Language of document : ECLI:EU:C:2024:288

DOMSTOLENS DOM (tredje avdelningen)

den 11 april 2024 (*)

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 82 – Rätt till ersättning för skada som orsakats av att uppgifter har behandlats på ett sätt som strider mot denna förordning – Begreppet ’immateriell skada’ – Beroende av skadans svårighetsgrad – Den personuppgiftsansvariges ansvar – Eventuellt undantag vid misskötsamhet hos en person som utför arbete under den personuppgiftsansvariges överinseende, i den mening som avses i artikel 29 – Bedömning av ersättningens storlek – Kriterierna för administrativa sanktionsavgifter i artikel 83 är inte tillämpliga – Bedömning vid flera överträdelser av nämnda förordning”

I mål C‑741/21,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Landgericht Saarbrücken (Regionala domstolen i Saarbrücken, Tyskland) genom beslut av den 22 november 2021, som inkom till domstolen den 1 december 2021, i målet

GP

mot

juris GmbH,

meddelar

DOMSTOLEN (tredje avdelningen)

sammansatt av avdelningsordföranden K. Jürimäe, samt domarna N. Piçarra och N. Jääskinen (referent),

generaladvokat: M. Campos Sánchez-Bordona,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

–        GP, genom H. Schöning, Rechtsanwalt,

–        juris GmbH, genom E. Brandt och C. Werkmeister, Rechtsanwälte,

–        Irland, genom M. Browne, Chief State Solicitor, A. Joyce och M. Lane, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL,

–        Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,

med hänsyn till beslutet, efter att ha hört generaladvokaten, att avgöra målet utan förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artikel 82.1 och 82.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2, och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen), jämförd med artiklarna 29 och 83 i samma förordning, samt mot bakgrund av skälen 85 och 146 i förordningen.

2        Begäran har framställts i ett mål mellan GP, som är en fysisk person, och juris GmbH, som är ett bolag etablerat i Tyskland, angående ersättning för den skada som GP påstår sig ha lidit till följd av olika behandlingar av hans personuppgifter som har utförts i för direkt marknadsföring, trots att han framställt invändningar mot detta bolag.

 Tillämpliga bestämmelser

3        Skälen 85, 146 och 148 i dataskyddsförordningen har följande lydelse:

”(85)      En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. …

(146)      Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. … Registrerade bör få full och effektiv ersättning för den skada de lidit. …

(148)      För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa sanktionsavgifter, för överträdelser av denna förordning …. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personuppgiftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer. …”

4        I artikel 4 i förordningen, med rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

1.      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …

7.      personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; …

12.      personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

…”

5        I artikel 5 i nämnda förordning uppställs ett antal principer för behandling av personuppgifter.

6        I kapitel III i dataskyddsförordningen, med rubriken ”Den registrerades rättigheter”, återfinns artikel 21, med rubriken ”Rätt att göra invändningar”. I punkt 3 i den artikeln föreskrivs följande:

”Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.”

7        Kapitel IV i förordningen, med rubriken ”Personuppgiftsansvarig och personuppgiftsbiträde”, innehåller artiklarna 24–43.

8        Artikel 24 i nämnda förordning har rubriken ”Den personuppgiftsansvariges ansvar”, och där föreskrivs följande i punkterna 1 och 2:

”1.      Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.      Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.”

9        Artikel 25 i samma förordning har rubriken ”Inbyggt dataskydd och dataskydd som standard”. I punkt 1 artikeln föreskrivs följande:

”Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.”

10      Artikel 29, med rubriken ”Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende”, har följande lydelse:

”Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.”

11      I artikel 32 i förordningen, med rubriken ”Säkerhet i samband med behandlingen”, föreskrivs följande:

”1.      Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

b)      förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

2.      Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

4.      Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.”

12      Kapitel VIII i dataskyddsförordningen, med rubriken ”Rättsmedel, ansvar och sanktioner”, innehåller artiklarna 77–84.

13      Artikel 79 i förordningen har rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, och där föreskrivs följande i punkt 1:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

14      I artikel 82 i nämnda förordning har rubriken ”Ansvar och rätt till ersättning”, och där föreskrivs följande i punkterna 1–3:

”1.      Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.      Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. …

3.      Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.”

