagegaan of artikel 80, lid 2, AVG eraan in de weg staat dat een representatieve vordering wordt ingesteld ongeacht een concrete schending van een recht van een betrokkene en los van een door deze betrokkene daartoe gegeven opdracht, wanneer de schending van de regels inzake gegevensbescherming wordt aangevoerd in het kader van een vordering die strekt tot toetsing van de toepassing van andere ter bescherming van de consument vastgestelde rechtsregels.

78

In dit verband moet om te beginnen worden opgemerkt dat, zoals in wezen is opgemerkt in punt 66 van het onderhavige arrest, de schending van een regel inzake de bescherming van persoonsgegevens tegelijkertijd kan leiden tot de schending van regels inzake consumentenbescherming of oneerlijke handelspraktijken.

79

Zoals de advocaat-generaal in punt 72 van zijn conclusie heeft opgemerkt, verzet deze bepaling zich er dus niet tegen dat de lidstaten gebruikmaken van de hun daartoe geboden mogelijkheid om verenigingen die consumentenbelangen behartigen toe te staan om in voorkomend geval tegen schendingen van de in de AVG neergelegde rechten op te komen via aanvoering van regels die de bescherming van consumenten en de bestrijding van oneerlijke handelspraktijken beogen, zoals die van richtlijn 2005/29 en van richtlijn 2009/22.

80

Deze uitlegging van artikel 80, lid 2, AVG wordt trouwens bevestigd door richtlijn 2020/1828, die vanaf 25 juni 2023 richtlijn 2009/22 opheft en vervangt. In dit verband zij erop gewezen dat artikel 2, lid 1, van richtlijn 2020/1828 bepaalt dat deze richtlijn van toepassing is op representatieve vorderingen die worden ingesteld wegens inbreuken door handelaren op de in bijlage I bedoelde bepalingen van Unierecht, waarvan punt 56 de AVG vermeldt.

81

Het is juist dat richtlijn 2020/1828 niet van toepassing is in het hoofdgeding en de omzettingstermijn ervan nog niet is verstreken. Deze richtlijn bevat echter meerdere elementen die bevestigen dat artikel 80 AVG niet in de weg staat aan het instellen van aanvullende representatieve vorderingen inzake consumentenbescherming.

82

Zoals blijkt uit overweging 11 van die richtlijn, blijft het weliswaar mogelijk om te voorzien in een bijkomend procedureel mechanisme voor representatieve vorderingen op het gebied van consumentenbescherming, maar mogen de in de AVG vastgestelde of op de AVG gebaseerde handhavingsmechanismen, zoals die van artikel 80 van die verordening, niet worden vervangen of gewijzigd, zoals in overweging 15 van die richtlijn is gepreciseerd. Deze handhavingsmechanismen kunnen dus worden gebruikt ter bescherming van de collectieve belangen van consumenten.

83

Gelet op een en ander dient op de gestelde vraag te worden geantwoord dat artikel 80, lid 2, AVG aldus moet worden uitgelegd dat het niet in de weg staat aan een nationale regeling die een vereniging die consumentenbelangen behartigt toestaat — ook wanneer zij geen opdracht daartoe heeft gekregen en los van de vraag of er sprake is van enige schending van concrete rechten van de betrokkenen — in rechte op te treden tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens en deze vereniging zich daarbij beroept op het verbod op oneerlijke handelspraktijken, een inbreuk op een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden, wanneer de desbetreffende gegevensverwerking afbreuk kan doen aan de rechten die geïdentificeerde of identificeerbare personen aan die verordening ontlenen.

Kosten

84

Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Derde kamer) verklaart voor recht:

Artikel 80, lid 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat het niet in de weg staat aan een nationale regeling die een vereniging die consumentenbelangen behartigt toestaat — ook wanneer zij geen opdracht daartoe heeft gekregen en los van de vraag of er sprake is van enige schending van concrete rechten van de betrokkenen — in rechte op te treden tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens en deze vereniging zich daarbij beroept op het verbod op oneerlijke handelspraktijken, een inbreuk op een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden, wanneer de desbetreffende gegevensverwerking afbreuk kan doen aan de rechten die geïdentificeerde of identificeerbare personen aan die verordening ontlenen.

ondertekeningen

Toon alle voetnoten

Voetnoten

Voetnoten Uitspraak 28‑04‑2022

Procestaal: Duits.

Conclusie 02‑12‑2021

Inhoudsindicatie

‘ Prejudiciële verwijzing — Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens — Verordening (EU) 2016/679 — Artikel 80, lid 2 — Recht op een doeltreffende voorziening in rechte — Vertegenwoordiging van betrokkenen door een vereniging zonder winstoogmerk — Procesbevoegdheid van een vereniging die consumentenbelangen behartigt’

J. richard de la tour

Partij(en)

Zaak C-319/201.

Facebook Ireland Limited

tegen

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.

[verzoek van het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) om een prejudiciële beslissing]

I. Inleiding

1.

In de huidige economie, die wordt gekenmerkt door de opkomst van de digitale economie, kan de verwerking van persoonsgegevens personen niet alleen raken in hun hoedanigheid van natuurlijke persoon die de bij verordening (EU) 2016/6792. verleende rechten geniet, maar ook in hun hoedanigheid van consument.

2.

Die hoedanigheid heeft tot gevolg dat er steeds vaker vorderingen worden ingesteld door verenigingen die consumentenbelangen behartigen om gedragingen van bepaalde verwerkingsverantwoordelijken te doen staken die tegelijkertijd afbreuk doen aan de bij voornoemde verordening beschermde rechten en aan rechten die worden beschermd bij andere Unierechtelijke en nationaalrechtelijke regelingen, met name op het gebied van consumentenbescherming en de bestrijding van oneerlijke handelspraktijken.

3.

Het onderhavige verzoek om een prejudiciële beslissing is ingediend in het kader van een geschil tussen het Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (Duitse federale vereniging van consumentenbeschermingsorganisaties; hierna: ‘Bundesverband’) en Facebook Ireland Limited, gevestigd in Ierland. Het Bundesverband beticht laatstgenoemde vennootschap ervan de Duitse wetgeving inzake de bescherming van persoonsgegevens te schenden, hetgeen tegelijkertijd een oneerlijke handelspraktijk, een schending van een consumentenbeschermingswet en een schending van het verbod op de toepassing van ongeldige algemene voorwaarden vormt.

4.

Met dit verzoek wordt het Hof in wezen verzocht om uitlegging van artikel 80, lid 2, van verordening 2016/679, teneinde vast te stellen of die bepaling zich ertegen verzet dat verenigingen die consumentenbelangen behartigen na de inwerkingtreding van deze verordening de bij het nationale recht aan hen verleende bevoegdheid behouden om gedragingen te doen staken die een schending vormen zowel van de bij voornoemde verordening verleende rechten, als van regelingen die de bescherming van de consumentenrechten en de bestrijding van oneerlijke handelsparktijken beogen. Voor zover het Hof reeds heeft verklaard3. dat een dergelijke procesbevoegdheid verenigbaar is met richtlijn 95/46/EG4., moet het zich nu uitspreken over de vraag of de rechtstoestand op dit vlak al dan niet is gewijzigd door verordening 2016/679.

II. Toepasselijke bepalingen

A. Verordening 2016/679

5.

Artikel 80 van verordening 2016/679, ‘Vertegenwoordiging van betrokkenen’, bepaalt5.:

‘1.: De betrokkene heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doelstellingen het openbare belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.
2.: De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het/zij van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.’

B. Duits recht

6.

§ 3, lid 1, van het Gesetz gegen den unlauteren Wettbewerb (wet inzake oneerlijke mededinging)6. van 3 juli 2004, in de op het hoofdgeding toepasselijke versie, bepaalt:

‘Oneerlijke handelspraktijken zijn verboden.’

7.

§ 3a UWG luidt als volgt:

8.

§ 8, leden 1 en 3, UWG luiden als volgt:

‘(1): Van eenieder die zich schuldig maakt aan een krachtens § 3 of § 7 verboden handelspraktijk, kan worden gevorderd dat hij deze praktijk staakt en er, in geval van gevaar voor recidive, in de toekomst van afziet. Dit laatste kan reeds worden gevorderd wanneer zich een dergelijke overtreding van § 3 of § 7 dreigt voor te doen.
: […]
(3): De in lid 1 bedoelde vorderingen komen toe aan:
: […]
3.: bevoegde instanties die aantonen dat zij zijn vermeld in de lijst van de bevoegde instanties bedoeld in § 4 van het [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (wet betreffende verbodsacties bij inbreuken op het consumentenrecht of bij andere inbreuken7.) van 26 november 2001, in de op het hoofdgeding toepasselijke versie] of in de lijst van de Europese Commissie als bedoeld in artikel 4, lid 3, van richtlijn 2009/22/EG van het Europees Parlement en de Raad van 23 april 2009 betreffende het doen staken van inbreuken in het raam van de bescherming van de consumentenbelangen[8.];
: […]’

9.

§ 2 UKlaG luidt:

‘(1)

(2)

In de zin van deze bepaling wordt onder ‘wetten betreffende de bescherming van de consument’ met name verstaan:

[…]

11.

de voorschriften die regelen onder welke voorwaarden een ondernemer:

a): persoonsgegevens van een consument mag verzamelen of
b): de persoonsgegevens die met betrekking tot een consument zijn verzameld, mag verwerken of gebruiken,
wanneer de gegevens worden verzameld, verwerkt of gebruikt om reclame te maken, markt- en opinieonderzoeken te verrichten, een kredietbeoordelingsbureau te exploiteren, persoonlijkheids- en gebruikersprofielen op te stellen, adressen te verkopen, andere gegevens te verhandelen, of voor soortgelijke commerciële doeleinden.

