Language of document : ECLI:EU:C:2024:536

DOMSTOLENS DOM (Tredje Afdeling)

20. juni 2024 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 82, stk. 1 – ret til erstatning for skade forvoldt af en behandling af personoplysninger i strid med denne forordning – begrebet »immateriel skade« – betydningen af den lidte skades alvor – opgørelse af erstatningsbeløbet – påstand om erstatning for en immateriel skade støttet på en frygt – de kriterier, der er fastsat for administrative bøder i artikel 83, finder ikke anvendelse – afskrækkende funktion – vurdering i tilfælde af samtidige overtrædelser af denne forordning og national ret«

I sag C-590/22,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Amtsgericht Wesel (byretten i Wesel, Tyskland) ved afgørelse af 5. august 2022, indgået til Domstolen den 9. september 2022, i sagen

AT,

BT

mod

PS GbR,

VG,

MB,

DH,

WB,

GS,

har

DOMSTOLEN (Tredje Afdeling),

sammensat af afdelingsformanden, K. Jürimäe, Domstolens præsident, K. Lenaerts, som fungerende dommer for Tredje Afdeling, samt dommerne N. Piçarra, N. Jääskinen (refererende dommer) og M. Gavalec,

generaladvokat: M. Campos Sánchez-Bordona,

justitssekretær: A. Calot Escobar,

på grundlag af den skriftlige forhandling,

efter at der er afgivet indlæg af:

–        Irland ved Chief State Solicitor M. Browne samt A. Joyce og M. Tierney, som befuldmægtigede, bistået af D. Fennelly, BL,

–        Europa-Kommissionen ved A. Bouchagiar, M. Heller og H. Kranenborg, som befuldmægtigede,

og idet Domstolen efter at have hørt generaladvokaten har besluttet, at sagen skal pådømmes uden forslag til afgørelse,

afsagt følgende

Dom

1        Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2        Anmodningen er blevet indgivet i forbindelse med en tvist mellem på den ene side henholdsvis AT og BT, som er sagsøgerne i hovedsagen, og på den anden side PS GbR, der er et skatterådgivningsselskab, samt VG, MB, DH, WB og GS, som er selskabsdeltagere i PS, vedrørende sagsøgerne i hovedsagens ret til erstatning i henhold til databeskyttelsesforordningens artikel 82, stk. 1, for de lidelser, som de hævder at have været udsat for som følge af, at deres selvangivelse, der indeholder personoplysninger, er blevet videregivet til tredjemand uden deres samtykke som følge af en fejl begået af PS.

 Retsforskrifter

3        85., 146. og 148. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»(85)      Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person. [...]

[...]

(146)      Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade, som en person måtte lide som følge af behandling, der overtræder denne forordning. Den dataansvarlige eller databehandleren bør være fritaget for erstatningsansvar, hvis den pågældende beviser ikke at være ansvarlig for den forvoldte skade. Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning. Dette berører ikke eventuelle erstatningskrav for skade som følge af overtrædelse af andre bestemmelser i EU-retten eller medlemsstaternes nationale ret. Behandling, der overtræder denne forordning, omfatter også behandling, der overtræder delegerede retsakter og gennemførelsesretsakter vedtaget i henhold til denne forordning og til medlemsstaternes nationale ret, der præciserer bestemmelserne i denne forordning. Registrerede bør have fuld erstatning for den skade, som de har lidt. [...]

[...]

(148)      For at styrke håndhævelsen af reglerne i denne forordning bør der pålægges sanktioner, herunder administrative bøder, for overtrædelse af denne forordning [...]. Der bør dog tages behørigt hensyn til overtrædelsens karakter, alvor og varighed, overtrædelsens eventuelle forsætlige karakter, foranstaltninger, der er truffet for at begrænse den forvoldte skade, graden af ansvar eller eventuelle relevante tidligere overtrædelser, måden, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, overholdelse af foranstaltninger truffet over for den dataansvarlige eller databehandleren, overholdelse af en adfærdskodeks samt andre skærpende eller formildende faktorer. [...]«

4        Forordningens artikel 4 med overskriften »Definitioner« fastsætter:

»I denne forordning forstås ved:

1)      »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); [...]

[...]

7)      »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; [...]

[...]

10)      »tredjemand«: en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger

[...]

12)      »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet

[...]«

5        Følgende fremgår af den nævnte forordnings artikel 79, stk. 1:

»Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.«

6        Databeskyttelsesforordningens artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« bestemmer følgende i stk. 1-3:

»1.      Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2.      Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. [...]

