CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:531

DOMSTOLENS DOM (Tredje Afdeling)

20. juni 2024 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 82 – ret til erstatning for skade forvoldt af behandling af oplysninger foretaget i strid med denne forordning – begrebet »immateriel skade« – erstatning, der har karakter af straf, eller som kun har en kompensations- og godtgørelsesfunktion – ubetydelig eller symbolsk erstatning – tyveri af personoplysninger, der er registreret i en trading-app – identitetstyveri eller ‑svig«

I de forenede sager C-182/22 og C-189/22,

angående anmodninger om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Amtsgericht Hagen (byretten i München, Tyskland) ved afgørelser af 3. marts 2022, indgået til Domstolen den 10. og 11. marts 2022, i sagerne

JU (C-182/22),

SO (C-189/22)

mod

Scalable Capital GmbH,

har

DOMSTOLEN (Tredje Afdeling),

sammensat af afdelingsformanden, K. Jürimäe, og dommerne N. Piçarra og N. Jääskinen (refererende dommer),

generaladvokat: A.M. Collins,

justitssekretær: A. Calot Escobar,

på grundlag af den skriftlige forhandling,

efter at der er afgivet indlæg af:

– SO ved Rechtsanwalt M. Ruigrok van de Werve,

– Scalable Capital GmbH ved Rechtsanwalt M.C. Mekat,

– Irland ved Chief State Solicitor M. Browne, og A. Joyce samt M. Tierney, som befuldmægtigede, bistået af D. Fennelly, BL,

– Europa-Kommissionen ved A. Bouchagiar, M. Heller og H. Kranenborg, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 26. oktober 2023,

afsagt følgende

Dom

1 Anmodningerne om præjudiciel afgørelse vedrører fortolkningen af artikel 82 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2 Anmodningerne er blevet indgivet i forbindelse med to tvister mellem på den ene side henholdsvis JU og SO og på den anden side Scalable Capital GmbH vedrørende erstatning for den immaterielle skade, som JU og SO hævder at have lidt som følge af ukendte tredjeparters tyveri af deres personoplysninger, der er registreret i en tradingapp, som dette selskab forvalter.

Retsforskrifter

3 75., 85. og 146. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»(75) Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser; hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger; hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger; hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler; hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn; eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede.

[...]

(85) Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person. [...]

[...]

(146) […] Den dataansvarlige eller databehandleren bør være fritaget for erstatningsansvar, hvis den pågældende beviser ikke at være ansvarlig for den forvoldte skade. Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning. [...] Registrerede bør have fuld erstatning for den skade, som de har lidt. [...]«

4 Denne forordnings artikel 4 med overskriften »Definitioner« fastsætter:

»I denne forordning forstås ved:

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); [...]

[...]

7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; [...]

[...]

10) »tredjemand«: en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger

[...]

12) »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet

[...]«

5 Databeskyttelsesforordningens artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« bestemmer følgende i stk. 1-3:

»1. Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2. Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af behandling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser.

3. En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.«

Tvisterne i hovedsagerne og de præjudicielle spørgsmål

6 Scalable Capital er et tysk selskab, der forvalter en tradingapp, i hvilken sagsøgerne i hovedsagen, JU og SO, havde åbnet en konto. I denne forbindelse havde sidstnævnte registreret visse personoplysninger på deres respektive konti, herunder navnlig deres navn, fødselsdato, post- og e-mailadresse samt en digital kopi af deres identitetsbevis. Sagsøgerne i hovedsagen havde indbetalt et beløb på flere tusinde euro, hvilket var nødvendigt for kunne åbne disse konti.

7 I 2020 blev personoplysninger og oplysninger vedrørende sagsøgerne i hovedsagens værdipapirportefølje hacket af tredjemænd, hvis identitet fortsat er ukendt. Ifølge Scalable Capital har de nævnte personoplysninger indtil videre ikke været genstand for svigagtig brug.