[…]’

10.

Het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) geeft aan dat beroepsgerechtigde entiteiten in de zin van § 3, lid 1, eerste volzin, punt 1, UKlaG krachtens die bepaling verbodsacties kunnen instellen tegen schendingen van de wetgeving op het gebied van consumentenbescherming, waaronder volgens § 2, lid 2, eerste volzin, punt 11, van die wet ook de voorschriften vallen die zien op de toelaatbaarheid van het verzamelen, verwerken of gebruiken door een handelaar van persoonsgegevens van een consument voor reclamedoeleinden. Nog op grond van § 3, lid 1, eerste volzin, punt 1, UKlaG kunnen beroepsgerechtigde entiteiten overeenkomstig § 1 UKlaG bovendien een verbodsactie instellen tegen de toepassing van algemene voorwaarden die krachtens § 307 van het Bürgerliche Gesetzbuch (Duits burgerlijk wetboek; hierna: ‘BGB’) als ongeldig moeten worden beschouwd indien zij van mening zijn dat die algemene voorwaarden schending opleveren van een bepaling van gegevensbeschermingsrecht.

11.

§ 13, lid 1, van het Telemediengesetz (wet inzake elektronische media; hierna: ‘TMG’)9., van 26 februari 2007, bepaalt:

‘De aanbieder van diensten moet — voor zover dit nog niet zou zijn gebeurd — de gebruiker bij het begin van het gebruik op een gemakkelijk te begrijpen wijze informeren over de aard, de omvang en het doel van de verzameling en het gebruik van persoonsgegevens en over de verwerking van zijn gegevens in staten buiten het toepassingsgebied van [richtlijn 95/46]. Bij een geautomatiseerde procedure, die later de identificatie van de gebruiker mogelijk maakt en waarmee het verzamelen of gebruik van persoonsgegevens wordt voorbereid, dient de gebruiker bij het begin van deze procedure te worden geïnformeerd. De gebruiker moet de inhoud van deze informatie te allen tijde kunnen consulteren.’

III. Feiten van het hoofdgeding en prejudiciële vraag

12.

In Duitsland is het Bundesverband opgenomen in de lijst van beroepsgerechtigde entiteiten in de zin van § 4 UKlaG. Facebook Ireland beheert onder het adres www.facebook.de het internetplatform Facebook, dat wordt gebruikt voor de uitwisseling van persoonlijke en andere gegevens.

13.

Op het internetplatform Facebook bevindt zich een zogenoemd appcentrum waar Facebook Ireland haar gebruikers onder meer gratis spellen van derde leveranciers aanbiedt. Bij het aanklikken van bepaalde spellen in het appcentrum op 26 november 2012 kregen gebruikers onder een button ‘Sofort spielen’ (‘Nu spelen’) een aantal vermeldingen te zien. Daaruit bleek in wezen dat het gebruik van de toepassing in kwestie de vennootschap die de spellen had geleverd toeliet een aantal persoonsgegevens te ontvangen en haar de toestemming gaf om namens de gebruikers bepaalde gegevens te posten, waaronder hun score. Door de toepassing te gebruiken, ging de gebruiker akkoord met de algemene voorwaarden en met het gegevensbeschermingsbeleid van de toepassing. Bij het spel Scrabble werd bovendien aangegeven dat de toepassing statusberichten, foto's en dergelijke meer mocht posten in naam van de gebruiker.

14.

Het Bundesverband heeft kritiek op de manier waarop de vermeldingen onder de knop ‘Nu Spelen’ in het appcentrum worden weergegeven, aangezien zij oneerlijk zouden zijn, met name wegens de niet-naleving van de wettelijke vereisten die volgens de bepalingen inzake gegevensbescherming gelden voor het verkrijgen van rechtsgeldige toestemming van de gebruiker. Voorts voert het aan dat de afsluitende vermelding bij het spel Scrabble een algemene voorwaarde is die de gebruiker onevenredig benadeelt.

15.

In deze context heeft het Bundesverband bij het Landgericht Berlin (rechter in eerste aanleg Berlijn, Duitsland) een verbodsactie ingesteld tegen Facebook Ireland. De verwijzende rechter verduidelijkt dat deze actie is ingesteld los van enige inbreuk op de specifieke rechten inzake gegevensbescherming van een individuele betrokkene en zonder dat een dergelijke persoon opdracht daartoe heeft gegeven.

16.

Het Bundesverband vordert dat het Facebook Ireland wordt verboden, onder verbeurte van een dwangsom, ‘in het kader van commerciële activiteiten jegens consumenten met een vaste verblijfplaats in […] Duitsland spellen aan te bieden op de website met het adres www.facebook.com, en dit in een appcentrum, waarbij de consument door op een knop als ,[Spel spelen]’ te klikken, verklaart dat de exploitant van het spel, via het door [Facebook Ireland] beheerde sociale netwerk, informatie verkrijgt over de persoonsgegevens die op dat netwerk te vinden zijn en gemachtigd wordt namens de consument informatie door te geven (te posten) […]’.

17.

Het Bundesverband vordert eveneens dat het Facebook Ireland wordt verboden ‘in overeenkomsten met consumenten met een vaste verblijfplaats in […] Duitsland het volgende beding of bedingen met een identieke inhoud aangaande het gebruik van toepassingen (apps) in het kader van een sociaal netwerk op te nemen of bedingen met betrekking tot de doorgifte van gegevens aan de exploitanten van spellen in te roepen: ‘Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten’ [(Deze toepassing mag statusberichten, foto's en dergelijke meer in jouw naam posten)]’.

18.

Het Landgericht Berlin heeft de door het Bundesverband tegen Facebook Ireland ingestelde vordering toegewezen. Het door Facebook Ireland tegen deze toewijzing bij het Kammergericht Berlin (hoogste rechterlijke instantie van de deelstaat Berlijn, Duitsland) ingestelde hoger beroep is verworpen.

19.

Facebook Ireland heeft bij de verwijzende rechter een beroep tot Revision tegen de beslissing van de appelrechter ingesteld.

20.

De verwijzende rechter is van oordeel dat de appelrechter de vordering van het Bundesverband terecht gegrond heeft verklaard. Door schending van de uit § 13, lid 1, eerste volzin, eerste zinssnede, TMG voortvloeiende informatieverplichtingen heeft Facebook Ireland immers inbreuk gemaakt op § 3a UWG en § 2, lid 2, eerste volzin, punt 11, UKlaG. De appelrechter heeft terecht aangenomen dat de hier aan de orde zijnde bepalingen overeenkomstig § 13 TMG aan te merken zijn als bepalingen ter regulering van het marktgedrag in de zin van § 3a UWG. Bovendien betreft het hier bepalingen die in de zin van § 2, lid 2, eerste volzin, punt 11, onder a), UKlaG zien op de toelaatbaarheid van het verzamelen, verwerken of gebruiken door een handelaar van voor reclamedoeleinden verzamelde, verwerkte of gebruikte persoonsgegevens van een consument. Bovendien is de verwijzende rechter van oordeel dat Facebook Ireland wegens schending van de in casu relevante informatieverplichtingen op het gebied van gegevensbescherming een overeenkomstig § 1 UKlaG ongeldige algemene voorwaarde heeft toegepast.

21.

De verwijzende rechter vraagt zich echter af of de appelrechter het hogere beroep van het Bundesverband terecht ontvankelijk heeft verklaard. Hij vraagt zich af of een vereniging die consumentenbelangen behartigt, zoals het Bundesverband, na de inwerkingtreding van verordening 2016/679 nog steeds bevoegd is om wegens schendingen van die verordening beroep in te stellen bij de civiele rechter, ongeacht of een individuele betrokkene in zijn concrete rechten is geschonden en zonder daartoe door een dergelijke persoon te zijn gemachtigd, op grond van schending van het recht in de zin van § 3a UWG, schending van een consumentenbeschermingswet in de zin van § 2, lid 2, eerste zin, punt 11, UKlaG of de toepassing van een ongeldige algemene voorwaarde in de zin van § 1 UKlaG.

22.

De verwijzende rechter merkt op dat er vóór de inwerkingtreding van verordening 2016/679 geen twijfel bestond over de ontvankelijkheid van het beroep. Het Bundesverband was immers bevoegd om krachtens § 8, lid 3, punt 3, UWG en § 3, lid 1, eerste volzin, punt 1, UKlaG verbodsacties in te stellen bij de civiele rechter.

23.

Volgens de verwijzende rechter is het mogelijk dat deze rechtssituatie met de inwerkingtreding van verordening 2016/679 is gewijzigd.

24.

Hij merkt op dat de bepalingen van § 13, lid 1, TMG sinds die inwerkingtreding niet langer van toepassing zijn, aangezien thans de informatieverplichtingen gelden die uit de artikelen 12 tot met 14 van verordening 2016/679 voortvloeien. Volgens de verwijzende rechter heeft Facebook Ireland dan ook niet voldaan aan de verplichting die op haar rust volgens artikel 12, lid 1, eerste volzin, van voornoemde verordening, namelijk ervoor te zorgen dat de betrokkene de in artikel 13, lid 1, onder c) en e), van deze verordening bedoelde informatie over de verwerkingsdoeleinden en de ontvanger van de persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt.

25.

Wat de ontvankelijkheid van het beroep betreft, heerst er volgens de verwijzende rechter onenigheid over de vraag of beroepsgerechtigde entiteiten in de zin van § 4 UKlaG na de inwerkingtreding van verordening 2016/679 bevoegd zijn om krachtens § 8, lid 3, punt 3, UWG, ingevolge een rechtsschending in de zin van § 3a UWG, in rechte op te komen tegen schendingen van de bepalingen van deze verordening, die op grond van artikel 288, tweede alinea, VWEU rechtstreekse werking hebben.