3.      En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.«

7        Databeskyttelsesforordningens artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« bestemmer følgende i stk. 2, 3 og 5:

»2.      [...] Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

a)      overtrædelsens karakter, alvor og varighed under hensyntagen til pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt

b)      hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt

[...]

k)      om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.

3.      Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

[...]

5.      Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

a)      de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5, 6, 7 og 9

b)      de registreredes rettigheder i henhold til artikel 12-22

[...]«

 Tvisten i hovedsagen og de præjudicielle spørgsmål

8        Sagsøgerne i hovedsagen, AT og BT, er skatterådgivningsfirmaet PS’ klienter. De havde informeret rådgivningsfirmaet om en ændring af deres postadresse, som blev registreret i PS’ IT-system til behandling af personoplysninger. PS anvendte derefter sagsøgerne i hovedsagens nye adresse til at fremsende flere skrivelser.

9        Sagsøgerne i hovedsagen gav i juli 2020 PS til opgave at udarbejde deres skatteangivelse for 2019. Da de ikke modtog noget svar, kontaktede de PS, som oplyste, at deres skatteangivelse var blevet sendt afsted med posten den 29. september 2020, uden udtrykkeligt at nævne den adresse, hvortil denne forsendelse var blevet ekspederet.

10      De nye beboere på sagsøgerne i hovedsagens gamle adresse oplyste, at de havde modtaget en konvolut, som var adresseret til sagsøgerne, på adressen, og at de ved en fejl havde åbnet den. En af de nye beboere forklarede, at han, efter at have bemærket, at forsendelsen ikke var adresseret til ham, havde lagt dokumenterne tilbage i kuverten, hvor han havde fundet dem. Han gav herefter konvolutten til nogle nære slægtninge, der boede i nærheden af sagsøgerne i hovedsagens gamle adresse, således at sidstnævnte kunne få den.

11      Da sagsøgerne i hovedsagen fik den pågældende konvolut, konstaterede de, at kun en kopi af skatteangivelsen samt en følgeskrivelse lå heri. De formodede imidlertid, at denne kuvert ligeledes havde indeholdt den originale udgave af denne selvangivelse, som omfattede personoplysninger, herunder deres og deres børns navne og fødselsdatoer, deres skatteidentifikationsnumre, bankoplysninger samt oplysninger om deres tilhørsforhold til et religiøst samfund, om et familiemedlems status som handicappet person, om deres erhverv og arbejdssteder eller om forskellige udgifter afholdt af dem.

12      Den forelæggende ret har i denne henseende præciseret, at det ikke har været muligt at fastslå, hvilke dokumenter der oprindeligt lå i den nævnte konvolut, eller at afgøre, i hvilket omfang de nye beboere på sagsøgerne i hovedsagens tidligere adresse havde fået kendskab til indholdet af samme konvolut eller ej. Den forelæggende ret har ligeledes anført, at fremsendelsen af den pågældende skrivelse til en forkert adresse skyldtes, at PS havde anvendt oplysninger fra en database, hvori sagsøgerne i hovedsagens gamle adresse stadig var angivet.

13      På denne baggrund har sagsøgerne i hovedsagen anlagt sag ved Amtsgericht Wesel (byretten i Wesel, Tyskland), som er den forelæggende ret, med påstand om erstatning på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, for den immaterielle skade, som de mener at have lidt som følge af videregivelsen af deres personoplysninger til tredjemand, og som de opgør til 15 000 EUR.

14      Den forelæggende ret ønsker for det første oplyst, om en ret til erstatning i henhold til databeskyttelsesforordningens artikel 82 – når det gøres gældende, at der foreligger en immateriel skade – kan støttes på den blotte overtrædelse af denne forordnings bestemmelser, idet det præciseres, at det i tysk ret kun er i tilfælde, hvor det er godtgjort, at der foreligger en væsentlig skade, der rækker videre end den blotte overtrædelse af en retlig bestemmelse, at retten til økonomisk erstatning kan anerkendes, for så vidt som denne skade ikke kan erstattes på anden måde.

15      Den forelæggende ret ønsker for det andet oplyst, om frygten for, at personoplysninger er kommet i uautoriserede personers besiddelse, i sig selv kan udgøre en immateriel skade, der kan give ret til en økonomisk erstatning i henhold til databeskyttelsesforordningens artikel 82.