8 I denne forbindelse har sagsøgerne i hovedsagen anlagt sag ved Amtsgericht München (byretten i München, Tyskland), der er den forelæggende ret, med påstand om erstatning for den immaterielle skade, som de hævder at have lidt som følge af tyveri af deres personoplysninger.

9 For det første udspringer den forelæggende rets spørgsmål af den omstændighed, at der blandt de tyske retter hersker forskellige opfattelser med hensyn til fastsættelsen af den erstatning, der skal tilkendes i en sådan situation. Der er stor forskel på, hvor meget der tilkendes i økonomiske erstatning i tilfælde som dem, der er omhandlet i hovedsagen, alt efter om en eventuel afskrækkende virkning er taget i betragtning eller ej. Ifølge den forelæggende ret er titusindvis af personer i det foreliggende tilfælde berørt af et tab af de omhandlede oplysninger, og der bør derfor anvendes en ensartet vurderingsmetode.

10 Hvad for det andet angår vurderingen af den immaterielle skade har den forelæggende ret støttet sig på tysk ret med henblik på at sondre mellem en »kompenserende« funktion og en »individuel godtgørelses«-funktion. Kompensationsfunktionen har til formål at kompensere de forårsagede og sandsynlige konsekvenser af den hævdede skade, mens den individuelle godtgørelsesfunktion har til formål at udligne følelsen af uretfærdighed som følge af den nævnte skades indtræden. Den forelæggende ret har anført, at godtgørelsesfunktionen i henhold til tysk ret alene spiller en accessorisk rolle, og er af den opfattelse, at denne funktion i det foreliggende tilfælde ikke bør have nogen indflydelse på beregningen af den erstatning, som sagsøgerne har rejst krav om.

11 For det tredje er der i tysk ret ikke fastsat takster, der gør det muligt at fastsætte størrelsen af den erstatning, der skal tilkendes, alt efter i hvilke situationer der kræves erstatning. På baggrund af det store antal af individuelle afgørelser, der er truffet, har det imidlertid være muligt at fastlægge en ramme, hvortil der kan henvises, og som har ført til en form for systematisering af godtgørelser. I tysk ret ydes der i denne henseende kun økonomisk erstatning for særligt grove krænkelser af personlige rettigheder. Ved legemsbeskadigelse kan der foretages en mere objektiv vurdering i forbindelse med fastsættelsen af den økonomiske erstatning. Den forelæggende ret er derfor af den opfattelse, at tab af oplysninger bør tillægges mindre vægt end fysiske skader.

12 For det fjerde ønsker den forelæggende ret oplyst, om det er muligt at tilkende erstatninger, der er så lave, at de vil kunne opfattes som symbolske, i tilfælde, hvor den skade, der skyldes en overtrædelse af databeskyttelsesforordningen, er minimal.

13 For det femte har den anført, at parterne i hovedsagen fortolker begrebet »identitetstyveri« forskelligt. Den er i denne forbindelse af den opfattelse, at der alene er tale om identitetstyveri, når de ulovligt indhentede oplysninger anvendes af tredjemand med henblik på at påtage sig den registreredes identitet.

14 På denne baggrund har Amtsgericht München (byretten i München) besluttet at udsætte sagerne C-182/22 og C-189/22 og forelægge Domstolen følgende præjudicielle spørgsmål, der har samme ordlyd i de to sager:

»1) Skal [databeskyttelsesforordningens] artikel 82 […] fortolkes således, at retten til erstatning ikke i forbindelse med fastsættelsen af erstatningens størrelse kan tillægges karakter af [straf], navnlig ingen generel eller speciel afskrækkende funktion, men at retten til erstatning kun har funktion af kompensation og [eventuel] godtgørelse?

2) Skal det ved fastsættelsen af retten til erstatning for immateriel skade lægges til grund, at retten til erstatning også har en individuel godtgørelsesfunktion – i den foreliggende sag forstået som den krænkedes private interesse i at se den forvoldende adfærd retsforfulgt, eller har retten til erstatning kun en kompenserende funktion – i den foreliggende sag forstået som den funktion at kompensere den forvoldte skade?