26.

De verwijzende rechter geeft dienaangaande aan dat de meningen uiteenlopen over de vraag of verordening 2016/679 zelf in een uitputtende regeling voor de handhaving van de erin vervatte bepalingen voorziet.

27.

De rechter merkt ten aanzien van de tekst van verordening 2016/679 op dat de procesbevoegdheid die verenigingen zoals het Bundesverband aan § 8, lid 3, punt 3, UWG ontlenen, niet onder artikel 80, lid 1, van die verordening valt, aangezien de in het hoofdgeding aan de orde zijnde verbodsactie niet is ingesteld in opdracht en in naam van een betrokkene teneinde diens persoonlijke rechten uit te oefenen. Het gaat daarbij veeleer om een eigen procesbevoegdheid van het Bundesverband die deze vereniging objectief machtigt om in rechte op te komen tegen inbreuken op de bepalingen van die verordening die als een rechtsschending in de zin van § 3a UWG kunnen worden gekwalificeerd, onafhankelijk van de vraag of is afgedaan aan de concrete rechten van betroffen personen dan wel in hun opdracht wordt gehandeld.

28.

De verwijzende rechter stelt dat artikel 80, lid 2, van verordening 2016/679 geen regeling bevat waaraan het Bundesverband procesbevoegdheid kan ontlenen met het oog op de objectieve handhaving van het gegevensbeschermingsrecht. Deze bepaling voorziet weliswaar in de mogelijkheid om aan een dergelijke entiteit de bevoegdheid te verlenen om een klacht in te dienen zonder dat een getroffene haar opdracht daartoe heeft verleend, maar daartoe is dan nog steeds vereist dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van een verwerking. Bijgevolg kan aan de bewoordingen van artikel 80, lid 2, van de verordening evenmin procesbevoegdheid worden ontleend ten behoeve van verenigingen op grond waarvan deze — zoals in casu op grond van § 3a en § 8, lid 3, punt 3, UWG — in rechte kunnen opkomen tegen schendingen van het gegevensbeschermingsrecht wanneer hun klacht losstaat van de schending van de subjectieve rechten van een concrete betrokken persoon. Hetzelfde kan worden afgeleid uit de tweede volzin van overweging 142 van verordening 2016/679, waarin de schending van de rechten van een betrokken persoon eveneens als voorwaarde wordt genoemd voor de procesbevoegdheid van verenigingen om een klacht in te dienen ongeacht een machtiging door een betrokkene.

29.

De procesbevoegdheid van verenigingen, zoals vastgesteld in § 8, lid 3, UWG, kan volgens de verwijzende rechter evenmin worden gesteund op artikel 84, lid 1, van verordening 2016/679, volgens welke bepaling de lidstaten de regels vaststellen inzake andere sancties die van toepassing zijn op inbreuken op deze verordening en alle nodige maatregelen treffen om ervoor te zorgen dat zij worden toegepast. Een procesbevoegdheid van verenigingen, zoals bedoeld in § 8, lid 3, UWG, kan geen ‘sanctie’ vormen in de zin van die bepaling van de verordening.

30.

De verwijzende rechter merkt voorts op dat op basis van de systematiek van verordening 2016/679 niet met zekerheid kan worden bepaald of de procesbevoegdheid van een orgaan op grond van § 8, lid 3, punt 3, UWG, dus op grond van een bepaling waarmee wordt beoogd oneerlijke concurrentie tegen te gaan, sinds de inwerkingtreding van de verordening nog steeds kan worden erkend. Deze rechter is van oordeel dat uit het feit dat deze verordening de toezichthoudende autoriteiten omvangrijke bevoegdheden verleent om controles uit te voeren, onderzoek te verrichten en corrigerende maatregelen te nemen, kan worden afgeleid dat het in beginsel aan de toezichthoudende autoriteiten staat om te zorgen voor de handhaving van de verordening. Dat zou tegen een ruime uitlegging van artikel 80, lid 2, van verordening 2016/679 pleiten. De verwijzende rechter merkt eveneens op dat nationale maatregelen ter uitvoering van een verordening in principe alleen mogen worden vastgesteld wanneer zij uitdrukkelijk zijn toegestaan. Tegen een uitputtende regeling van de controle op de toepassing van het recht bij verordening 2016/679 kan evenwel worden aangevoerd dat artikel 77, lid 1, artikel 78, leden 1 en 2, en ook artikel 79, lid 1, van de verordening telkens de formulering ‘onverminderd andere mogelijkheden […] van beroep’ bevatten.

31.

Wat de doelstelling van verordening 2016/679 betreft, zou het nuttige effect van de verordening ervoor kunnen pleiten dat verenigingen overeenkomstig § 8, lid 3, punt 3, UWG procesbevoegdheid bezitten krachtens het mededingingsrecht, onafhankelijk van een schending van concrete rechten van betrokken personen, aangezien daarmee een aanvullende mogelijkheid tot rechtshandhaving behouden blijft teneinde het overeenkomstig overweging 10 van die verordening beoogde hoge niveau van gegevensbescherming te waarborgen. Daartegenover staat dat de erkenning van de procesbevoegdheid krachtens het mededingingsrecht in strijd zou kunnen zijn met de harmonisatiedoelstelling die de verordening nastreeft.

32.

De verwijzende rechter betwijfelt ook of de in § 3, lid 1, eerste volzin, punt 1, UKlaG genoemde organen na de inwerkingtreding van verordening 2016/679 bevoegd zijn om in rechte op te komen tegen schendingen van de in de verordening vastgestelde bepalingen door verbodsacties wegens niet-naleving van een consumentenbeschermingswet in de zin van § 2, lid 2, eerste volzin, punt 11, UKlaG in te stellen. Hetzelfde geldt voor de bevoegdheid krachtens § 1 UKlaG van verenigingen die consumentenbelangen behartigen om een verbodsactie in te stellen tegen de toepassing van ongeldige algemene voorwaarden in de zin van artikel 307 GBG.

33.

Zelfs indien de verschillende nationale regelingen die vóór de inwerkingtreding van verordening 2016/679 in de procesbevoegdheid van entiteiten hebben voorzien, als vervroegde omzetting van artikel 80, lid 2, van die verordening zouden kunnen worden gezien, zou het Bundesverband, opdat zijn procesbevoegdheid kan worden erkend in de onderhavige zaak, volgens de verwijzende rechter moeten aanvoeren dat met de verwerking afbreuk wordt gedaan aan de rechten die een betrokkene kan ontlenen aan die verordening. Aan die voorwaarde is echter niet voldaan.

34.

De verwijzende rechter onderstreept dat de verbodsactie van het Bundesverband immers eerder strekt tot het in abstracto toetsen van de wijze waarop het appcentrum van Facebook Ireland wordt voorgesteld, aan de objectief-juridische maatstaf van het gegevensbeschermingsrecht, zonder dat het Bundesverband schending heeft aangevoerd van de rechten van een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4, punt 1, van verordening 2016/679.

35.

De verwijzende rechter geeft aan dat indien zou worden vastgesteld dat de procesbevoegdheid waarover het Bundesverband volgens voornoemde bepalingen van het Duitse recht beschikte, na de inwerkingtreding van verordening 2016/679 is weggevallen, hij het door Facebook Ireland ingestelde beroep in Revision zou moeten toewijzen en de verbodsactie van het Bundesverband niet-ontvankelijk verklaren, aangezien de procesbevoegdheid volgens het Duitse procesrecht moet blijven bestaan tot aan het einde van de procedure in laatste aanleg.

36.

Gelet op het bovenstaande heeft het Bundesgerichtshof de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vraag:

‘Staan de bepalingen in hoofdstuk VIII — en inzonderheid artikel 80, leden 1 en 2, en artikel 84, lid 1, van verordening 2016/679 — in de weg aan nationale regelingen die, naast de bevoegdheden tot optreden van de voor het toezicht op en de handhaving van de verordening bevoegde autoriteiten en de aan de betrokkene geboden rechtsbeschermingsmogelijkheden, zowel aan concurrenten als aan naar nationaal recht beroepsgerechtigde verenigingen, organen en beroepsorganisaties de bevoegdheid verlenen om wegens schendingen van verordening 2016/679 bij de civiele rechter op te komen tegen de inbreukmaker, op grond van het verbod op oneerlijke handelspraktijken, schending van een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden, ongeacht of een individuele betrokkene in zijn concrete rechten is geschonden en zonder daartoe door een betrokkene te zijn gemachtigd?’

37.

Schriftelijke opmerkingen zijn ingediend door het Bundesverband, Facebook Ireland, de Oostenrijkse en de Portugese regering en de Commissie. Met uitzondering van de Portugese regering hebben al deze partijen, alsmede de Duitse regering, hun argumenten mondeling voorgedragen ter terechtzitting van 23 september 2021.

IV. Analyse

38.

Met zijn vraag wenst de verwijzende rechter in wezen te vernemen of verordening 2016/679, en in het bijzonder artikel 80, lid 2, aldus moet worden uitgelegd dat zij zich verzet tegen een nationale regeling die verenigingen die consumentenbelangen behartigen de mogelijkheid biedt om in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, op grond van het verbod op oneerlijke handelspraktijken, schending van een consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden.

39.

Volgens artikel 4, punt 1, van verordening 2016/679 is een ‘betrokkene’ in de zin van die verordening ‘een geïdentificeerde of identificeerbare natuurlijke persoon’. Wanneer dergelijke personen van mening zijn dat hun persoonsgegevens zijn verwerkt in strijd met de bepalingen van deze verordening, beschikken zij over meerdere rechtsmiddelen.