16      Den forelæggende ret har for det tredje anført, at databeskyttelsesforordningens artikel 83 fastsætter kriterier, der gør det muligt på ensartet vis at fastsætte størrelsen af de administrative bøder, der pålægges i tilfælde af overtrædelse af denne forordning. Denne artikel indeholder imidlertid ingen tilsvarende bestemmelse for så vidt angår økonomisk erstatning for immateriel skade. Den forelæggende ret er derfor i tvivl om, hvorvidt disse kriterier kan overføres på området for økonomisk erstatning for immateriel skade i henhold til databeskyttelsesforordningens artikel 82.

17      Den forelæggende ret har for det fjerde anført, at det fremgår af 146. betragtning til databeskyttelsesforordningen, at begrebet »skade« bør fortolkes bredt for at sikre fuld erstatning for den lidte skade. Den forelæggende ret er imidlertid i tvivl om, hvorvidt henvisningen til »fuld« erstatning betyder, at den erstatning, der skal betales for en immateriel skade, skal ansættes på en sådan måde, at der opnås en afskrækkende virkning. De dataansvarlige kan efter omstændighederne blive fristet til ikke at overholde de forpligtelser, der er fastsat i databeskyttelsesforordningen, hvis omkostningerne ved en streng overholdelse af denne forordning viser sig at være højere end de erstatningsbeløb, som de kan komme til at betale i tilfælde af overtrædelse af nævnte forordning.

18      Den forelæggende ret ønsker for det femte og sidste oplyst, om der skal tages hensyn til den samtidige overtrædelse af bestemmelser i databeskyttelsesforordningen og bestemmelser i tysk ret såsom de bestemmelser, der pålægger visse erhvervsdrivende tavshedspligt, ved opgørelsen af den erstatning, der skal betales for immateriel skade i henhold til databeskyttelsesforordningens artikel 82. Den forelæggende ret har anført, at den er i tvivl herom, idet de relevante bestemmelser i tysk ret, der er omhandlet i den foreliggende sag, allerede var i kraft på tidspunktet for vedtagelsen af databeskyttelsesforordningen og derfor ikke kan anses for at være delegerede retsakter eller gennemførelsesretsakter vedtaget i henhold til denne forordning som omhandlet i 146. betragtning hertil.

19      På denne baggrund har Amtsgericht Wesel (byretten i Wesel) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Er det tilstrækkeligt for at begrunde en ret til skadeserstatning som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 1, [...] at en bestemmelse i [forordningen], som beskytter den person, der gør retten gældende, er blevet overtrådt, eller er det påkrævet, at der ud over overtrædelsen af bestemmelserne som sådan er sket en yderligere påvirkning af den person, der gør retten gældende?

2)      Er det i henhold til EU-retten påkrævet for at begrunde en ret til erstatning for immateriel skade som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 1, [...] at der foreligger en påvirkning af en vis vægt?

3)      Er det navnlig tilstrækkeligt for at begrunde en ret til erstatning for immateriel skade som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 1, [...] at den person, der gør retten gældende, frygter, at vedkommendes personoplysninger som følge af overtrædelserne af bestemmelserne i [forordningen] er blevet videregivet til uvedkommende, uden at dette kan fastslås positivt?

4)      Er det i overensstemmelse med EU-retten, hvis den nationale ret ved udmålingen af en erstatning for immateriel skade som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 1, [...] anvender kriterierne i [forordningens] artikel 83, stk. 2, andet punktum, [...] som henset til ordlyden alene gælder for administrative bøder, analogt?

5)      Skal størrelsen af en ret til erstatning for immateriel skade som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 1, [...] også udmåles under hensyntagen til, om der ved størrelsen af den tilkendte ret opnås en afskrækkende virkning og/eller forhindres en »kommercialisering« (kalkuleret accept af administrative bøder/erstatningsbetalinger) af overtrædelser?

6)      Er det i forbindelse med udmålingen af størrelsen af en ret til erstatning for immateriel skade som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 1, [...] i overensstemmelse med EU-retten også at tage hensyn til overtrædelser af nationale retsforskrifter, som har til formål at beskytte personoplysninger, idet der dog ikke er tale om delegerede retsakter eller gennemførelsesretsakter vedtaget i henhold til denne forordning eller til medlemsstaternes nationale ret, der præciserer bestemmelserne i denne forordning?«

 Om de præjudicielle spørgsmål

 Om det første og det andet spørgsmål

20      Den forelæggende ret ønsker med det første og det andet spørgsmål, som skal behandles samlet, nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en overtrædelse af denne forordning i sig selv er tilstrækkelig til at begrunde en ret til erstatning i henhold til denne bestemmelse, eller om den registrerede ligeledes skal godtgøre, at der foreligger en skade, som har en vis alvorsgrad, som følge af denne overtrædelse.