Såfremt det skal lægges til grund, at retten til erstatning for immateriel skade har såvel kompensations- som godtgørelsesfunktion: Skal det ved fastlæggelsen af erstatningens størrelse lægges til grund, at kompensationsfunktionen har en strukturel forrang frem for godtgørelsesfunktionen eller i det mindste en forrang i form af et hovedregel-undtagelsesforhold? Fører dette til, at en godtgørelsesfunktion kun kommer i betragtning i forbindelse med forsætlige eller groft uagtsomme krænkelser?

Såfremt retten til erstatning for immateriel skade ikke kan tillægges godtgørelsesfunktion: Er det ved fastsættelsen af erstatningens størrelse kun forsætlige eller groft uagtsomme krænkelser af databeskyttelsesforordningen, der som bedømmelse af bidrag til den forvoldte skade tillægges ekstra vægt?

3) Skal der for forståelsen af retten til erstatning for immateriel skade og udmålingen af denne lægges et strukturelt rangforhold eller i det mindste et hovedregel-undtagelsesforhold til grund, hvor den oplevelse af gene, der skyldes en krænkelse af databeskyttelsesreglerne, har mindre vægt end den gene- og smerteoplevelse, der er knyttet til en fysisk skade?

4) Kan en national domstol, såfremt det lægges til grund, at der foreligger en skade, under hensyn til manglende grovhed frit tilkende en materielt ubetydelig erstatning for skaden, som dermed [eventuelt] af den krænkede eller generelt kun opleves som symbolsk?

5) Skal det lægges til grund for forståelsen af retten til erstatning for immateriel skade og bedømmelsen af dens følger, at der først foreligger identitetstyveri som omhandlet i 75. betragtning til databeskyttelsesforordningen, hvis en kriminel gerningsmand faktisk har påtaget sig den registreredes identitet, altså i en eller anden form har udgivet sig for den registrerede, eller udgør allerede den omstændighed, at kriminelle gerningsmænd råder over data, som gør det muligt at identificere den registrerede, et sådant identitetstyveri?«

Retsforhandlingerne for Domstolen

15 Ved afgørelse truffet af Domstolens præsident den 19. april 2022 er sagerne C-182/22 og C-189/22 blevet forenet med henblik på retsforhandlingernes skriftlige og mundtlige del samt dommen.

16 Den 1. juni 2022 afslog Domstolens præsident Scalable Capitals anmodning om at anonymisere den foreliggende sag i henhold til artikel 95, stk. 2, i Domstolens procesreglement.

Formaliteten vedrørende anmodningerne om præjudiciel afgørelse

17 Scalable Capital har i det væsentlige gjort gældende, at de foreliggende anmodninger om præjudiciel afgørelse ikke kan antages til realitetsbehandling, for så vidt som de er uden betydning for afgørelsen af tvisterne i hovedsagerne. Scalable Capital er af den opfattelse, at et abstrakt tab af kontrollen med oplysninger, som det er tilfældet i den foreliggende sag, ikke skal kvalificeres som »skade« som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1, når et sådant tab af kontrollen med oplysninger ikke har haft konkrete følger, og at betingelserne for at anvende artikel 82 derfor ikke er opfyldt. En sådan kvalificering ville nemlig svare til at antage, at enhver overtrædelse af forordningen skaber formodning for skade, hvilket er i strid med ordlyden og den generelle opbygning af samt tilblivelseshistorien for databeskyttelsesforordningens artikel 82.