40.

Zo hebben betrokkenen op grond van artikel 77 van diezelfde verordening het recht om een klacht in te dienen bij een toezichthoudende autoriteit. Voorts hebben betrokkenen op grond van artikel 78 van verordening 2016/679 het recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit. Bovendien verleent artikel 79, lid 1, van de verordening elke betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.

41.

Betrokkenen kunnen uiteraard zelf een klacht indienen bij een toezichthoudende autoriteit, of zij kunnen voornoemde voorzieningen in rechte instellen. Artikel 80 van verordening 2016/679 biedt betrokkenen onder bepaalde voorwaarden echter ook de mogelijkheid om zich te laten vertegenwoordigen door een orgaan, organisatie of vereniging zonder winstoogmerk. Naast de voorzieningen in rechte die worden ingesteld door de betrokkenen zelf, voorziet het Unierecht ook in verschillende mogelijkheden om representatieve vorderingen in te stellen via entiteiten die belast worden met de vertegenwoordiging van de betrokkenen.10. Artikel 80 van verordening 2016/679 volgt derhalve de tendens om de representatieve vorderingen die door dergelijke entiteiten worden ingesteld ter verdediging van algemene of collectieve belangen, verder te ontwikkelen als middel om de toegang tot de rechter van personen die geraakt worden door schendingen van de geldende voorschriften te versterken.11.

42.

Artikel 80 van verordening 2016/679, met als opschrift ‘Vertegenwoordiging van betrokkenen’, bevat twee leden. Het eerste betreft de situatie waarin een betrokkene een orgaan, organisatie of vereniging zonder winstoogmerk de opdracht geeft hem te vertegenwoordigen. Het tweede ziet op onafhankelijk van de opdracht van een betrokkene door een entiteit ingestelde representatieve vorderingen.

43.

Aangezien de door het Bundesverband ingestelde verbodsactie niet berust op de opdracht van een betrokkene, is in de onderhavige prejudiciële verwijzing artikel 80, lid 2, van verordening 2016/679 de relevante bepaling.

A. Arrest Fashion ID

44.

In het arrest Fashion ID heeft het Hof zich ten aanzien van richtlijn 95/46 uitgesproken over een soortgelijke vraag als die in deze prejudiciële verwijzing. Zo heeft het verklaard dat ‘de artikelen 22, 23 en 24 van [die richtlijn] aldus moeten worden uitgelegd dat zij niet in de weg staan aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens’.12.

45.

Om tot die conclusie te komen, is het Hof uitgegaan van de vaststelling dat in geen enkele bepaling van richtlijn 95/46 aan de lidstaten de verplichting wordt opgelegd of uitdrukkelijk de bevoegdheid wordt toegekend om in hun nationale recht een vereniging de mogelijkheid te bieden om een betrokkene in rechte te vertegenwoordigen of om op eigen initiatief een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens.13. Volgens het Hof betekent dit echter niet dat de richtlijn in de weg staat aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij zich aan een dergelijke inbreuk schuldig maakt.14. In dat verband heeft het Hof gewezen op de inherente kenmerken van een richtlijn en op de verplichting die rust op de lidstaten waarvoor de betreffende richtlijn bestemd is om alle maatregelen te treffen die nodig zijn om de volle werking van die richtlijn overeenkomstig het ermee beoogde doel te verzekeren.15.

46.

Het Hof heeft eraan herinnerd dat een van de doelstellingen van richtlijn 95/46 erin bestaat ‘met betrekking tot de verwerking van persoonsgegevens te zorgen voor een doeltreffende en volledige bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op bescherming van de persoonlijke levenssfeer’ en ‘een hoog beschermingsniveau in de [Europese] Unie te waarborgen’.16. Volgens het Hof draagt het feit dat een lidstaat in zijn nationale regeling aan een vereniging die consumentenbelangen behartigt, de mogelijkheid biedt om een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, bij aan de verwezenlijking van deze doelstellingen.17. Het Hof heeft bovendien benadrukt dat ‘de lidstaten bij de omzetting van […] richtlijn [95/46] in velerlei opzicht over speelruimte beschikken’18., in het bijzonder met betrekking tot de artikelen 22, 23 en 24 van die richtlijn, die ‘in algemene bewoordingen zijn gesteld, en die geen uitputtende harmonisatie tot stand brengen van de nationale bepalingen inzake beroepen die bij de rechter kunnen worden ingesteld tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens’19.. ‘Dat aan een vereniging die consumentenbelangen behartigt, de mogelijkheid wordt geboden om een rechtsvordering in te stellen tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, lijkt [dus] te kunnen worden aangemerkt als een in [artikel 24 van de richtlijn] bedoelde passende maatregel, die […] overeenkomstig de rechtspraak van het Hof bijdraagt aan de verwezenlijking van de met die richtlijn nagestreefde doelstellingen’.20.

47.

Met de onderhavige prejudiciële verwijzing wordt het Hof verzocht om te bepalen of hetgeen onder richtlijn 95/46 was toegestaan, na de inwerkingtreding van verordening 2016/679 moet worden verboden. Leidt artikel 80, lid 2, van deze verordening met andere woorden tot de schrapping in rechte van de procesbevoegdheid van een vereniging die consumentenbelangen behartigt in het kader van een verbodsactie zoals die in het hoofdgeding?

48.

Dat valt reeds te betwijfelen op basis van punt 62 van het arrest Fashion ID, waarin het Hof heeft opgemerkt dat ‘het feit dat het de lidstaten op grond van artikel 80, lid 2, van verordening 2016/679 […] uitdrukkelijk is toegestaan om verenigingen die consumentenbelangen behartigen, de mogelijkheid te bieden in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens, geenszins [impliceert] dat de lidstaten hun dit recht onder de vigeur van richtlijn 95/46 niet mochten toekennen, maar […] door dat feit juist [wordt] bevestigd dat de in dit arrest in aanmerking genomen uitlegging van die richtlijn de wil van de Uniewetgever weerspiegelt’.21.

49.

Om de redenen die ik hierna zal uiteenzetten, ben ik van oordeel dat noch de vervanging van richtlijn 95/46 door een verordening, noch de omstandigheid dat in verordening 2016/679 een artikel is gewijd aan de vertegenwoordiging van betrokkenen in het kader van rechtsvorderingen, iets afdoet aan het oordeel van het Hof in het arrest Fashion ID, te weten dat het de lidstaten is toegestaan om verenigingen die consumentenbelangen behartigen, de mogelijkheid te bieden in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens.

B. Bijzondere kenmerken van verordening 2016/679

50.

Er zij met betrekking tot de vervanging van richtlijn 95/46 door een andere regeling, te weten verordening 2016/679, op gewezen dat de keuze van de Uniewetgever voor de rechtsvorm van een verordening, die krachtens artikel 288 VWEU verbindend is in al haar onderdelen en rechtstreeks toepasselijk is in elke lidstaat, te verklaren is door de wil van die wetgever om, zoals aangegeven in overweging 13 van verordening 2016/679, natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen. Met deze verordening lijkt op het eerste gezicht dan ook een volledige harmonisatie te worden nagestreefd waarbij niet louter minimumnormen worden vastgesteld die de lidstaten strenger zouden kunnen maken en aan de lidstaten niet de keuze laten om af te wijken van de bepalingen van de verordening of deze aan te vullen of uit te voeren, teneinde de gelijktijdige en uniforme toepassing in de Unie van de bepalingen van de verordening niet gevaar te brengen.

51.

De werkelijkheid blijkt complexer. De rechtsgrondslag van verordening 2016/679, te weten artikel 16 VWEU22., verzet zich immers tegen de aanname dat de Unie met de vaststelling van die verordening alle mogelijke vertakkingen zou hebben bestreken die de bescherming van persoonsgegevens kan hebben op andere gebieden, met name betreffende het arbeidsrecht, het mededingingsrecht of het consumentenrecht, door de lidstaten het recht te ontzeggen om op meer of minder autonome wijze, naargelang het al dan niet een bij het Unierecht geregeld gebied betreft, specifieke voorschriften op die gebieden vast te stellen.23. In die zin is de met verordening 2016/679 beoogde harmonisatie, ook al is de bescherming van persoonsgegevens transversaal van aard, beperkt tot de specifieke aspecten die ter zake worden geregeld in de verordening. Daarbuiten staat het de lidstaten nog steeds vrij wetgeving vast te stellen, voor zover die geen afbreuk doet aan de inhoud en de doelstellingen van de verordening.

52.

Als de bepalingen van verordening 2016/679 nader worden bekeken, dient te worden vastgesteld dat de omvang van de met die verordening beoogde harmonisatie verschilt naargelang de specifieke bepaling. De normatieve werking van de verordening moet dus per geval afzonderlijk worden bepaald.24. Hoewel in lijn met de vaste rechtspraak betreffende richtlijn 95/4625. kan worden gesteld dat verordening 2016/679 ‘in beginsel tot een volledige harmonisatie’ strekt, wordt in diverse bepalingen van die verordening evenwel een manoeuvreerruimte aan de lidstaten gelaten die, naargelang van het geval, door hen kan worden aangewend onder de voorwaarden en binnen de grenzen die in die bepalingen zijn vastgesteld.26.

53.