21      Databeskyttelsesforordningens artikel 82, stk. 1, fastsætter, at »[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren«.

22      Domstolen har allerede fastslået, at det fremgår klart af denne bestemmelses ordlyd, at en af betingelserne for ret til erstatning som fastsat i denne artikel 82, stk. 1, er, at der foreligger »skade«, eller at der er »forvold[t] skade«, ligesom databeskyttelsesforordningen skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 32, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 34).

23      Det kan derfor ikke lægges til grund, at enhver »overtrædelse« af databeskyttelsesforordningens bestemmelser i sig selv giver den registrerede, som defineret i forordningens artikel 4, nr. 1), den nævnte ret til erstatning. Det ville i øvrigt være overflødigt særskilt at nævne »skade« og »overtrædelse« i forordningens artikel 82, stk. 1, hvis EU-lovgiver havde ment, at en overtrædelse af samme forordnings bestemmelser i sig selv og under alle omstændigheder skulle være tilstrækkelig til at begrunde en ret til erstatning (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 33 og 34).

24      Det følger heraf, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den blotte overtrædelse af denne forordnings bestemmelser ikke er tilstrækkelig til at give ret til erstatning (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 42).

25      Den person, der på grundlag af denne bestemmelse fremsætter et erstatningskrav vedrørende en immateriel skade, er nemlig forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende en sådan skade (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 42 og 50, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 35).

26      Hvad angår sidstnævnte betingelse er databeskyttelsesforordningens artikel 82, stk. 1, til hinder for en national regel eller praksis, hvorefter erstatning for en immateriel skade som omhandlet i den nævnte bestemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 51, og af 11.4.2024, juris. C-741/21, EU:C:2024:288, præmis 36).

27      Det forholder sig ikke desto mindre således, at denne person i henhold til denne forordnings artikel 82, stk. 1, er forpligtet til at bevise, at vedkommende faktisk har lidt en materiel eller immateriel skade (jf. i denne retning dom af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 39).

28      Henset til ovenstående betragtninger skal det første og det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en overtrædelse af denne forordning ikke i sig selv er tilstrækkelig til at begrunde en ret til erstatning i henhold til denne bestemmelse. Den registrerede skal ligeledes godtgøre, at der foreligger en skade, der er forårsaget af denne overtrædelse, dog uden at denne skade skal have en vis alvorsgrad.

 Om det tredje spørgsmål

29      Den forelæggende ret ønsker med det tredje spørgsmål nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en persons frygt for, at vedkommendes personoplysninger som følge af en overtrædelse af denne forordning er blevet videregivet til tredjemand, uden at det kan godtgøres, at dette faktisk har været tilfældet, er tilstrækkelig til at begrunde en ret til erstatning for immateriel skade.

30      Det fremgår af forelæggelsesafgørelsen, at sagsøgerne i hovedsagen på grundlag af databeskyttelsesforordningen ønsker at opnå erstatning for en immateriel skade som følge af tab af kontrol med deres personoplysninger, der har været genstand for behandling, uden at kunne godtgøre, i hvilket omfang tredjemand faktisk har fået kendskab til disse oplysninger.

31      Da der i databeskyttelsesforordningens artikel 82, stk. 1, ikke er nogen henvisning til medlemsstaternes nationale ret, skal begrebet »immateriel skade« som omhandlet i denne bestemmelse i denne henseende undergives en selvstændig og ensartet fortolkning, der er særlig for EU-retten (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 30 og 44, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 64).

32      Domstolen har fastslået, at det ikke alene fremgår af ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragtning til denne forordning, som opfordrer til at anlægge en bred fortolkning af begrebet »immateriel skade« som omhandlet i denne førstnævnte bestemmelse, men ligeledes af formålet, der består i at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger, som er omhandlet i den nævnte forordning, at den frygt, som en registreret nærer for, at dennes personoplysninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af denne forordning, i sig selv kan udgøre en »immateriel skade« som omhandlet i denne artikel 82, stk. 1 (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 79-86, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 65).

