Language of document : ECLI:EU:C:2024:531

Väliaikainen versio

UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)

20 päivänä kesäkuuta 2024 (*)

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 82 artikla – Oikeus korvauksen saamiseen vahingosta, joka aiheutuu kyseisen asetuksen vastaisesta tietojenkäsittelystä – Aineettoman vahingon käsite – Rankaiseva korvaus vai yksinomaan vahingon korvaamiseen ja intressien tyydyttämiseen tarkoitettu korvaus – Vähäinen korvaus tai symbolinen korvaus – Kaupankäyntisovellukseen tallennettujen henkilötietojen varastaminen – Identiteettivarkaus tai ‑petos

Yhdistetyissä asioissa C‑182/22 ja C‑189/22,

joissa on kyse SEUT 267 artiklaan perustuvista ennakkoratkaisupyynnöistä, jotka Amtsgericht München (Münchenin alioikeus, Saksa) on esittänyt 3.3.2022 tekemillään päätöksillä, jotka ovat saapuneet unionin tuomioistuimeen 10. ja 11.3.2022, saadakseen ennakkoratkaisun asioissa

JU (C‑182/22) ja

SO (C‑189/22)

vastaan

Scalable Capital GmbH,

UNIONIN TUOMIOISTUIN (kolmas jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja K. Jürimäe sekä tuomarit N. Piçarra ja N. Jääskinen (esittelevä tuomari),

julkisasiamies: A. M. Collins,

kirjaaja: A. Calot Escobar,

ottaen huomioon kirjallisessa käsittelyssä esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–        SO, edustajanaan M. Ruigrok van de Werve, Rechtsanwalt,

–        Scalable Capital GmbH, edustajanaan C. Mekat, Rechtsanwalt,

–        Irlanti, asiamiehinään M. Browne, Chief State Solicitor, A. Joyce ja M. Tierney, avustajanaan D. Fennelly, BL,

–        Euroopan komissio, asiamiehinään A. Bouchagiar, M. Heller ja H. Kranenborg,

kuultuaan julkisasiamiehen 26.10.2023 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

1        Ennakkoratkaisupyynnöt koskevat luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 82 artiklan tulkintaa.

2        Nämä pyynnöt on esitetty kahdessa asiassa, joissa vastakkain ovat yhtäältä JU ja SO ja toisaalta Scalable Capital GmbH ja joissa on kyse sellaisen aineettoman vahingon korvaamisesta, jota JU ja SO väittävät aiheutuneen siitä, että kolmas osapuoli, jonka identiteetti ei ole tiedossa, on varastanut heidän kyseisen yhtiön hallinnoimaan kaupankäyntisovellukseen tallennetut henkilötietonsa.

 Asiaa koskevat oikeussäännöt

3        Yleisen tietosuoja-asetuksen johdanto-osan 75, 85 ja 146 perustelukappaleessa todetaan seuraavaa:

”(75)      Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen, pseudonymisoinnin luvattomaan purkautumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista haittaa; jos rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä hallitsemasta omia henkilötietojaan; jos käsitellään sellaisia henkilötietoja, jotka paljastavat rodun tai etnisen alkuperän, poliittisia mielipiteitä, uskonnollisen tai filosofisen vakaumuksen ja ammattiliiton jäsenyyden, tai käsitellään geneettisiä tietoja tai terveyttä ja seksuaalista käyttäytymistä tai rikostuomioita ja rikoksia tai niihin liittyviä turvaamistoimenpiteitä koskevia tietoja; jos arvioidaan henkilökohtaisia ominaisuuksia, erityisesti jos kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä, henkilökohtaisista mieltymyksistä tai kiinnostuksen kohteista, luotettavuudesta tai käyttäytymisestä, sijainnista tai liikkeistä; jos käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja; tai jos käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää.

– –

(85)      Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai omien oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton purkautuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. – –

– –

(146)– – Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. – – Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. – –”

4        Kyseisen asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

1)      ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; – –

– –

7)      ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot;

– –

10)      ’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,

– –

12)      ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

– –”

5        Yleisen tietosuoja-asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamisen”, 1–3 kohdassa säädetään seuraavaa:

”1.      Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2.      Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. Henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tämän asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.

3.      Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.”

 Pääasiat ja ennakkoratkaisukysymykset

6        Scalable Capital, joka on Saksan oikeuden mukaan perustettu yhtiö, hallinnoi kaupankäyntisovellusta (trading app), jossa pääasioiden kantajat JU ja SO olivat avanneet tilin. JU ja SO tallensivat tätä varten omille tileilleen tiettyjä henkilötietoja, joita olivat erityisesti heidän nimensä, syntymäaikansa, posti- ja sähköpostiosoitteensa sekä sähköinen jäljennös heidän henkilötodistuksestaan. Pääasioiden kantajat maksoivat näiden tilien avaamiseen edellytetyn useiden tuhansien eurojen suuruisen summan.

7        Vuoden 2020 aikana pääasioiden kantajien henkilötiedot ja arvopaperitalletuksia koskevat tiedot joutuivat kolmansien osapuolten, joiden identiteetti ei edelleenkään ole tiedossa, hakkeroinnin kohteeksi. Scalable Capitalin mukaan kyseisiä henkilötietoja ei ole tähän päivään mennessä käytetty väärin.