Er zij aan herinnerd dat volgens vaste rechtspraak van het Hof ‘bepalingen van verordeningen krachtens artikel 288 VWEU en wegens hun aard en hun functie in het systeem van de bronnen van het Unierecht in het algemeen rechtstreekse werking hebben in de nationale rechtsorden, zonder dat de nationale autoriteiten uitvoeringsmaatregelen hoeven vast te stellen. Voor sommige bepalingen kan het evenwel noodzakelijk zijn dat door de lidstaten nationale maatregelen ter uitvoering ervan worden vastgesteld’.27. Het gebruik van een verordening betekent niet noodzakelijk dat de bepalingen van die verordening aan de rechtssubjecten geen enkele bewegingsruimte laten.28. Het verbindende en rechtstreeks toepasselijke karakter van een verordening belet overigens niet dat een dergelijke handeling facultatieve regels kan bevatten.29.

54.

Artikel 80, lid 2, van verordening 2016/679 is, gelet op het gebruik van het woord ‘kunnen’, een voorbeeld van een facultatieve bepaling die de lidstaten een beoordelingsmarge laat bij de uitvoering ervan.

55.

Deze bepaling maakt deel uit van de talrijke ‘open clausules’ in deze verordening, die deze verordening onderscheiden van een klassieke verordening en haar meer op een richtlijn doen lijken.30. De verwijzingen naar het nationale recht in deze clausules kunnen verbindend zijn31., maar vaker nog betreffen zij een mogelijkheid die aan de lidstaten wordt geboden32.. Gebleken is dat de talrijke verwijzingen naar de nationale rechtsorden het risico meebrengen van een nieuwe versnippering van het stelsel voor de bescherming van persoonsgegevens binnen de Unie, hetgeen zou indruisen tegen de wil van de Uniewetgever om tot een verder doorgedreven uniformisering van dat stelsel te komen en nadelige gevolgen zou kunnen hebben voor de doeltreffendheid van voornoemde bescherming en voor de begrijpelijkheid van de verplichtingen voor de verwerkingsverantwoordelijken en verwerkers.33. De reikwijdte van de bij verordening 2016/679 tot stand gebrachte harmonisatie wordt dus beperkt door de talrijke ‘open clausules’ in die verordening.

56.

Het is duidelijk dat de Uniewetgever de aspecten die verband houden met de vertegenwoordiging van betrokkenen met het oog op het indienen van een klacht bij een toezichthoudende autoriteit of het instellen van een rechtsvordering in verordening 2016/679 uitgebreider en nauwkeuriger heeft willen regelen dan in richtlijn 95/46 het geval was.34. Lid 1 en lid 2 van artikel 80 van deze verordening hebben evenwel niet dezelfde normatieve werking. Terwijl lid 1 van dit artikel verbindend is voor de lidstaten35., biedt lid 2 hun immers louter een mogelijkheid. Zo is het noodzakelijk dat de lidstaten, opdat de in artikel 80, lid 2, van de verordening bedoelde representatieve vordering zonder machtiging kan worden ingesteld, gebruikmaken van de in die bepaling geboden mogelijkheid om deze vorm van vertegenwoordiging van betrokkenen op te nemen in hun nationale recht.

57.

Artikel 80, lid 2, van verordening 2016/679 kan niet worden geacht tot een volledige harmonisatie van de representatieve vorderingen zonder machtiging op het gebied van de bescherming van persoonsgegevens te hebben geleid, al is het maar omdat deze bepaling facultatief is en er daardoor verschillen tussen de nationale rechtsstelsels kunnen bestaan. De lidstaten moeten bij de omzetting van deze bepaling in hun nationale recht evenwel de voorwaarden en beperkingen eerbiedigen die de Uniewetgever aan het gebruik van de in deze bepaling geboden mogelijkheid heeft gesteld.

58.

Hoewel die voorwaarden nauwkeuriger zijn omschreven dan in richtlijn 95/46 het geval was, behouden de lidstaten een aanzienlijke beoordelingsmarge bij de tenuitvoerlegging van artikel 80, lid 2, van verordening 2016/679.

59.

Uit de gegevens waarover het Hof beschikt, blijkt dat de Duitse wetgever na de inwerkingtreding van deze verordening geen specifieke bepalingen heeft vastgesteld om artikel 80, lid 2, van de verordening om te zetten in zijn nationale recht. Onderzocht moet echter worden, zoals de verwijzende rechter aan het Hof vraagt, of de bestaande voorschriften van het Duitse recht waarbij verenigingen die consumentenbelangen behartigen procesbevoegdheid is verleend om gedragingen te doen staken die een schending opleveren van zowel de bepalingen van verordening 2016/679 als de voorschriften ter bescherming van de consumenten, verenigbaar zijn met die bepaling. Met andere woorden, is het nationale recht dat werd vastgesteld vóórdat deze verordening in werking is getreden, in overeenstemming met hetgeen volgens artikel 80, lid 2, van die verordening is toegestaan?

60.

Zoals de Duitse regering tijdens de terechtzitting heeft verduidelijkt, betreffen de nationale bepalingen waarbij verenigingen zoals het Bundesverband worden gemachtigd om een representatieve vordering zoals die in het hoofdgeding in te stellen, maatregelen ter omzetting van richtlijn 2009/22. Ter beantwoording van de vraag of dergelijke vorderingen eveneens zijn toegestaan op grond van artikel 80, lid 2, van verordening 2016/679 en of voornoemde nationale bepalingen derhalve zijn vastgesteld in het kader van de beoordelingsvrijheid die elke lidstaat toekomt36., dient dit artikel te worden uitgelegd tegen de achtergrond van zowel de bewoordingen ervan als de systematiek en de doelstellingen van de verordening.

C. Letterlijke, systematische en teleologische uitlegging van artikel 80, lid 2, van verordening 2016/679

61.

Volgens artikel 80, lid 2, van verordening 2016/679 kunnen de representatieve vorderingen waarin dat artikel voorziet, worden ingesteld door ‘een orgaan, organisatie of vereniging als bedoeld in lid 1’ van dat artikel. Artikel 80, lid 1, van deze verordening gewaagt van ‘een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doeleinden het openbare belang dienen, en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens’. Een dergelijke definitie kan mijns inziens niet worden beperkt tot entiteiten die uitsluitend de bescherming van persoonsgegevens tot doel hebben, maar bestrijkt alle entiteiten die een doelstelling van openbaar belang nastreven die verband houdt met de bescherming van persoonsgegevens. Dat is het geval voor verenigingen die consumentenbelangen behartigen, zoals het Bundesverband, die vorderingen instellen tot staking van gedragingen die, doordat zij inbreuk maken op de bepalingen van deze verordening, eveneens de regels inzake consumentenbescherming of de strijd tegen oneerlijke mededinging schenden.37.

62.

Uit artikel 80, lid 2, van verordening 2016/679 volgt dat de representatieve vordering kan worden ingesteld door een entiteit die voldoet aan de in lid 1 van dat artikel genoemde voorwaarden, indien zij ‘van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking’. In tegenstelling tot wat de verwijzende rechter lijkt te suggereren, geloof ik niet dat die laatste zinssnede restrictief moet worden uitgelegd, alsof deze zou betekenen dat entiteiten, teneinde over procesbevoegdheid te beschikken volgens hetgeen artikel 80, lid 2, van verordening 2016/679 bepaalt, vooraf een of meerdere personen zouden moeten identificeren die door de desbetreffende verwerking de facto worden geraakt. Niets in de ontstaansgeschiedenis van deze verordening wijst daarop. Bovendien lijkt de definitie van het begrip ‘betrokkene’ in de zin van artikel 4, punt 1, van de verordening, te weten ‘een geïdentificeerde of identificeerbare natuurlijke persoon’38. mijns inziens in tegenspraak te zijn met het vereiste dat personen wier persoonsgegevens in strijd met de bepalingen van verordening 2016/679 zijn verwerkt, reeds geïdentificeerd moeten zijn op het tijdstip waarop een representatieve vordering wordt ingesteld op grond van artikel 80, lid 2, van die verordening. Daaruit volgt logischerwijs dat uit hoofde van deze bepaling niet kan worden geëist dat een entiteit het bestaan van concrete gevallen jegens individueel aangeduide personen aantoont teneinde bevoegd te zijn om een vordering in te stellen overeenkomstig die bepaling.

63.

Ik ben van mening dat om volgens artikel 80, lid 2, van verordening 2016/679 een representatieve vordering te kunnen instellen, enkel hoeft te worden aangevoerd dat er sprake is van een verwerking van persoonsgegevens die is verricht in strijd met bepalingen van deze richtlijn waarbij individuele rechten worden beschermd, zodat die verwerking de rechten van geïdentificeerde of identificeerbare personen kan schenden, zonder dat de procesbevoegdheid van een entiteit voor elk geval afzonderlijk hoeft te worden getoetst aan de vraag of de rechten van een of meerdere specifieke personen zijn geschonden.39. Kortom, een dergelijke vordering moet gebaseerd zijn op de schending van de rechten die een natuurlijke persoon ten gevolge van een verwerking van zijn persoonsgegevens aan die verordening kán ontlenen. Deze vordering heeft niet tot doel een objectief recht te beschermen, maar strekt uitsluitend tot bescherming van de subjectieve rechten die de betrokkenen rechtstreeks ontlenen aan verordening 2016/679.40. Met de open clausule in artikel 80, lid 2, van de verordening wordt met andere woorden beoogd dat procesbevoegde entiteiten door een toezichthoudende autoriteit of door een rechter kunnen laten controleren of de verwerkingsverantwoordelijken de in de verordening vastgestelde voorschriften ter bescherming van betrokkenen hebben nageleefd.41. In dat opzicht volstaat het dat een entiteit de schending aanvoert van bepalingen van verordening 2016/679 die tot doel hebben de subjectieve rechten van betrokkenen te beschermen opdat zij procesbevoegd zou zijn uit hoofde van artikel 80, lid 2.

64.