33      Tabet af kontrol med personoplysninger – selv i et kort tidsrum – kan udgøre en »immateriel skade« som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1, der giver ret til erstatning, forudsat at den nævnte registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være, idet Domstolen har udtalt, at den blotte tilsidesættelse af bestemmelserne i denne forordning ikke er tilstrækkelig til at give ret til erstatning på dette grundlag (jf. i denne retning dom af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 66, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 42).

34      En registreret, der mener, at vedkommendes personoplysninger er blevet behandlet i strid med de relevante bestemmelser i databeskyttelsesforordningen, og kræver erstatning på grundlag af denne forordnings artikel 82, stk. 1, skal derfor bevise, at vedkommende faktisk har lidt materiel eller immateriel skade.

35      Den blotte henvisning til en frygt – uden godtgjorte negative konsekvenser – kan således ikke give anledning til erstatning i henhold til denne bestemmelse.

36      Henset til ovenstående betragtninger skal det tredje spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en persons frygt for, at vedkommendes personoplysninger som følge af en overtrædelse af denne forordning er blevet videregivet til tredjemand, uden at det kan godtgøres, at dette faktisk har været tilfældet, er tilstrækkelig til at begrunde en ret til erstatning, for så vidt som denne frygt og de negative konsekvenser af denne er behørigt bevist.

 Om det fjerde og det femte spørgsmål

37      Den forelæggende ret ønsker med det fjerde og det femte spørgsmål, som skal behandles samlet, nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, for det første skal foretages en analog anvendelse af kriterierne for udmåling af de administrative bøder i denne forordnings artikel 83 og for det andet skal tillægges denne ret til erstatning en afskrækkende funktion.

38      Hvad for det første angår en eventuel hensyntagen til de i databeskyttelsesforordningens artikel 83 fastsatte kriterier med henblik på at opgøre det erstatningsbeløb, der skal betales i henhold til denne forordnings artikel 82, er det ubestridt, at disse to bestemmelser forfølger forskellige formål. Mens forordningens artikel 83 fastsætter de »[g]enerelle betingelser for pålæggelse af administrative bøder«, regulerer forordningens artikel 82 »[retten] til erstatning og erstatningsansvar«.

39      Det følger heraf, at de kriterier, som er fastsat i databeskyttelsesforordningens artikel 83 med henblik på at udmåle de administrative bøder, og som ligeledes er nævnt i 148. betragtning til denne forordning, ikke kan anvendes til at opgøre erstatningsbeløbet i henhold til denne forordnings artikel 82 (dom af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 57).

40      Databeskyttelsesforordningen indeholder ikke bestemmelser, der har til formål at fastlægge reglerne om fastsættelse af den erstatning, som en registreret, jf. denne forordnings artikel 4, nr. 1), kan kræve i henhold til forordningens artikel 82, når en overtrædelse af denne forordning har forvoldt vedkommende skade. Når der ikke findes EU-retlige regler på området, tilkommer det følgelig hver enkelt medlemsstat i sin retsorden at fastsætte reglerne for sager til sikring af beskyttelsen af borgernes rettigheder i henhold til artikel 82, og navnlig at fastsætte de kriterier, der giver mulighed for at bestemme omfanget af den erstatning, der skal betales i denne forbindelse, idet de nævnte principper om ækvivalens og effektivitet skal overholdes (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 54, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 58).

41      For det andet har den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, ikke en afskrækkende eller ligefrem straffende funktion. Det følger heraf, at grovheden af den overtrædelse af forordningen, som har forvoldt den hævdede materielle eller immaterielle skade, ikke kan påvirke størrelsen af den erstatning, der tildeles i henhold til denne bestemmelse, og at erstatningsbeløbet ikke kan fastsættes på et niveau, der overstiger fuld erstatning for denne skade (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 86, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 60).

42      Henset til den kompenserende funktion af den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, som anført i sjette punktum i 146. betragtning til denne forordning, skal en økonomisk erstatning på grundlag af denne artikel anses for at være »fuld«, hvis den fuldstændigt kompenserer den skade, der konkret er lidt på grund af overtrædelsen af denne forordning, uden at det med henblik på en sådan ydelse af fuldstændig kompensation er nødvendigt at pålægge betaling af erstatning med karakter af straf (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 57 og 58, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 61).

43      Henset til de forskelle i ordlyd og formål, der er mellem databeskyttelsesforordningens artikel 82 læst i lyset af 146. betragtning til forordningen og denne forordnings artikel 83 læst i lyset af 148. betragtning til forordningen, kan det således ikke lægges til grund, at de vurderingskriterier, der er specifikt fastsat i denne artikel 83, finder analog anvendelse inden for rammerne af denne artikel 82, uagtet at de retsmidler, der er fastsat i disse to bestemmelser, rent faktisk supplerer hinanden med henblik på at sikre overholdelsen af databeskyttelsesforordningen (dom af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 62).