8        Tässä tilanteessa pääasioiden kantajat nostivat Amtsgericht Münchenissä (Münchenin alioikeus, Saksa), joka on ennakkoratkaisua pyytänyt tuomioistuin, kanteen, jossa vaaditaan korvaamaan se aineeton vahinko, jonka he väittävät heille aiheutuneen heidän henkilötietojensa varastamisen vuoksi.

9        Ennakkoratkaisua pyytänyt tuomioistuin toteaa ensinnäkin esittäneensä kysymyksensä sen johdosta, että saksalaisissa tuomioistuimissa on omaksuttu erilaisia lähestymistapoja arvioitaessa tämän tyyppisessä tilanteessa myönnettävää vahingonkorvausta. Tämän seurauksena tapauksissa, jotka vastaavat pääasioissa kyseessä olevia tapauksia, myönnetyn rahamääräisen korvauksen määrä on vaihdellut merkittävästi etenkin siitä riippuen, onko mahdollinen varoittava vaikutus otettu huomioon. Ennakkoratkaisua pyytänyt tuomioistuin huomauttaa, että nyt käsiteltävissä asioissa kyseessä olevien tietojen menettäminen koskee useita kymmeniä tuhansia henkilöitä ja että yhtenäisen arviointimenetelmän vahvistaminen on siis tarpeen.

10      Ennakkoratkaisua pyytänyt tuomioistuin nojautuu toiseksi aineettoman vahingon arvioinnin osalta Saksan oikeuteen ja tekee eron ”vahingon korvaamista” koskevan tehtävän ja ”henkilökohtaista tyydyttämistä” koskevan tehtävän välillä. Vahingonkorvaustehtävällä pyritään sen mukaan väitetystä vahingosta aiheutuneiden ja odotettavissa olevien seurauksien korvaamiseen, kun taas henkilökohtaista tyydyttämistä koskevalla tehtävällä pyritään vahingon aiheutumisesta johtuvan epäoikeudenmukaisuuden tunteen neutralisoimiseen. Se toteaa, että Saksan oikeuden mukaan tämä tyydyttämistehtävä on vain liitännäisessä osassa, ja katsoo, että nyt käsiteltävissä asioissa tällä tehtävällä ei saa olla mitään vaikutusta kantajien vaatiman vahingonkorvauksen laskemiseen.

11      Ennakkoratkaisua pyytänyt tuomioistuin selittää kolmanneksi, ettei Saksan oikeudessa ole taulukkoa, jonka avulla voitaisiin vahvistaa myönnettävän vahingonkorvauksen määrä riippuen niistä tilanteista, joissa sitä vaaditaan. On kuitenkin olemassa useita yksittäistapauksissa annettuja päätöksiä, jotka mahdollistavat viitekehyksen vahvistamisen, mikä johtaa korvausten määrien jonkinlaiseen systematisoitavuuteen. Saksan oikeusjärjestyksen mukaan persoonallisuusoikeuksien loukkaukset korvataan tältä osin rahassa ainoastaan, jos nämä loukkaukset ovat erityisen vakavia. Arvioiminen rahana on objektiivisempaa ruumiinvammoista suoritettavien korvausten osalta. Ennakkoratkaisua pyytänyt tuomioistuin on siis sitä mieltä, että tietojen menettämisellä pitäisi olla vähemmän painoarvoa kuin fyysisillä vammoilla.

12      Ennakkoratkaisua pyytänyt tuomioistuin pohtii neljänneksi mahdollisuutta myöntää vähäisiä korvauksia, jotka voitaisiin kokea symbolisiksi, jos yleisen tietosuoja-asetuksen rikkomiseen liittyvä vahinko on vähäinen.

13      Ennakkoratkaisua pyytänyt tuomioistuin huomauttaa viidenneksi, että pääasioiden oikeudenkäynnin asianosaiset tulkitsevat eri tavalla identiteettivarkauden käsitettä. Se katsoo tältä osin, että kyseessä on identiteettivarkaus vasta silloin, kun kolmas osapuoli käyttää laittomasti saatuja tietoja anastaakseen asianomaisen henkilön identiteetin.

14      Amtsgericht München on päättänyt tässä tilanteessa lykätä asian käsittelyä asioissa C‑182/22 ja C‑189/22 ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset, jotka on muotoiltu samalla tavalla näissä kummassakin asiassa:

”1)      Onko yleisen tietosuoja asetuksen 82 artiklaa tulkittava siten, että oikeus korvauksen saamiseen ei ole luonteeltaan seuraamus myöskään mitattaessa sen määrää, eikä sillä varsinkaan ole yleis- tai erityisestävää tehtävää, vaan oikeudella korvauksen saamiseen on vain vahingonkorvaustehtävä ja tilanteen mukaan tyydyttämistehtävä?

2)      Onko mitattaessa oikeutta korvaukseen aineettomasta vahingosta lähdettävä siitä, että oikeudella korvauksen saamiseen on myös erillinen tyydyttämistehtävä – millä tarkoitetaan tässä tapauksessa vahinkoa kärsineen yksityiselämän piiriin kuuluvaa intressiä siihen, että vahingon aiheuttaneesta käyttäytymisestä määrätään rangaistus, vai onko oikeudella korvauksen saamiseen vain vahingonkorvaustehtävä – millä tarkoitetaan tässä tapauksessa aiheutuneiden vahinkojen korvaamiseen liittyvää tehtävää?