18 Det følger i denne henseende af fast retspraksis, at det udelukkende tilkommer den nationale ret, for hvilken en tvist er indbragt, og som har ansvaret for den retlige afgørelse, som skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen, hvilke spørgsmål er omfattet af en formodning for at være relevante. Når de forelagte spørgsmål vedrører fortolkningen eller gyldigheden af en EU-retlig regel, er Domstolen derfor principielt forpligtet til at træffe afgørelse, medmindre det klart fremgår, at den ønskede fortolkning savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en hensigtsmæssig besvarelse af disse spørgsmål (jf. dom af 5.5.2022, Zagrebačka banka, C-567/20, EU:C:2022:352, præmis 43, og af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 23).

19 I den foreliggende sag er det tilstrækkeligt at bemærke, at når det ikke klart fremgår, at fortolkningen af en EU-retlig bestemmelse ikke har nogen forbindelse med de faktiske forhold eller genstanden for hovedsagen, angår indsigelsen vedrørende denne bestemmelses uanvendelighed på hovedsagen ikke formaliteten i anmodningen om præjudiciel afgørelse, men realiteten i de forelagte spørgsmål (jf. i denne retning dom af 13.7.2006, Manfredi m.fl., C-295/04 – C-298/04, EU:C:2006:461, præmis 30, af 4.7.2019, Kirschstein, C-393/17, EU:C:2019:563, præmis 28, og af 24.7.2023, Lin, C-107/23 PPU, EU:C:2023:606, præmis 66).

20 Det følger heraf, at anmodningerne om præjudiciel afgørelse kan antages til realitetsbehandling.

Om de præjudicielle spørgsmål

Det første spørgsmål og det andet spørgsmåls første led

21 Med det første spørgsmål og det andet spørgsmåls første led, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, har en kompenserende funktion, for så vidt som en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der er forvoldt som følge af en overtrædelse af denne forordning, eller om den ligeledes har en straffende funktion, der har til formål at varetage den registreredes individuelle interesser.

22 Domstolen har i denne henseende tidligere fastslået, at databeskyttelsesforordningens artikel 82 ikke har en straffende, men en kompenserende funktion i modsætning til andre af forordningens bestemmelser, der ligeledes findes i dens kapitel VIII, nemlig artikel 83 og 84, som for deres vedkommende i det væsentlige har et strafformål, idet de giver mulighed for henholdsvis at pålægge administrative bøder og andre sanktioner. Forholdet mellem reglerne i artikel 82 og i artikel 83 og 84 viser, at disse to kategorier af bestemmelser er forskellige, men også komplementære med hensyn til tilskyndelse til at overholde databeskyttelsesforordningen, idet det bemærkes, at retten for enhver til at kræve erstatning for en skade styrker den operationelle karakter af de beskyttelsesregler, der er fastsat ved denne forordning, og kan virke afskrækkende på gentagelse af ulovlig adfærd (jf. bl.a. dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 38 og 40, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 59).

23 Databeskyttelsesforordningens artikel 82, stk. 1, er blevet fortolket således, at den ret til erstatning, der er fastsat i denne bestemmelse, navnlig i tilfælde af immateriel skade, udelukkende opfylder en kompenserende funktion, og ikke en straffende funktion, da en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der konkret er forvoldt på grund af overtrædelsen af denne forordning (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 57 og 58, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 61).

24 Følgelig skal det første spørgsmål og det andet spørgsmåls første led besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, udelukkende har en kompenserende funktion, for så vidt som en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der er forvoldt.

Det andet spørgsmåls andet led

25 Henset til besvarelsen af det første spørgsmål og det andet spørgsmåls første led er det ufornødent at besvare det andet spørgsmåls andet led.

Det andet spørgsmåls tredje led

26 Med det andet spørgsmåls tredje led ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at der med henblik på erstatning for en skade i henhold til denne bestemmelse skal tages hensyn til graden af grovhed og den eventuelt forsætlige karakter af den dataansvarliges overtrædelse af denne forordning.