Zoals de Commissie in wezen aangeeft, zou een uitlegging van artikel 80, lid 2, van verordening 2016/679 waarbij een entiteit, teneinde een representatieve vordering zonder machtiging te kunnen instellen, zou moeten aantonen of aanvoeren dat de rechten van een bepaalde persoon in een bepaalde situatie zijn geschonden, de werkingssfeer van deze bepaling al te zeer inperken. Net als de Portugese regering en de Commissie ben ik van mening dat artikel 80, lid 2, van deze verordening aldus moet worden uitgelegd dat de nuttige werking ervan behouden blijft ten opzichte van lid 1 van dat artikel. Artikel 80, lid 2, van die verordening moet volgens mij dan ook aldus worden opgevat dat het verder reikt dan alleen de vertegenwoordiging van individuele gevallen zoals bedoeld in lid 1 van dat artikel, doordat het de mogelijkheid biedt om — op eigen initiatief van de procesbevoegde autoriteiten — de collectieve belangen van personen wier persoonsgegevens in strijd met verordening 2016/679 zijn verwerkt, autonoom te vertegenwoordigen De nuttige werking van artikel 80, lid 2, van die verordening zou sterk worden beperkt indien zou worden geoordeeld dat entiteiten, net zoals in lid 1 van dat artikel wordt geëist, in beide gevallen uitsluitend vorderingen ter vertegenwoordiging van individueel en met naam aangeduide personen zouden kunnen instellen.

65.

Deze door mij bepleite uitlegging van artikel 80, lid 2, van verordening 2016/679 strookt overigens met het preventieve karakter en het ontradende doel van verbodsacties en met het feit dat zij losstaan van enig individueel conflict.42.

66.

Om te vermijden dat er met betrekking tot de procesbevoegdheid van entiteiten die een verbodsactie kunnen instellen twee verschillende maatstaven zouden ontstaan naargelang de betrokken verbodsactie gebaseerd is op een nationale maatregel die binnen de werkingssfeer van artikel 80, lid 2, van verordening 2016/679 dan wel binnen de werkingssfeer van richtlijn 2020/1828 valt, lijkt het mij aangewezen om — hoewel die richtlijn niet van toepassing is in het hoofdgeding — rekening te houden met het feit dat laatstgenoemde richtlijn niet van dergelijke entiteiten eist dat zij individuele, met naam aangeduide consumenten ten tonele voeren die zijn geraakt door de inbreuk in kwestie43., maar wel dat zij aanvoeren dat handelaren inbreuken hebben gepleegd op de in bijlage I bij die richtlijn bedoelde bepalingen van Unierecht44., welke bijlage overigens melding maakt van verordening 2016/679, in punt 56 ervan.

67.

Indien het standpunt wordt ingenomen dat artikel 80, lid 2, van verordening 2016/679 restrictief moet worden uitgelegd, worden de verdediging van de collectieve belangen van consumenten45. en de bescherming van de rechten van elke persoon wiens gegevens in strijd met deze verordening zijn verwerkt, mijns inziens ten onrechte als antipoden benaderd. De verdediging van de collectieve belangen van consumenten sluit volgens mij immers de bescherming van de subjectieve rechten die betrokkenen rechtstreeks aan verordening 2016/679 ontlenen niet uit, maar maakt juist deel uit van die bescherming.

68.

Ik zie in het feit dat in overweging 15 van richtlijn 2020/1828 staat te lezen dat ‘[i]ndien van toepassing[…] bijvoorbeeld nog steeds een beroep [kan] worden gedaan op de handhavingsmechanismen die zijn vastgelegd in of krachtens verordening […] 2016/679 […] om de collectieve belangen van consumenten te beschermen’46., overigens de bevestiging dat de in artikel 80, lid 2, van deze verordening bedoelde representatieve vordering wel degelijk kan strekken tot de bescherming van laatstgenoemde belangen.

69.

Uit het voorgaande leid ik af dat artikel 80, lid 2, van verordening 2016/679 de lidstaten mijns inziens toestaat te voorzien in een mogelijkheid voor bevoegde entiteiten om, zonder machtiging van de betrokkenen, representatieve vorderingen in te stellen om de collectieve belangen van de consumenten te beschermen, voor zover schending wordt aangevoerd van bepalingen van die verordening die tot doel hebben subjectieve rechten aan de betrokkenen te verlenen.

70.

Dat is wel degelijk het geval in de verbodsactie die het Bundesverband heeft ingesteld tegen Facebook Ireland.

71.

Ik herinner eraan dat Facebook Ireland naar de mening van de verwijzende rechter en volgens de vordering van het Bundesverband de voor haar uit artikel 12, lid 1, eerste volzin, van verordening 2016/679 voortvloeiende verplichting niet is nagekomen om ervoor te zorgen dat de betrokkene de in artikel 13, lid 1, onder c) en e), van deze verordening bedoelde informatie over de verwerkingsdoeleinden en de ontvanger van de persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt. Deze bepalingen behoren ontegensprekelijk tot de categorie van bepalingen waarbij subjectieve rechten worden verleend aan de betrokkenen, wat met name wordt bevestigd door het feit dat zij zijn opgenomen in hoofdstuk III van de verordening, met als opschrift ‘Rechten van de betrokkene’. De bescherming van die rechten kan dus hetzij rechtstreeks door de betrokkenen worden gevorderd, hetzij door een entiteit die daartoe bevoegd is krachtens artikel 80, lid 1, van verordening 2016/679 dan wel krachtens nationale bepalingen tot omzetting van artikel 80, lid 2, van die verordening.

72.

Ik ben voorts van mening dat artikel 80, lid 2, van verordening 2016/679 zich niet verzet tegen nationale regelingen die bepalen dat een vereniging die consumentenbelangen behartigt, bevoegd is om een verbodsactie in te stellen teneinde de eerbiediging te garanderen van de rechten die bij die verordening zijn verleend middels voorschriften die de bescherming van consumenten en de bestrijding van oneerlijke handelspraktijken beogen. Dergelijke regelingen kunnen namelijk soortgelijke bepalingen bevatten als voornoemde verordening, in het bijzonder ten aanzien van de informatie die aan betrokkenen moet worden verstrekt over de verwerking van hun persoonsgegevens47., wat impliceert dat een inbreuk op een voorschrift inzake de bescherming van persoonsgegevens tegelijkertijd een inbreuk kan opleveren van de voorschriften inzake consumentenbescherming of oneerlijke handelspraktijken. Niets in de tekst van artikel 80, lid 2, verordening 2016/679 belet een gedeeltelijke omzetting van die open clausule, in zoverre de representatieve vordering strekt tot bescherming van de rechten die betrokkenen, in hun hoedanigheid van consumenten, aan deze verordening ontlenen.48.

73.

Die uitlegging van artikel 80, lid 2, verordening 2016/679 is volgens mij, in deze vorm, het meest geschikt om de met die verordening nagestreefde doelstellingen te bereiken.

74.

In dat verband heeft het Hof opgemerkt dat ‘[z]oals blijkt uit artikel 1, lid 2, van verordening 2016/679, gelezen in samenhang met de overwegingen 10, 11 en 13 ervan, […] deze verordening de instellingen, organen en instanties van de Unie en de bevoegde autoriteiten van de lidstaten bijgevolg de verplichting [oplegt] om een hoog niveau van bescherming van de door artikel 16 VWEU en artikel 8 van het Handvest [van de grondrechten van de Europese Unie] gewaarborgde rechten te waarborgen’.49. Bovendien is voornoemde verordening erop gericht ‘te zorgen voor een doeltreffende bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen, met name hun recht op eerbiediging van de persoonlijke levenssfeer en op bescherming van persoonsgegevens’.50.

75.

Aan de doelstelling om een hoog niveau van bescherming van persoonsgegevens te waarborgen zou worden afgedaan indien het de lidstaten zou worden belet maatregelen te nemen die, hoewel zij de bescherming van de consument beogen, eveneens bijdragen aan de verwezenlijking van de doelstelling van bescherming van de persoonsgegevens. Net zoals bij richtlijn 95/46 het geval was, kan ook na de inwerkingtreding van verordening 2016/679 nog steeds de stelling worden verdedigd dat het verlenen van procesbevoegdheid aan verenigingen die consumentenbelangen behartigen om in strijd met de bepalingen van deze verordening verrichte verwerkingen te doen staken, de rechten van de betrokkenen helpt te versterken via groepsacties.51.

76.

De verdediging van de collectieve belangen van consumenten door verenigingen is dus bijzonder geschikt om een hoog niveau van bescherming van persoonsgegevens tot stand te brengen. Vanuit deze optiek zou de preventieve werking van de vorderingen die door deze verenigingen worden ingesteld, niet kunnen worden verzekerd indien de representatieve vordering waarin artikel 80, lid 2, van verordening 2016/679 voorziet, uitsluitend betrekking zou hebben op schendingen van de rechten van personen die daardoor individueel en daadwerkelijk worden geraakt.

77.

Een verbodsactie die wordt ingesteld door een vereniging die consumentenbelangen behartigt, zoals het Bundesverband, draagt er dus ontegensprekelijk aan bij dat de effectieve toepassing van de rechten die door verordening 2016/679 worden beschermd, wordt verzekerd.52.

78.

Bovendien zou het op zijn minst paradoxaal zijn dat de versterking van de middelen om de naleving van de regels betreffende de bescherming van persoonsgegevens te controleren die de Uniewetgever met de vaststelling van verordening 2016/679 voor ogen had, uiteindelijk zou leiden tot een daling van het niveau van die bescherming ten opzichte van het niveau dat de lidstaten onder de vigeur van richtlijn 95/46 konden verzekeren.

79.