Jos on lähdettävä siitä, että oikeudella korvaukseen aineettomasta vahingosta on sekä vahingonkorvaustehtävä että tyydyttämistehtävä: Onko sitä mitattaessa lähdettävä siitä, että vahingonkorvaustehtävällä on perustavanlaatuinen tai ainakin sääntö–poikkeus–suhteeseen perustuva etusija tyydyttämistehtävään nähden? Johtaako tämä siihen, että tyydyttämistehtävä tulee kyseeseen vain silloin, jos kyseessä ovat tahalliset tai törkeään tuottamukseen perustuvat loukkaukset?

Jos oikeudella korvaukseen aineettomasta vahingosta ei ole tyydyttämistehtävää: Johtavatko sitä mitattaessa vain tahalliset tai törkeään tuottamukseen perustuvat tietosuojaloukkaukset syyllisyyden myötävaikutusta arvioitaessa lisäseuraamuksiin?

3)      Onko mitattaessa aineellisesta vahingosta suoritettavaa korvausta lähdettävä siitä, että on olemassa perustavanlaatuinen etusijajärjestys tai ainakin sääntö–poikkeus–suhde, jonka yhteydessä tietosuojaloukkauksesta johtuvalla loukkaantumiskokemuksella on vähemmän painoarvoa kuin ruumiinvammaan liittyvällä loukkaantumis- ja kipukokemuksella?

4)      Jos on aiheutunut vahinkoa, voiko kansallinen tuomioistuin määrätä sen perusteella, että vahinko ei ole vakava, aineellisesti vain vähäiseksi jäävän ja siten tilanteen mukaan vahinkoa kärsineen kannalta tai yleisesti vain symboliseksi koettavan vahingonkorvauksen?

5)      Onko aineettomasta vahingosta suoritettavan korvauksen seurauksia arvioitaessa lähdettävä siitä, että kyseessä on yleisen tietosuoja asetuksen johdanto-osan 75 perustelukappaleessa tarkoitettu identiteettivarkaus vasta silloin, jos rikollinen on tosiasiallisesti ottanut asianomaisen identiteetin eli on siis jollain tavoin esiintynyt asianomaisena henkilönä, vai muodostaako jo se, että rikollinen on saanut haltuunsa tietoja, joiden perusteella asianomainen voidaan tunnistaa, tällaisen identiteettivarkauden?”

 Asioiden käsittelyn vaiheet unionin tuomioistuimessa

15      Unionin tuomioistuimen presidentin 19.4.2022 tekemällä päätöksellä asiat C‑182/22 ja C‑189/22 yhdistettiin asian käsittelyn kirjallista ja suullista vaihetta sekä tuomion antamista varten.

16      Unionin tuomioistuimen presidentti hylkäsi 1.6.2022 Scalable Capitalin unionin tuomioistuimen työjärjestyksen 95 artiklan 2 kohdan nojalla esittämän pyynnön tunnistetietojen poistamisesta.

 Ennakkoratkaisupyyntöjen tutkittavaksi ottaminen

17      Scalable Capital väittää lähinnä, ettei nyt käsiteltäviä ennakkoratkaisupyyntöjä voida ottaa tutkittaviksi, koska niillä ei ole vaikutusta pääasioiden ratkaisemiseen. Se katsoo, ettei sen kaltaista tietojen hallitsemiskyvyn abstraktia menettämistä, josta nyt käsiteltävissä asioissa on kyse, voida luonnehtia yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa tarkoitetuksi ”vahingoksi”, kun tällaisesta tietojen hallitsemiskyvyn menettämisestä ei ole ollut konkreettista seurausta ja kun siis kyseisen 82 artiklan soveltamisedellytykset eivät ole täyttyneet. Tällainen luonnehdinta merkitsisi näet sitä, että asetuksen minkä tahansa rikkomisen katsotaan johtavan siihen, että vahinkoa oletetaan aiheutuneen, mikä on ristiriidassa yleisen tietosuoja-asetuksen 82 artiklan sanamuodon, yleisen rakenteen ja syntyhistorian kanssa.

18      Vakiintuneesta oikeuskäytännöstä ilmenee tältä osin, että yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta, jolloin olettamana on, että niillä on merkitystä. Jos siis esitetty kysymys koskee unionin oikeussäännön tulkintaa tai pätevyyttä, unionin tuomioistuimella on lähtökohtaisesti velvollisuus vastata siihen, paitsi jos on ilmeistä, että pyydetyllä unionin oikeuden tulkitsemisella ei ole mitään yhteyttä pääasian tosiseikkoihin tai kohteeseen, jos kyseinen ongelma on luonteeltaan hypoteettinen tai jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyyn kysymykseen (ks. tuomio 5.5.2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, 43 kohta ja tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 23 kohta).