27 Hvad angår vurderingen af den erstatning, der eventuelt skal betales i henhold til databeskyttelsesforordningens artikel 82, skal de nationale retter, eftersom denne forordning ikke indeholder en bestemmelse, der har et sådant formål, anvende den enkelte medlemsstats nationale regler vedrørende den økonomiske erstatnings størrelse, for så vidt som dette sker under overholdelse af det EU-retlige ækvivalensprincip og det EU-retlige effektivitetsprincip (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 53, 54 og 59, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 53).

28 Det skal imidlertid fremhæves, at det dels følger af databeskyttelsesforordningens artikel 82, at det er en betingelse for, at den dataansvarlige kan ifalde ansvar, at denne har pådraget sig skyld, hvilket formodes at være tilfældet, medmindre den dataansvarlige beviser, at den pågældende ikke er skyld i den begivenhed, der medførte skaden, dels at denne artikel 82 ikke kræver, at der tages hensyn til graden af grovheden af denne skyld ved fastsættelsen af størrelsen af den erstatning, der tildeles for en immateriel skade på grundlag af denne bestemmelse (dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 103, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 52).

29 Den udelukkende kompenserende funktion af retten til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, udelukker, at der tages hensyn til den eventuelt forsætlige karakter af overtrædelsen af denne forordning, som den dataansvarlige formodes at have begået, ved fastsættelsen af størrelsen af den erstatning, der tilkendes som erstatning for en immateriel skade på grundlag af den nævnte bestemmelse. Dette beløb skal imidlertid fastsættes således, at det fuldstændigt kompenserer den skade, der konkret er lidt på grund af overtrædelsen af den nævnte forordning (jf. analogt dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 102, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 54).

30 Henset til ovenstående betragtninger skal det andet spørgsmåls tredje del besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at denne bestemmelse ikke kræver, at der med henblik på erstatning for en skade i henhold til denne bestemmelse skal tages hensyn til graden af grovhed og den eventuelt forsætlige karakter af den dataansvarliges overtrædelse af denne forordning.

Det tredje spørgsmål

31 Med det tredje spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at det i forbindelse med fastsættelsen af størrelsen af den erstatning, der skal betales som følge af retten til erstatning for immateriel skade, skal lægges til grund, at en sådan skade, der er forvoldt af et brud på persondatasikkerheden, efter sin art er mindre alvorlig end en personskade.

32 I denne henseende bemærkes, at det fremgår af fast retspraksis, at det i mangel af EU-retlige bestemmelser på området i medfør af princippet om procesautonomi tilkommer hver enkelt medlemsstat i sin interne retsorden at regulere de processuelle aspekter vedrørende sagsanlæg til sikring af beskyttelsen af borgernes rettigheder, dog på den betingelse, at de pågældende regler ikke i situationer, der hører under EU-retten, er mindre gunstige end dem, som regulerer tilsvarende situationer, der er underlagt national ret (ækvivalensprincippet), og at de i praksis ikke umuliggør eller uforholdsmæssigt vanskeliggør udøvelsen af rettigheder, der er tillagt ved EU-retten (effektivitetsprincippet) (jf. i denne retning dom af 13.12.2017, El Hassani, C-403/16, EU:C:2017:960, præmis 26, og af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 53).

33 I det foreliggende tilfælde bemærkes, at databeskyttelsesforordningen ikke indeholder bestemmelser, der har til formål at fastlægge reglerne om fastsættelse af den erstatning, som en registreret, jf. denne forordnings artikel 4, nr. 1), kan kræve i henhold til forordningens artikel 82, når en overtrædelse af denne forordning har forvoldt vedkommende skade. Når der ikke findes EU-retlige regler på området, tilkommer det følgelig hver enkelt medlemsstat i sin retsorden at fastsætte reglerne for sager til sikring af beskyttelsen af borgernes rettigheder i henhold til artikel 82, og navnlig at fastsætte de kriterier, der giver mulighed for at bestemme omfanget af den erstatning, der skal betales i denne forbindelse, idet det nævnte ækvivalensprincip og effektivitetsprincip skal overholdes (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 54).