Het klopt dat de regelgeving inzake oneerlijke handelspraktijken, enerzijds, en de regelgeving inzake de bescherming van persoonsgegevens, anderzijds, zich in het Unierecht — in tegenstelling tot in de Verenigde Staten — los van elkaar hebben ontwikkeld. Voor beide gebieden geldt derhalve een ander rechtskader.

80.

Er bestaat evenwel een wisselwerking tussen beide gebieden, waardoor vorderingen in het kader van de regelgeving inzake de bescherming van persoonsgegevens tegelijkertijd indirect kunnen bijdragen aan het doen staken van een oneerlijke handelspraktijk. Het omgekeerde is eveneens het geval.53. Bovendien blijkt uit verordening 2016/679 zelf, en met name uit overweging 42, dat er een verband bestaat tussen de bescherming van persoonsgegevens, vanuit het oogpunt van de toestemming die wordt gegeven voor de verwerking van die gegevens, en de bescherming van de consument. De Commissie heeft overigens gewezen op de wisselwerking tussen de Unieregelgeving betreffende de bescherming van persoonsgegevens en richtlijn 2005/29/EG54..

81.

De gevallen waarin er sprake is van een wisselwerking tussen het recht inzake de bescherming van persoonsgegevens, het consumentenrecht en het mededingingsrecht zijn veelvuldig en meervoudig, aangezien dezelfde gedraging tegelijkertijd onder rechtsregelingen kan vallen die tot deze verschillende gebieden behoren. Een dergelijke wisselwerking helpt om de bescherming van persoonsgegevens doeltreffender te maken.55.

82.

Het is juist dat de begunstigden van de bij verordening 2016/679 verleende rechten niet beperkt zijn tot de categorie ‘de consument’, aangezien de verordening niet berust op een consumentgerichte opvatting van de bescherming van natuurlijke personen wat de verwerking van persoonsgegevens betreft56., maar op de opvatting dat deze bescherming, overeenkomstig artikel 8 van het Handvest van de grondrechten en zoals in overweging 1 en in artikel 1, lid 2, van de verordening is vermeld, een grondrecht is57..

83.

Dat neemt echter niet weg dat de betrokkenen in het digitale tijdperk vaak consumenten zijn. Dat is dan ook de reden waarom de regels ter bescherming van consumenten vaak worden ingeroepen om die consumenten te beschermen tegen een verwerking van hun persoonsgegevens die is verricht in strijd met de bepalingen van verordening 2016/679.

84.

Aan het einde van deze analyse moet worden vastgesteld dat er mogelijk een overlapping bestaat tussen de representatieve vordering van artikel 80, lid 2, van verordening 2016/679 en die waarin richtlijn 2020/1828 voorziet om stakingsmaatregelen te verkrijgen, wanneer de ‘betrokkenen’ in de zin van deze verordening eveneens ‘consumenten’ zijn in de zin van artikel 3, punt 1, van die richtlijn.58. Volgens mij wijst dit erop dat het recht inzake de bescherming van persoonsgegevens complementair is en samenhangt met andere rechtsgebieden, zoals het consumentenrecht en het mededingingsrecht. De Uniewetgever heeft die tendens bij de vaststelling van voornoemde richtlijn nog verder doorgedreven door de bescherming van de collectieve belangen van de consument nadrukkelijker te verbinden aan de naleving van verordening 2016/679. Dat kan de effectieve toepassing van de in die verordening vervatte voorschriften alleen maar ten goede komen.

V. Conclusie

85.

Gelet op een en ander geef ik het Hof in overweging om de prejudiciële vraag van het Bundesgerichtshof te beantwoorden als volgt:

‘Artikel 80, lid 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat het niet in de weg staat aan een nationale regeling die verenigingen die consumentenbelangen behartigen toestaat in rechte op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens en waarbij deze verenigingen zich beroepen op het verbod op oneerlijke handelspraktijken, een inbreuk op de consumentenbeschermingswet of het verbod op de toepassing van ongeldige algemene voorwaarden, wanneer de representatieve vordering in kwestie tot doel heeft de rechten te doen eerbiedigen die personen wier gegevens worden verwerkt rechtstreeks aan die verordening ontlenen.’

Toon alle voetnoten

Voetnoten

Voetnoten Conclusie 02‑12‑2021

Oorspronkelijke taal: Frans.

Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1).

Zie arrest van 29 juli 2019, Fashion ID (C-40/17, EU:C:2019:629; hierna: ‘arrest Fashion ID’).

Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

Zie tevens overweging 142 van deze verordening.

BGBl. 2004 I, blz. 1414 (hierna: ‘UWG’).

BGBl. 2001 I, blz. 3138, 3173 (hierna: ‘UKlaG’).

PB 2009, L 110, blz. 30.

BGBl. 2007 I, blz. 179.

10.

De vertegenwoordiging van betrokkenen is ook opgenomen in artikel 67 van verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van verordening (EG) nr. 45/2001 en besluit nr. 1247/2002/EG (PB 2018, L 295, blz. 39), en in artikel 55 van richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89). In beide gevallen gaat het om een vertegenwoordiging met opdracht.

11.

Die tendens, waaraan met name uitvoering is gegeven in richtlijn 2009/22, heeft onlangs geleid tot de vaststelling van richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van richtlijn 2009/22/EG (PB 2020, L 409, blz. 1). De omzettingstermijn van die richtlijn is vastgesteld op 25 december 2022. Zie in dit verband Pato, A., ‘Collective Redress Mechanisms in the EU’, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londen, 2019, blz. 45–117. Zie eveneens Gsell, B., ‘The New European Directive on Representative Actions for the Collective Interests of Consumers — A Huge, but Blurry Step Forward’, Common Market Law Review, 58e jaargang, deel 5, Kluwer Law International, Alpen aan de Rijn, 2021, blz. 1365–1400.

12.

Zie arrest Fashion ID (punt 63 en dictum).

13.

Zie arrest Fashion ID (punt 47).

14.

Zie arrest Fashion ID (punt 48).

15.

Zie arrest Fashion ID (punt 49).

16.

Zie arrest Fashion ID (punt 50).

17.

Zie arrest Fashion ID (punt 51).

18.

Zie arrest Fashion ID (punt 56 en aldaar aangehaalde rechtspraak).

19.

Zie arrest Fashion ID (punt 57 en dictum).

20.

Zie arrest Fashion ID (punt 59).

21.

Cursivering van mij.

22.

Zoals het Hof heeft onderstreept in zijn arrest van 15 juni 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, punt 44).

23.

Uit de preambule van verordening 2016/679 blijkt dat deze verordening is vastgesteld op grond van artikel 16 VWEU, waarin, in lid 2, met name is bepaald dat het Europees Parlement en de Raad volgens de gewone wetgevingsprocedure de voorschriften vaststellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens.

24.

Om de omvang van de met een regeling zoals verordening 2016/679 beoogde harmonisatie te bepalen, is dus een ‘micro-analyse [nodig], waarbij wordt gekeken naar een specifieke regel of, in het beste geval, naar een specifiek en welomschreven aspect van het Unierecht’: zie conclusie van advocaat-generaal Bobek in de zaak Dzivev e.a. (C-310/16, EU:C:2018:623, punt 74). Zie ook Mišćenić, E., en Hoffmann, A.-L., ‘The Role of Opening Clauses in Harmonization of EU Law: Example of the EU's General Data Protection Regulation (GDPR)’, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, deel 4, blz. 44–61, waarin wordt opgemerkt dat ‘[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them’ (blz. 49).

25.

Zie arrest van 6 november 2003, Lindqvist (C-101/01, EU:C:2003:596, punt 96).

26.

Zie met betrekking tot richtlijn 95/46, arrest van 6 november 2003, Lindqvist (C-101/01, EU:C:2003:596, punt 97). In tegenstelling tot wat soms wordt gedacht, leidt de keuze van de Uniewetgever voor een verordening in plaats van een richtlijn niet noodzakelijkerwijs tot een volledige harmonisatie van het beoogde gebied. Zie Mišćenić, E., en Hoffmann, A.-L., op. cit., die vermelden dat ‘an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules’ (blz. 48).

27.

Zie met name arrest van 15 juni 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, punt 110 en aldaar aangehaalde rechtspraak). Zie eveneens, met betrekking tot een gebied dat eerder onder een richtlijn viel, arrest van 21 december 2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, punt 42), waarin het Hof heeft verduidelijkt dat de omstandigheid dat ‘de Unieregeling inzake dierenbescherming tijdens het vervoer voortaan bij verordening is vastgesteld, […] niet noodzakelijkerwijs [betekent dat] elke nationale maatregel tot uitvoering van deze regeling [verboden is]’.

28.

Zie arrest van 27 oktober 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29.

Zo heeft het Hof erkend dat een lidstaat die ervoor heeft gekozen om een door een verordening geboden mogelijkheid niet te gebruiken, artikel 288 VWEU niet schendt: zie arrest van 17 december 2015, Imtech Marine Belgium (C-300/14, EU:C:2015:825, punten 27–31). Zie met betrekking tot een verordening waarbij uitvoerrestituties worden ingesteld die de lidstaten kunnen toekennen of weigeren toe te kennen, arrest van 27 oktober 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30.

Zie inzake die openingsclausules Wagner, J., en Benecke, A., ‘National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law’, European Data Protection Law Review, Lexxion, Berlijn, deel 2, nr. 3, 2016, blz. 353–361.

31.

Zie met name artikelen 51 en 84 van verordening nr. 2016/679.

32.

Zie met name artikel 6, leden 2 en 3, artikel 8, lid 1, tweede alinea, en de artikelen 85–89, van verordening nr. 2016/679.

33.

Zie in dit verband Mišćenić, E., en Hoffmann, A.-L., op. cit., die opmerken dat ‘[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation’ (blz. 50 en 51).