19      Nyt käsiteltävissä asioissa on muistutettava, että kun ei ole ilmeistä, ettei unionin oikeussäännön tulkitsemisella ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävänä olevan asian tosiseikkoihin tai kohteeseen, väite, jonka mukaan kyseistä oikeussääntöä ei sovelleta pääasiassa, ei liity ennakkoratkaisupyynnön tutkittavaksi ottamiseen vaan se koskee esitettyjen kysymysten aineellista arviointia (ks. vastaavasti tuomio 13.7.2006, Manfredi ym., C‑295/04–C‑298/04, EU:C:2006:461, 30 kohta; tuomio 4.7.2019, Kirschstein, C‑393/17, EU:C:2019:563, 28 kohta ja tuomio 24.7.2023, Lin, C‑107/23 PPU, EU:C:2023:606, 66 kohta).

20      Tästä seuraa, että nyt käsiteltävänä olevat ennakkoratkaisupyynnöt voidaan ottaa tutkittaviksi.

 Ennakkoratkaisukysymysten tarkastelu

 Ensimmäinen kysymys ja toisen kysymyksen ensimmäinen osa

21      Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään ja toisen kysymyksensä ensimmäisellä osalla, jotka on tutkittava yhdessä, lähinnä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että kyseisen säännöksen mukaisella oikeudella korvauksen saamiseen on vahingonkorvaustehtävä siltä osin kuin tähän säännökseen perustuvalla rahamääräisellä korvauksella on voitava korvata yleisen tietosuoja-asetuksen rikkomisesta aiheutunut vahinko täysimääräisesti vai onko sillä on myös rankaiseva tehtävä, jolla pyritään etenkin tyydyttämään asianomaisen henkilön yksittäiset intressit.

22      Unionin tuomioistuin on jo katsonut tältä osin, että yleisen tietosuoja-asetuksen 82 artiklan tehtävänä ei ole rankaiseminen vaan vahingon korvaaminen päinvastoin kuin muiden, yhtä lailla tämän asetuksen VIII luvussa olevien säännösten eli 83 ja 84 artiklan, joiden tarkoitus on puolestaan olennaisesti rangaista, koska niiden nojalla voidaan määrätä hallinnollisia seuraamusmaksuja ja muita seuraamuksia. Mainitussa 82 artiklassa vahvistettujen sääntöjen ja 83 ja 84 artiklassa vahvistettujen sääntöjen välinen suhde osoittaa, että näiden kahden säännösryhmän välillä on ero ja että ne myös täydentävät toisiaan siltä osin kuin on kyse kannustimista noudattaa yleistä tietosuoja-asetusta, kun otetaan huomioon, että jokaisen oikeus vaatia korvausta vahingosta vahvistaa kyseisessä asetuksessa säädettyjen suojasääntöjen toimivuutta ja on omiaan tekemään lainvastaisen toiminnan toistamisen vähemmän houkuttelevaksi (ks. mm. tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 38 ja 40 kohta sekä tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 59 kohta).

23      Yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on siis tulkittava siten, että kyseisen säännöksen mukaisella oikeudella korvauksen saamiseen on etenkin aineettoman vahingon tapauksessa yksinomaan vahingonkorvaustehtävä siltä osin kuin tähän säännökseen perustuvalla rahamääräisellä korvauksella on voitava korvata tämän asetuksen rikkomisesta konkreettisesti aiheutunut vahinko täysimääräisesti, eikä sillä ole varoittavaa tai rankaisevaa tehtävää (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 57 ja 58 kohta sekä tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 61 kohta).

24      Ensimmäiseen kysymykseen ja toisen kysymyksen ensimmäiseen osaan on näin ollen vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että kyseisen säännöksen mukaisella oikeudella korvauksen saamiseen on yksinomaan vahingonkorvaustehtävä, koska tähän säännökseen perustuvalla rahamääräisellä korvauksella on voitava korvata aiheutunut vahinko täysimääräisesti.

 Toisen kysymyksen toinen osa

25      Kun otetaan huomion ensimmäiseen kysymykseen ja toisen kysymyksen ensimmäiseen osaan annettu vastaus, toisen kysymyksen toiseen osaan ei ole tarpeen vastata.

 Toisen kysymyksen kolmas osa

26      Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisen kysymyksensä kolmannella osalla lähinnä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että siinä edellytetään, että kyseisen asetuksen rikkomisen, johon rekisterinpitäjä on syyllistynyt, vakavuusaste ja mahdollinen tahallisuus otetaan huomioon määritettäessä tämän säännöksen perusteella vahingosta maksettavaa korvausta.

27      Yleisen tietosuoja-asetuksen 82 artiklan nojalla mahdollisesti suoritettavan korvauksen arvioinnista on todettava, että koska tässä asetuksessa ei ole tätä koskevaa säännöstä, kansallisten tuomioistuinten on sovellettava kunkin jäsenvaltion kansallisia oikeussääntöjä, jotka koskevat rahamääräisen korvauksen suuruutta, kunhan unionin oikeuden vastaavuus- ja tehokkuusperiaatetta noudatetaan (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 53, 53 ja 40 kohta sekä tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 53 kohta).