34 Da ingen af de sagsakter, som Domstolen råder over, tyder på, at ækvivalensprincippet kan være relevant i forbindelse med de foreliggende hovedsager, skal der fokuseres på effektivitetsprincippet. Set i dette lys tilkommer det den forelæggende ret at afgøre, om de regler, der er fastsat i tysk ret for domstolenes fastsættelse af den erstatning, der skal betales i henhold til den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, i praksis gør det umuligt eller uforholdsmæssigt vanskeligt at udøve de rettigheder, der er tillagt ved EU-retten og nærmere bestemt ved denne forordning.

35 I denne henseende fremgår det af den retspraksis, der er nævnt i denne doms præmis 23, at henset til den udelukkende kompenserende funktion af retten til erstatning i henhold til databeskyttelsesforordningens artikel 82, stk. 1, skal en økonomisk erstatning på grundlag af denne bestemmelse anses for at være »fuld«, hvis den fuldstændigt kompenserer den skade, der er forvoldt på grund af en overtrædelse af denne forordning.

36 I denne forbindelse fremgår det i øvrigt af 146. betragtning til nævnte forordning, at »[b]egrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning«, og at »[r]egistrerede bør have fuld erstatning for den skade, som de har lidt«.

37 Det skal ligeledes bemærkes, at der i 75. og 85. betragtning til databeskyttelsesforordningen henvises til forskellige omstændigheder, der kan kvalificeres som »fysisk, materiel eller immateriel skade«, uden at der opstilles et hierarki mellem disse omstændigheder, eller det angives, at skader som følge af et brud på persondatasikkerheden i sagens natur er mindre alvorlige end legemsbeskadigelse.

38 Hvis det principielt antages, at personskade i kraft af sin art er mere alvorlige end immateriel skade, risikerer man at bringe princippet om fuld og effektiv kompensation for den lidte skade i fare.

39 Henset til ovenstående betragtninger skal det tredje spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at det i forbindelse med fastsættelsen af størrelsen af den erstatning, der skal betales som følge af retten til erstatning for immateriel skade, skal lægges til grund, at en sådan skade, der er forvoldt af et brud på persondatasikkerheden, ikke efter sin art er mindre alvorlig end en personskade.

Det fjerde spørgsmål

40 Med det fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at når der er forvoldt skade og denne skade ikke er grov, kan en national ret kompensere skaden ved at tilkende den registrerede en ubetydelig erstatning, der kan opfattes som symbolsk.

41 Det skal indledningsvis bemærkes, at det følger af fast retspraksis, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den blotte overtrædelse af denne forordning ikke er tilstrækkelig til at give ret til erstatning, eftersom en af betingelserne for ret til erstatning som fastsat i denne artikel 82, stk. 1, er, at der foreligger en materiel eller immateriel »skade«, eller at der er »forvold[t] skade«, ligesom denne forordning skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 32, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 34).

42 En person, der på grundlag af denne bestemmelse fremsætter et erstatningskrav vedrørende en immateriel skade, er således forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende en sådan skade, hvilket bevirker, at en sådan skade ikke kan formodes at være indtrådt alene som følge af den nævnte overtrædelse (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 42 og 50, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 35).

43 Når en person har påvist, at vedkommende har lidt skade som følge af en overtrædelse af databeskyttelsesforordningen som omhandlet i denne forordnings artikel 82, fremgår det i det væsentlige af denne doms præmis 33, at de kriterier, der giver mulighed for at bestemme omfanget af den erstatning, der skal betales inden for rammerne af sager til sikring af beskyttelsen af borgernes rettigheder i henhold til denne artikel, skal fastsættes i hver enkelt medlemsstat i sin retsorden, forudsat at, der er tale om fuld erstatning.