44      Henset til ovenstående betragtninger skal det fjerde og det femte spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, for det første ikke skal foretages en analog anvendelse af kriterierne for udmåling af de administrative bøder i denne forordnings artikel 83 og for det andet ikke skal tillægges denne ret til erstatning en afskrækkende funktion.

 Om det sjette spørgsmål

45      Med det sjette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, skal tages hensyn til samtidige overtrædelser af nationale bestemmelser om beskyttelse af personoplysninger, som ikke har til formål at præcisere forordningens regler.

46      Dette spørgsmål er stillet i lyset af den omstændighed, at sagsøgerne i hovedsagen er af den opfattelse, at den kombinerede overtrædelse af bestemmelserne i databeskyttelsesforordningen og af den tyske lovgivning, der finder anvendelse på skatterådgivere, som er vedtaget før denne forordnings ikrafttræden, og som derfor ikke har til formål at præcisere reglerne heri, bør medføre en forhøjelse af den erstatning, som de kræver i henhold til databeskyttelsesforordningens artikel 82, stk. 1, som kompensation for den immaterielle skade, som de hævder at have lidt.

47      I denne forbindelse fremgår det ganske vist i det væsentlige af 146. betragtning, femte punktum, til databeskyttelsesforordningen, at behandling af personoplysninger, som overtræder denne forordning, »[også omfatter] behandling, der overtræder delegerede retsakter og gennemførelsesretsakter vedtaget i henhold til denne forordning og til medlemsstaternes nationale ret, der præciserer bestemmelserne i denne forordning«.

48      Den omstændighed, at en sådan behandling af oplysninger ligeledes er blevet foretaget i strid med bestemmelser i national ret om beskyttelse af personoplysninger, som ikke har til formål at præcisere denne forordnings regler, udgør imidlertid ikke en relevant faktor med henblik på opgørelsen af den erstatning, der tildeles på grundlag af databeskyttelsesforordningens artikel 82, stk. 1. Overtrædelsen af sådanne nationale bestemmelser er nemlig ikke omfattet af denne forordnings artikel 82, stk. 1, sammenholdt med 146. betragtning hertil.

49      Dette berører ikke den omstændighed, at den nationale domstol, hvis det er muligt i henhold til national ret, kan tildele den registrerede en større erstatning end den fulde erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, i tilfælde, hvor denne erstatning, henset til den omstændighed, at skaden ligeledes er forårsaget af overtrædelsen af bestemmelser i national ret som dem, der er omhandlet i den foregående præmis, ikke anses for at være tilstrækkelig eller passende.

50      Henset til ovenstående betragtninger skal det sjette spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, ikke skal tages hensyn til samtidige overtrædelser af nationale bestemmelser om beskyttelse af personoplysninger, som ikke har til formål at præcisere forordningens regler.

 Sagsomkostninger

51      Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

1)      Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en overtrædelse af denne forordning ikke i sig selv er tilstrækkelig til at begrunde en ret til erstatning i henhold til denne bestemmelse. Den registrerede skal ligeledes godtgøre, at der foreligger en skade, der er forårsaget af denne overtrædelse, dog uden at denne skade skal have en vis alvorsgrad.

2)      Artikel 82, stk. 1, i forordning 2016/679

skal fortolkes således, at

en persons frygt for, at vedkommendes personoplysninger som følge af en overtrædelse af denne forordning er blevet videregivet til tredjemand, uden at det kan godtgøres, at dette faktisk har været tilfældet, er tilstrækkelig til at begrunde en ret til erstatning, for så vidt som denne frygt og de negative konsekvenser af denne er behørigt bevist.

3)      Artikel 82, stk. 1, i forordning 2016/679

skal fortolkes således, at

der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, for det første ikke skal foretages en analog anvendelse af kriterierne for udmåling af de administrative bøder i denne forordnings artikel 83 og for det andet ikke skal tillægges denne ret til erstatning en afskrækkende funktion.

4)      Artikel 82, stk. 1, i forordning 2016/679

skal fortolkes således, at

der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, ikke skal tages hensyn til samtidige overtrædelser af nationale bestemmelser om beskyttelse af personoplysninger, som ikke har til formål at præcisere forordningens regler.

Underskrifter

*      Processprog: tysk.