28      On kuitenkin korostettava yhtäältä, että yleisen tietosuoja-asetuksen 82 artiklaan perustuvan rekisterinpitäjän korvausvastuun syntymisen edellytyksenä on muun muassa sen tuottamus, joka on olettamana, ellei rekisterinpitäjä osoita, ettei vahinkoa aiheuttanutta tekoa voida miltään osin lukea sen syyksi, ja toisaalta, että kyseisessä 82 artiklassa ei edellytetä, että tämän tuottamuksen vakavuusaste otetaan huomioon määritettäessä tämän säännöksen perusteella aineettomasta vahingosta maksettavan korvauksen määrää (tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 103 kohta ja tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 52 kohta).

29      Se, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyllä korvauksen saamista koskevalla oikeudella on yksinomaan vahingonkorvaustehtävä, estää lisäksi ottamasta huomioon kyseisen asetuksen rikkomisen, johon rekisterinpitäjän oletetaan syyllistyneen, mahdollisen tahallisuuden määritettäessä tämän säännöksen perusteella aineettomasta vahingosta maksettavan korvauksen määrää. Kyseinen määrä on kuitenkin määritettävä siten, että tämän asetuksen rikkomisesta konkreettisesti aiheutunut vahinko korvataan täysimääräisesti (ks. analogisesti tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 102 kohta ja tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 54 kohta).

30      Edellä esitetyn perusteella toisen kysymyksen kolmanteen osaan on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että siinä ei edellytetä, että kyseisen asetuksen rikkomisen, johon rekisterinpitäjä on syyllistynyt, vakavuusaste ja mahdollinen tahallisuus otetaan huomioon määritettäessä tämän säännöksen perusteella vahingosta maksettavaa korvausta.

 Kolmas kysymys

31      Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että korvauksen saamista aineettomasta vahingosta koskevan oikeuden nojalla maksettavan vahingonkorvauksen määrää määritettäessä on katsottava, että tällainen henkilötietojen tietoturvaloukkauksesta aiheutuva vahinko on luonteeltaan vähemmän tärkeä kuin ruumiinvamma.

32      Tältä osin on syytä muistuttaa, että vakiintuneen oikeuskäytännön mukaan asiaa koskevien unionin sääntöjen puuttuessa kunkin jäsenvaltion asiana on menettelyllisen itsemääräämisoikeuden periaatteen nojalla vahvistaa sisäisessä oikeusjärjestyksessään menettelysäännöt sellaisia oikeussuojakeinoja varten, joilla pyritään turvaamaan yksityisillä olevien oikeuksien suojaaminen, kuitenkin sillä edellytyksellä, että nämä menettelysäännöt eivät ole unionin oikeuden alaisuuteen kuuluvissa tilanteissa epäedullisempia kuin samankaltaisia kansallisen oikeuden piiriin kuuluvia tilanteita koskevat säännöt (vastaavuusperiaate) eivätkä ne ole sellaisia, että unionin oikeudessa annettujen oikeuksien käyttäminen on käytännössä mahdotonta tai suhteettoman vaikeaa (tehokkuusperiaate) (ks. vastaavasti tuomio 13.12.2017, El Hassani, C‑403/16, EU:C:2017:960, 26 kohta ja tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 53 kohta).

33      Nyt käsiteltävissä asioissa on korostettava, että yleisessä tietosuoja-asetuksessa ei ole säännöstä, jolla määritettäisiin säännöt, jotka koskevat sen vahingonkorvauksen arviointia, jota kyseisen asetuksen 4 artiklan 1 alakohdassa tarkoitettu rekisteröity voi vaatia sen 82 artiklan nojalla, jos mainitun asetuksen rikkomisesta on aiheutunut hänelle vahinkoa. Koska unioni ei ole antanut asiaa koskevia sääntöjä, jokaisen jäsenvaltion sisäisessä oikeusjärjestyksessä on siten vahvistettava kanteita, joilla pyritään turvaamaan yksityisten kyseiseen 82 artiklaan perustuvat oikeudet, koskevat yksityiskohtaiset säännöt ja erityisesti perusteet tässä yhteydessä maksettavan korvauksen suuruuden määrittämiseksi, sillä edellytyksellä, että mainittuja vastaavuus- ja tehokkuusperiaatteita noudatetaan (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 54 kohta).

34      Koska mikään unionin tuomioistuimen käytettävissä olevaan asiakirja-aineistoon sisältyvä seikka ei viittaa siihen, että vastaavuusperiaatteella voisi olla merkitystä nyt esillä olevissa pääasioissa, on keskityttävä tehokkuusperiaatteeseen. Ennakkoratkaisua pyytäneen tuomioistuimen on tältä kannalta katsoen selvitettävä, ovatko Saksan oikeudessa säädetyt yksityiskohtaiset säännöt yleisen tietosuoja-asetuksen 82 artiklassa vahvistettuun korvauksen saamista koskevaan oikeuteen perustuvien vahingonkorvausten tuomioistuimessa tapahtuvaa määrittämistä varten sellaisia, että unionin oikeudessa ja tarkemmin sanottuna kyseisessä asetuksessa annettujen oikeuksien käyttäminen on käytännössä mahdotonta tai suhteettoman vaikeaa.

35      Tämän tuomion 23 kohdassa esitetystä oikeuskäytännöstä seuraa tältä osin, että kun otetaan huomioon se, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyllä korvauksen saamista koskevalla oikeudella on yksinomaan vahingonkorvaustehtävä, tähän säännökseen perustuvaa rahamääräistä korvausta on pidettävä ”täytenä ja tosiasiallisena”, jos sillä voidaan korvata mainitun asetuksen rikkomisesta konkreettisesti aiheutunut vahinko täysimääräisesti.