34.

Richtlijn 95/46 voorzag in artikel 28, lid 4, louter in de mogelijkheid dat een vereniging een klacht kon indienen bij een toezichthoudende autoriteit namens een persoon die stelde dat zijn rechten waren geschonden in het kader van een verwerking van persoonsgegevens.

35.

Zij het met uitzondering van de representatieve vordering met machtiging om namens betrokkenen het recht op de ontvangst van een vergoeding uit te oefenen, die facultatief blijft voor de lidstaten.

36.

Zie naar analogie arrest van 21 december 2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, punt 43).

37.

Zie Pato, A., ‘The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights’, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburg, 2019, blz. 98–106. Deze auteur stelt dat ‘[t]he number of actors who potentially have standing to sue is broad’ en ‘[c]onsumer associations will usually meet those requirements easily’ (blz. 99).

38.

Cursivering van mij. Volgens diezelfde bepaling ‘[wordt] als identificeerbaar […] beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon’. Zoals Martial-Braz, N., ‘Le champ d'application du RGPD’, in Bensamoun, A., en Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Parijs, 2020, blz. 19–33, opmerkt, ‘le caractère identifiable s'entend très largement puisque le critère d'identification de la personne s'entend de l'ensemble des moyens raisonnablement susceptibles d'être mis en œuvre pour identifier la personne’ (blz. 24). Zie met betrekking tot het begrip ‘identificeerbare persoon’ in de zin van artikel 2, onder a), van richtlijn 95/46, met name arrest van 19 oktober 2016, Breyer (C-582/14, EU:C:2016:779).

39.

Zie Boehm, F., ‘Artikel 80 Vertretung von betroffenen Personen’, in Simitis, S., Hornung, G., en Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, in het bijzonder punt 13.

40.

Zie Frenzel, E. M., ‘Art. 80 Vertretung von betroffenen Personen’, in Paal, B. P., en Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3e druk, C.H. Beck, Munich, 2021, in het bijzonder punt 11, en Kreße, B., ‘Artikel 80 Vertretung von betroffenen Personen’, in Sydow, G., Europäische Datenschutzverordnung, 2e druk, Nomos, Baden-Baden, 2018, in het bijzonder punt 13.

41.

Zie Moos, F., en Schefzig, J., ‘Art. 80 Vertretung von betroffenen Personen’, in Taeger, J., en Gabel, D., Kommentar DSGVO — BDSG, 3e druk, Deutscher Fachverlag, Frankfurt am Main, 2019, in het bijzonder punt 22.

42.

Zie met betrekking tot oneerlijke bedingen in overeenkomsten tussen handelaren en consumenten met name arrest van 14 april 2016, Sales Sinués en Drame Ba (C-381/14 en C-385/14, EU:C:2016:252, punt 29).

43.

Zie overweging 33 en artikel 8, lid 3, onder a), van richtlijn 2020/1828, waarin is bepaald dat ‘[d]e bevoegde instantie […] geen bewijs [hoeft] te leveren […] van het daadwerkelijke verlies dat of de daadwerkelijke schade die de individuele consumenten door de in artikel 2, lid 1, bedoelde inbreuk hebben geleden’. Artikel 7, lid 2, van die richtlijn bepaalt weliswaar dat de bevoegde instantie de rechtbank of de administratieve autoriteit ‘voldoende informatie [moet] verschaffen over de consumenten die betrokken zijn bij de representatieve vordering’, maar uit overweging 34 van die richtlijn vloeit bovendien voort dat deze informatie, waarvan de mate van detail kan verschillen naargelang de maatregel die de bevoegde instantie beoogt, niet strekt tot aanduiding van individuele consumenten die door de desbetreffende inbreuk zijn geraakt, maar eerder gegevens behelst zoals de plaats waar het schadelijke feit zich heeft voorgedaan of de groep van bij de representatieve vordering betrokken consumenten (zie eveneens overweging 65 van richtlijn 2020/1828). Ik wijs er daarnaast ook op dat zelfs wanneer met de representatieve vordering herstelmaatregelen worden beoogd, in overweging 49 van richtlijn 2020/1828 is aangegeven dat ‘[d]e bevoegde instantie […] niet [mag] worden verplicht elke bij de representatieve vordering betrokken consument individueel te identificeren om de representatieve vordering te kunnen instellen’. Zie in dit verband Gsell, B., op. cit., in het bijzonder blz. 1370.

44.

Zie artikel 2, lid 1, van richtlijn 2020/1828.

45.

Zie overweging 3 van richtlijn 2009/22, waarin wordt gepreciseerd dat verbodsacties die binnen de werkingssfeer van deze richtlijn vallen gericht zijn op de bescherming van de ‘collectieve belangen van consumenten’, die worden gedefinieerd als ‘belangen die niet de cumulatie behelzen van belangen van individuen die door een inbreuk zijn geschaad’. In artikel 3, punt 3, van richtlijn 2020/1828 wordt het begrip ‘collectieve belangen van consumenten’ gedefinieerd als ‘het algemeen belang van de consumenten, en meer in het bijzonder wat betreft maatregelen tot herstel, het belang van een groep consumenten’.

46.

Cursivering van mij.

47.

Zie Helberger, N., Zuiderveen Borgesius, F., en Reyna, A., ‘The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law’, Common Market Law Review, 54e jaargang, deel 5, Kluwer Law International, Alpen aan de Rijn, 2017, blz. 1427–1465, die opmerken dat ‘[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual’ (blz. 1437).

48.

Zie Neun, A., en Lubitzsch, K., ‘Die neue EU-Datenschutz-Grundverordnung — Rechtsschutz und Schadensersatz’, Betriebs-Berater, Deutscher Fachverlag, Frankfurt am Main, 2017, blz. 2563–2569, in het bijzonder blz. 2567.

49.

Zie arrest van 15 juni 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, punt 45).

50.

Zie arrest van 15 juni 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, punt 91).

51.

Zie conclusie van advocaat-generaal Bobek in de zaak Fashion ID (C-40/17, EU:C:2018:1039, punt 33).

52.

Voor voorbeelden van vorderingen die zijn ingesteld door verenigingen die consumentenbelangen behartigen, zie Helberger, N., Zuiderveen Borgesius, F., en Reyna, A., op. cit., in het bijzonder blz. 1452 en 1453.

53.

Zie voor de complementariteit van vorderingen in verband met de bescherming van persoonsgegevens en vorderingen tot staking van oneerlijke handelspraktijken, Van Eijk, N., Hoofnagle, C. J., en Kannekens, E., ‘Unfair Commercial Practices: A Complementary Approach to Privacy Protection’, European Data Protection Law Review, Lexxion, Berlijn, deel 3, nr. 3, 2017, blz. 325–337, die opmerken dat ‘[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective’ (blz. 336).

54.

Richtlijn van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt en tot wijziging van richtlijn 84/450/EEG van de Raad, richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad (‘richtlijn oneerlijke handelspraktijken’) (PB 2005 L 149, blz. 22). Zie werkdocument van de diensten van de Commissie — Richtsnoeren voor de tenuitvoerlegging/toepassing van richtlijn 2005/29/EG betreffende oneerlijke handelspraktijken bij het document: mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de regio's — Een brede aanpak voor het stimuleren van de grensoverschrijdende elektronische handel voor Europese burgers en bedrijven [SWD(2016) 163 final], in het bijzonder punt 1.4.10, blz. 26–31. De Commissie legt daarin de nadruk op de noodzaak van een eerlijke verwerking van de gegevens, die inhoudt dat de betrokkene bepaalde relevante informatie krijgt, met name over de doeleinden van de desbetreffende verwerking van persoonsgegevens (blz. 28). De Commissie geeft eveneens aan dat ‘[a]ls een handelaar [richtlijn 95/46] of [richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37)] schendt, […] dit op zich niet altijd [betekent] dat de praktijk ook strijdig is met [richtlijn 2005/29]’. Volgens de Commissie ‘[moeten] [d]ergelijke inbreuken op de gegevensbescherming […] evenwel in aanmerking worden genomen bij de beoordeling van de algehele oneerlijkheid van handelspraktijken op grond van [richtlijn 2005/29], met name wanneer de handelaar consumentengegevens verwerkt in strijd met de gegevensbeschermingsvoorschriften, d.w.z. voor direct marketing of andere commerciële doeleinden zoals profilering, persoonlijke prijsstelling of ‘big data’-toepassingen’ (blz. 30).

55.

Zie in dat verband met name Helberger, N., Zuiderveen Borgesius, F., en Reyna, A., op. cit., die erop wijzen dat ‘data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets’ (blz. 1429). Zie eveneens Van Eijk, N., Hoofnagle, C. J., en Kannekens, E., op. cit., in het bijzonder blz. 336. Zie voor een voorbeeld van de complementariteit van tussen de voorschriften betreffende de bescherming van persoonsgegevens en de voorschriften waarbij oneerlijke handelspraktijken van ondernemingen jegens consumenten worden verboden, mijn conclusie in de zaak StWL Städtische Werke Lauf a.d. Pegnitz (C-102/20, EU:C:2021:518).

56.

Zie Martial-Braz, N., op. cit., in het bijzonder blz. 23.

57.

Zie arrest van 15 juni 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, punt 44).

58.

Zie overweging 14 van richtlijn 2020/1828, waarin staat dat de richtlijn ‘alleen de belangen [moet] beschermen van natuurlijke personen die door [de inbreuken op de in bijlage I bedoelde bepalingen van Uniewetgeving] schade hebben ondervonden of kunnen ondervinden indien die personen consumenten zijn uit hoofde van deze richtlijn’.