44 Domstolen har i denne forbindelse fastslået, at databeskyttelsesforordningens artikel 82, stk. 1, ikke kræver, at den skade, som den registrerede hævder at have lidt, skal nå en »bagatelgrænse«, for at denne skade kan give ret til erstatning, efter at der er konstateret en tilsidesættelse af denne forordnings bestemmelser (jf. i denne retning dom af 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 18).

45 Sådanne betragtninger udelukker imidlertid ikke, at nationale domstole kan tilkende en meget lav erstatning, forudsat at denne erstatning fuldt ud kompenserer den pågældende skade, hvilket det tilkommer den forelæggende ret at efterprøve under overholdelse af de ovenfor i præmis 43 nævnte principper.

46 På baggrund af det ovenstående skal det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at når der er forvoldt skade og denne skade ikke er grov, kan en national ret kompensere skaden ved at tilkende den registrerede en ubetydelig erstatning, forudsat at denne erstatning gør det muligt fuldstændigt at kompensere den skade, der er forvoldt.

Det femte spørgsmål

Formaliteten

47 Europa-Kommissionen har i sine skriftlige indlæg rejst tvivl om relevansen af det femte spørgsmål med henblik på besvarelsen af tvisterne i hovedsagen, for så vidt som den har konstateret, at den forelæggende ret ikke har henvist til en specifik bestemmelse i EU-retten.

48 I denne henseende vedrører det femte spørgsmål begrebet »identitetstyveri« som omhandlet i 75. betragtning til databeskyttelsesforordningen og ikke formelt denne forordnings artikel 82. Den omstændighed alene, at Domstolen udtaler sig i abstrakte og almengyldige vendinger, kan imidlertid ikke indebære, at anmodningen om en præjudiciel afgørelse ikke kan antages til behandling (dom af 15.11.2007, International Mail Spain, C-162/06, EU:C:2007:681, præmis 24).

49 Med dette spørgsmål har den forelæggende ret anmodet Domstolen om at fortolke begrebet »identitetstyveri«, således som det fremgår af 75. betragtning til databeskyttelsesforordningen, med henblik på at fastsætte størrelsen af den økonomiske erstatning, der er fastsat i databeskyttelsesforordningens artikel 82. Det nævnte spørgsmål vedrører således en EU-retlig bestemmelse. Svaret på dette spørgsmål er i øvrigt ligeledes relevant, for så vidt som hverken den forelæggende ret eller hovedsagens parter er enige om definitionen af dette begreb med henblik på vurderingen af den i hovedsagerne lidte skade.

50 På denne baggrund kan det femte spørgsmål antages til realitetsbehandling.

Realiteten

51 Det fremgår af fast retspraksis, at det som led i den samarbejdsprocedure mellem de nationale retter og Domstolen, som er indført ved artikel 267 TEUF, tilkommer denne at give den nationale ret et hensigtsmæssigt svar, som sætter den i stand til at afgøre den tvist, der verserer for den. Ud fra dette synspunkt påhviler det Domstolen efter omstændighederne at omformulere de spørgsmål, den forelægges. Domstolen kan desuden inddrage EU-retlige regler, som den nationale ret ikke har henvist til i sine spørgsmål (dom af 7.9.2023, Groenland Poultry, C-169/22, EU:C:2023:638, præmis 47 og den deri nævnte retspraksis).

52 I det foreliggende tilfælde vedrører det femte spørgsmål retten til erstatning i henhold til databeskyttelsesforordningens artikel 82, stk. 1, og nærmere bestemt begrebet »identitetstyveri«, der fremgår af 75. betragtning til databeskyttelsesforordningen. Det skal bemærkes, at dette begreb ud over at være nævnt i denne betragtning ligeledes er nævnt i 85. betragtning til denne forordning.