36      Tältä kannalta katsoen mainitun asetuksen johdanto-osan 146 perustelukappaleessa todetaan niin ikään, että ”vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon”, ja että ”rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta”.

37      On myös korostettava, että yleisen tietosuoja-asetuksen johdanto-osan 75 ja 85 perustelukappaleessa esitetään eri seikkoja, jotka voidaan luonnehtia ”fyysisiksi, aineellisiksi tai aineettomiksi vahingoiksi”, asettamatta niitä etusijajärjestykseen tai toteamatta, että tietoturvaloukkauksesta johtuvat haitat olisivat luonteeltaan vähemmän tärkeitä kuin ruumiinvammat.

38      Jos lähtökohtaisesti oletetaan, että ruumiinvamma on luonteeltaan tärkeämpi kuin aineeton vahinko, tällä saatettaisiin kuitenkin kyseenalaistaa periaate, jonka mukaan aiheutuneesta vahingosta on saatava täysi ja tosiasiallinen korvaus.

39      Edellä esitetyn perusteella kolmanteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että korvauksen saamista aineettomasta vahingosta koskevan oikeuden nojalla maksettavan vahingonkorvauksen määrää määritettäessä on katsottava, että tällainen henkilötietojen tietoturvaloukkauksesta aiheutuva vahinko ei ole luonteeltaan vähemmän tärkeä kuin ruumiinvamma.

 Neljäs kysymys

40      Ennakkoratkaisua pyytänyt tuomioistuin pohtii neljännellä kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että jos on aiheutunut vahinkoa, kansallinen tuomioistuin voi, jos vahinko ei ole vakava, määrätä sen korvattavaksi myöntämällä rekisteröidylle vähäisen korvauksen, joka voitaisiin kokea symboliseksi

41      Heti alkuun on huomautettava, että vakiintuneen oikeuskäytännön mukaan yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että pelkkä kyseisen asetuksen rikkominen ei riitä antamaan oikeutta korvauksen saamiseen, koska aineellisen tai aineettoman vahingon aiheutuminen on yksi tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyn korvauksen saamista koskevan oikeuden kolmesta kumulatiivisesta edellytyksestä samoin kuin se, että kyseistä asetusta on rikottu ja että vahingon ja rikkomisen välillä on syy-yhteys (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 32 kohta ja tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 34 kohta).

42      Näin ollen henkilön, joka vaatii tämän säännöksen perusteella korvausta aineettomasta vahingosta, on osoitettava paitsi tämän asetuksen säännösten rikkominen myös se, että tästä rikkomisesta on aiheutunut hänelle tällaista vahinkoa, jota ei siis voida olettaa aiheutuneen pelkästään siitä syystä, että näitä säännöksiä on rikottu (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko) C‑300/21, EU:C:2023:370, 42 ja 50 kohta ja tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 35 kohta).

43      Kun henkilö onnistuu näyttämään, että yleisen tietosuoja-asetuksen rikkominen on aiheuttanut hänelle kyseisen asetuksen 82 artiklassa tarkoitettua vahinkoa, tämän tuomion 33 kohdasta ilmenee lähinnä, että vahingonkorvauksen, joka määrätään maksettavaksi sellaisten kanteiden yhteydessä, joilla pyritään turvaamaan yksityisten kyseiseen artiklaan perustuvat oikeudet, arviointiperusteet on vahvistettava jokaisen jäsenvaltion sisäisessä oikeusjärjestyksessä siten, että tällaisen vahingonkorvauksen on oltava täysi ja tosiasiallinen.

44      Unionin tuomioistuin on todennut tältä osin, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa ei edellytetä, että kun tämän asetuksen säännösten rikkominen on näytetty toteen, vahinko, johon rekisteröity vetoaa, ylittää ”vähimmäiskynnyksen”, jotta sen perusteella voidaan saada korvausta (ks. vastaavasti tuomio 14.12.2003, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 18 kohta).

45      Tällaiset seikat eivät kuitenkaan sulje pois sitä, että kansalliset tuomioistuimet voivat myöntää määrältään vähäisen vahingonkorvauksen, kunhan kyseinen vahingonkorvaus korvaa täysimääräisesti vahingon, mikä ennakkoratkaisua pyytäneen tuomioistuimen asiana on selvittää tämän tuomion 43 kohdassa mieleen palautettuja periaatteita noudattaen.

46      Tästä seuraa, että neljänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että jos on aiheutunut vahinkoa, kansallinen tuomioistuin voi, jos vahinko ei ole vakava, määrätä sen korvattavaksi myöntämällä rekisteröidylle vähäisen korvauksen, kunhan korvauksella voidaan täysimääräisesti korvata aiheutunut vahinko.

 Viides kysymys

 Tutkittavaksi ottaminen

47      Euroopan komissio on pohtinut kirjallisissa huomautuksissaan viidennen kysymyksen merkityksellisyyttä pääasioissa annettavan vastauksen kannalta siltä osin kuin se toteaa, ettei ennakkoratkaisua pyytänyt tuomioistuin ole viitannut mihinkään unionin oikeuden konkreettiseen säännöksen tai määräykseen.

48      Tältä osin on todettava, että viides kysymys koskee yleisen tietosuoja-asetuksen johdanto-osan 75 perustelukappaleessa tarkoitettua identiteettivarkauden käsitettä eikä siinä ole kyse muodollisesti kyseisen asetuksen 82 artiklasta. Pelkästään se, että unionin tuomioistuinta pyydetään lausumaan abstraktisti ja yleisesti, ei voi kuitenkaan aiheuttaa ennakkoratkaisupyynnön tutkimatta jättämistä (tuomio 15.11.2007, International Mail Spain, C‑162/06, EU:C:2007:681, 24 kohta).

49      Ennakkoratkaisua pyytänyt tuomioistuin pyytää kuitenkin tällä kysymyksellä unionin tuomioistuinta tulkitsemaan yleisen tietosuoja-asetuksen johdanto-osan 75 perustelukappaleessa olevaa identiteettivarkauden käsitettä yleisen tietosuoja-asetuksen 82 artiklassa säädetyn rahamääräisen korvauksen määrän määrittämiseksi. Mainittu kysymys koskee siis todellakin unionin oikeuden säännöstä. Vastauksella tähän kysymykseen on lisäksi merkitystä myös siltä osin kuin ennakkoratkaisua pyytänyt tuomioistuin ja pääasioiden oikeudenkäyntien asianosaiset eivät ole yhtä mieltä tämän käsitteen määritelmästä arvioitaessa pääasioissa aiheutunutta vahinkoa.

50      Viides kysymys on näin ollen otettava tutkittavaksi.

 Asiakysymys

51      Vakiintuneen oikeuskäytännön mukaan kansallisten tuomioistuinten ja unionin tuomioistuimen välille SEUT 267 artiklalla luodussa yhteistyömenettelyssä unionin tuomioistuimen tehtävänä on antaa kansalliselle tuomioistuimelle hyödyllinen vastaus, jonka perusteella kansallinen tuomioistuin voi ratkaista siinä vireillä olevan asian. Unionin tuomioistuimen on tätä silmällä pitäen tarvittaessa muotoiltava sille esitetyt kysymykset uudelleen. Unionin tuomioistuin saattaa myös joutua ottamaan huomioon sellaisia unionin oikeussääntöjä, joihin kansallinen tuomioistuin ei ole ennakkoratkaisukysymyksessään viitannut (tuomio 7.9.2023, Groenland Poultry, C‑169/22, EU:C:2023:638, 47 kohta oikeuskäytäntöviittauksineen).

52      Nyt käsiteltävissä asioissa viides kysymys koskee yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädettyä oikeutta korvauksen saamiseen ja erityisesti yleisen tietosuoja-asetuksen johdanto-osan 75 perustelukappaleessa olevaa identiteettivarkauden käsitettä. On kuitenkin huomautettava, että 75 perustelukappaleen lisäksi tämä käsite mainitaan myös kyseisen asetuksen johdanto-osan 85 perustelukappaleessa.

53      On siis katsottava, että ennakkoratkaisua pyytänyt tuomioistuin tiedustelee viidennellä kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa, luettuna kyseisen asetuksen johdanto-osan 75 ja 85 perustelukappaleen valossa, tulkittava siten, että identiteettivarkauden käsitteen tunnusmerkistön täyttyminen ja oikeuden saaminen korvaukseen aineettomasta vahingosta kyseisen säännöksen nojalla edellyttää, että kolmas osapuoli todella anastaa sen rekisteröidyn identiteetin, jonka henkilötiedot on varastettu, vai täyttyykö tällaisen identiteettivarkauden tunnusmerkistö, jos kyseisessä kolmannella osapuolella on tietoja, joiden nojalla rekisteröity voidaan tunnistaa.

54      Identiteettivarkauden käsitettä ei ole määritelty yleisessä tietosuoja-asetuksessa. Kyseisen asetuksen johdanto-osan 75 perustelukappaleessa mainitaan kuitenkin ”identiteettivarkaus” ja ”[identiteetti]petos” osana luetteloa, joka ei ole tyhjentävä, niistä henkilötietojen käsittelyn seurauksista, jotka voivat aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja. Asetuksen johdanto-osan 85 perustelukappaleessa viitataan uudelleen ”identiteettivarkauteen” tai ”[identiteetti]petokseen” yhdessä sellaisten fyysisten, aineellisten tai aineettomien vahinkojen luettelossa, jotka voivat aiheutua henkilötietojen tietoturvaloukkauksesta.

55      Kuten julkisasiamies on ratkaisuehdotuksensa 29 kohdassa huomauttanut, yleisen tietosuoja-asetuksen johdanto-osan 75 ja 85 perustelukappaleen eri kieliversioissa mainitaan ilmaisut ”identiteettivarkaus”, ”identiteetin anastaminen”, ”identiteettipetos”, ”identiteetin väärinkäyttö” ja ”identiteetin käyttö lainvastaisiin tarkoituksiin”, joita käytetään niissä erotuksetta. Identiteettivarkauden ja identiteettipetoksen käsitteet ovat siis päällekkäisiä eikä niiden välillä voida tehdä mitään eroa. Nämä kaksi viimeksi mainittua käsitettä perustelevat olettaman, joka koskee tahtoa ottaa haltuunsa sellaisen henkilön identiteetti, jonka henkilötiedot on aiemmin varastettu.