53 Det skal følgelig lægges til grund, at den forelæggende ret med det femte spørgsmål nærmere bestemt ønsker oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 75. og 85. betragtning til denne forordning, skal fortolkes således, at for at »identitetstyveri« kan anses for at være begået og give ret til erstatning for immateriel skade i henhold til denne bestemmelse, skal identiteten på en person, der har været udsat for tyveri af personoplysninger, faktisk anvendes af en tredjemand med henblik på at begå svig, eller om et sådant identitetstyveri kan anses for at være begået, når den pågældende tredjemand råder over oplysninger, der gør det muligt at identificere den registrerede.

54 Begrebet identitetstyveri er ikke defineret i databeskyttelsesforordningen. Identitets»tyveri« eller ‑»svig« er imidlertid nævnt i 75. betragtning til denne forordning som en del af en ikke-udtømmende liste over de konsekvenser af en behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade. I 85. betragtning til den nævnte forordning henvises der på ny samlet til identitets»tyveri« eller ‑»svig« på en liste over fysisk, materiel eller immateriel skade, der kan være forårsaget af et brud på persondatasikkerheden.

55 Som generaladvokaten har anført i punkt 29 i forslaget til afgørelse, henviser de forskellige sprogversioner af 75. og 85. betragtning til databeskyttelsesforordningen til udtrykkene identitetstyveri, identitetssvig, misbrug af identitet, uretmæssig udnyttelse af identitet, og tilranelse af identitet, hvilke udtryk anvendes uden sondring. Følgelig overlapper begreberne identitets»tyveri« eller ‑»svig« hinanden, og der skal derfor ikke foretages en sondring mellem dem. De to sidstnævnte begreber giver anledning til en formodning om, at der foreligger et ønske om at tilegne sig identiteten på en person, hvis personoplysninger tidligere er blevet stjålet.

56 Som generaladvokaten ligeledes har anført i punkt 30 i forslaget til afgørelse, sondres der blandt de forskellige begreber i de lister, der fremgår af 75. og 85. betragtning til databeskyttelsesforordningen, desuden mellem »tab af kontrol« eller »forhindret i at udøve kontrol« over personoplysninger og identitets-»tyveri eller ‑svig«. Det følger heraf, at en adgang til og kontrol med sådanne oplysninger, hvilket vil kunne sidestilles med tyveri af disse oplysninger, ikke i sig selv kan sidestilles med identitets-»tyveri« eller ‑»svig«. Med andre ord udgør tyveri af personoplysninger ikke i sig selv et identitetstyveri eller identitetssvig.

57 Det skal imidlertid i denne henseende præciseres, at erstatning for en immateriel skade, der er forvoldt af et tyveri af personoplysninger, i henhold til databeskyttelsesforordningens artikel 82, stk. 1, ikke kan begrænses til tilfælde, hvor det er godtgjort, at et sådant tyveri af oplysninger efterfølgende har givet anledning til et identitetstyveri eller identitetssvig. Tyveri af personoplysninger vedrørende en registreret giver nemlig ret til erstatning for den lidte immaterielle skade i henhold databeskyttelsesforordningens artikel 82, stk. 1, hvis de tre betingelser, der er fastsat i denne bestemmelse, finder anvendelse, nemlig at en behandling af personoplysninger overtræder databeskyttelsesforordningens bestemmelser, at den registrerede har forvoldt skade, og at der er en årsagsforbindelse mellem den ulovlige behandling og skaden (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 32 og 36).

58 Af disse grunde skal det femte spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 75. og 85. betragtning til denne forordning, skal fortolkes således, at for at »identitetstyveri« kan anses for at være begået og give ret til erstatning for immateriel skade i henhold til denne bestemmelse, skal identiteten på en person, der har været udsat for tyveri af personoplysninger, faktisk anvendes af en tredjemand med henblik på at begå svig. I henhold til denne bestemmelse kan erstatning for en immateriel skade, der er forvoldt af et tyveri af personoplysninger, imidlertid ikke begrænses til tilfælde, hvor det er godtgjort, at et sådant tyveri af oplysninger efterfølgende har givet anledning til et identitetstyveri eller identitetssvig.

Sagsomkostninger

59 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

1) Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)