56      Kuten myös julkisasiamies on ratkaisuehdotuksensa 30 kohdassa huomauttanut, yleisen tietosuoja-asetuksen johdanto-osan 75 ja 85 perustelukappaleessa olevissa luetteloissa mainituista eri käsitteiden joukossa ”hallitsemiskyvyn menettäminen” tai se, että ”est[etään] – – hallitsemasta” henkilötietoja, on lisäksi erotettu ”identiteettivarkaudesta” tai ”[identiteetti]petoksesta”. Tästä seuraa, ettei pääsyä henkilötietoihin ja niiden hallitsemista, jotka voitaisiin rinnastaa henkilötietojen varkauteen, voida sinällään rinnastaa ”identiteettivarkauteen” tai ”[identiteetti]petokseen”. Henkilötietojen varkaus ei toisin sanoen merkitse sinällään identiteettivarkautta tai ‑petosta.

57      Tältä osin on kuitenkin täsmennettävä, että henkilötietojen varastamisesta aiheutuneen aineettoman vahingon korvaamista yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla ei voida rajoittaa niihin tapauksiin, joissa osoitetaan, että tällainen tietovarkaus on tämän jälkeen johtanut identiteettivarkauteen tai ‑petokseen. Rekisteröidyn henkilötietojen varastamisen johdosta syntyy näet oikeus saada korvausta aiheutuneesta aineettomasta vahingosta yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla, jos kolme kyseisessä säännöksessä vahvistettua edellytystä täyttyvät eli henkilötietoja on käsitelty yleisen tietosuoja-asetuksen säännösten vastaisesti, rekisteröidylle on aiheutunut vahinkoa ja tämän lainvastaisen käsittelyn ja vahingon välillä on syy-yhteys (ks. vastaavasti tuomio 4.5.2.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko) (C‑300/21, EU:C:2023:370, 32 ja 36 kohta).

58      Tämän vuoksi viidenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa, luettuna kyseisen asetuksen johdanto-osan 75 ja 85 perustelukappaleen valossa, on tulkittava siten, että identiteettivarkauden käsitteen tunnusmerkistön täyttyminen ja oikeuden saaminen korvaukseen aineettomasta vahingosta kyseisen säännöksen nojalla edellyttää, että kolmas osapuoli todella anastaa sen rekisteröidyn identiteetin, jonka henkilötiedot on varastettu. Henkilötietojen varastamisesta aiheutuneen aineettoman vahingon korvaamista kyseisen säännöksen nojalla ei kuitenkaan voida rajoittaa niihin tapauksiin, joissa osoitetaan, että tällainen tietovarkaus on tämän jälkeen johtanut identiteettivarkauteen tai ‑petokseen.

 Oikeudenkäyntikulut

59      Pääasioiden asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevien asioiden käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asiat seuraavasti:

1)      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 82 artiklan 1 kohtaa

on tulkittava siten, että

kyseisen säännöksen mukaisella oikeudella korvauksen saamiseen on yksinomaan vahingonkorvaustehtävä, koska tähän säännökseen perustuvalla rahamääräisellä korvauksella on voitava korvata aiheutunut vahinko täysimääräisesti.

2)      Asetuksen 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

siinä ei edellytetä, että kyseisen asetuksen rikkomisen, johon rekisterinpitäjä on syyllistynyt, vakavuusaste ja mahdollinen tahallisuus otetaan huomioon määritettäessä tämän säännöksen perusteella vahingosta maksettavaa korvausta.

3)      Asetuksen 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

korvauksen saamista aineettomasta vahingosta koskevan oikeuden nojalla maksettavan vahingonkorvauksen määrää määritettäessä on katsottava, että tällainen henkilötietojen tietoturvaloukkauksesta aiheutuva vahinko ei ole luonteeltaan vähemmän tärkeä kuin ruumiinvamma.

4)      Asetuksen 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

jos on aiheutunut vahinkoa, kansallinen tuomioistuin voi, jos vahinko ei ole vakava, määrätä sen korvattavaksi myöntämällä rekisteröidylle vähäisen korvauksen, kunhan korvauksella voidaan täysimääräisesti korvata aiheutunut vahinko.

5)      Asetuksen 2016/679 82 artiklan 1 kohtaa, luettuna kyseisen asetuksen johdanto-osan 57 ja 85 perustelukappaleen valossa,

on tulkittava siten, että

identiteettivarkauden käsitteen tunnusmerkistön täyttyminen ja oikeuden saaminen korvaukseen aineettomasta vahingosta kyseisen säännöksen nojalla edellyttää, että kolmas osapuoli todella anastaa sen rekisteröidyn identiteetin, jonka henkilötiedot on varastettu. Henkilötietojen varastamisesta aiheutuneen aineettoman vahingon korvaamista kyseisen säännöksen nojalla ei kuitenkaan voida rajoittaa niihin tapauksiin, joissa osoitetaan, että tällainen tietovarkaus on tämän jälkeen johtanut identiteettivarkauteen tai petokseen.

Allekirjoitukset

*      Oikeudenkäyntikieli: saksa.