15      Artikel 83 i dataskyddsförordningen har rubriken ”Allmänna villkor för påförande av administrativa sanktionsavgifter”. I punkterna 2, 3 och 5 föreskrivs följande:

”2.      … Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a)      Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b)      Om överträdelsen skett med uppsåt eller genom oaktsamhet.

k)      Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

3.      Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

5.      Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till [20 000 000 euro] eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)      De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.

b)      Registrerades rättigheter enligt artiklarna 12–22.

…”

16      I artikel 84 i förordningen, med rubriken ”Sanktioner”, föreskrivs följande i punkt 1:

”Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.”

 Målet vid den nationella domstolen och tolkningsfrågorna

17      Sökanden i det nationella målet är en fysisk person som arbetar som advokat med eget företag. Han var klient hos juris, som är ett bolag som tillhandahåller en juridisk databas.

18      Efter att sökanden i det nationella målet hade fått kännedom om att hans personuppgifter även användes av juris för direkt marknadsföring, återkallade han, den 6 november 2018, skriftligen sitt samtycke till att få information från bolaget via e‑post eller telefon. Han motsatte sig all behandling av dessa uppgifter, förutom för att skicka ut nyhetsbrev som han ville fortsätta att ta emot.

19      Trots detta erhöll sökanden i det nationella målet i januari 2019 två reklamblad som sändes till hans namngivna företagsadress. Han sände den 18 april 2019 en skrivelse till juris, i vilken han påminde bolaget om sin tidigare invändning mot direkt marknadsföring och informerade bolaget om att den omständigheten att bolaget sänt ut dessa reklamblad visade att bolaget hade behandlat hans personuppgifter på ett olagligt sätt, varför han begärde ersättning för den skada han lidit, med stöd av artikel 82 i dataskyddsförordningen. Efter att ha mottagit ett nytt reklamblad den 3 maj 2019 upprepade han sin invändning, vilken denna gång delgavs juris genom stämningsman.

20      Vart och ett av dessa reklamblad innehöll en ”personlig testkod” som gjorde det möjligt att på juris webbplats få tillgång till ett av bolagets beställningsformulär för varor. Detta formulär innehöll uppgifter om sökanden i det nationella målet, vilket noterades av en notarie den 7 juni 2019, på sökandens begäran.

21      Sökanden i det nationella målet väckte talan vid Landgericht Saarbrücken (Regionala domstolen i Saarbrücken, Tyskland), som är den hänskjutande domstolen i förevarande mål. Han yrkade, med stöd av artikel 82.1 i dataskyddsförordningen, ersättning för den materiella skada som han lidit till följd av de kostnader som han haft för stämningsmannen och notarien samt för den immateriella skada han lidit. Han har bland annat gjort gällande att han har förlorat kontrollen över sina personuppgifter på grund av att juris behandlat dem, trots att han invänt mot detta, och att han har rätt att erhålla ersättning för detta, utan att behöva styrka vilka effekter kränkningen av hans rättigheter haft, eller deras svårighetsgrad. Dessa rättigheter garanteras i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och preciseras i förordningen.

22      juris har till sitt försvar gjort gällande att bolaget inte har något sådant ansvar och att det infört en procedur för att bearbeta invändningar mot direkt marknadsföring och att dröjsmålet med att beakta sökandens invändningar beror på att en av medarbetarna inte hade följt de instruktioner som lämnats eller på att det skulle ha varit orimligt kostsamt att beakta dessa invändningar. juris har gjort gällande att enbart ett åsidosättande av en skyldighet som följer av dataskyddsförordningen, såsom den skyldighet som följer av artikel 21.3 i samma förordning, inte i sig kan utgöra en ”skada”, i den mening som avses i artikel 82.1 i förordningen.

23      För det första utgår den hänskjutande domstolen från premissen att rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen förutsätter att tre villkor är uppfyllda, nämligen att förordningen har åsidosatts, att det föreligger en materiell eller immateriell skada och att det finns ett orsakssamband mellan åsidosättandet och skadan. Med hänsyn till de yrkanden som har framställts av sökanden i det nationella målet vill den hänskjutande domstolen vidare få klarhet i huruvida ett åsidosättande av dataskyddsförordningen i sig ska anses utgöra en immateriell skada som ger rätt till ersättning, i synnerhet när den bestämmelse som har överträtts ger den berörda personen en subjektiv rättighet. Eftersom det enligt tysk rätt krävs ett allvarligt intrång i de skyddade rättigheterna för att ekonomisk ersättning för immateriell skada ska kunna beviljas, vill den hänskjutande domstolen slutligen få klarhet i huruvida en motsvarande begränsning ska tillämpas på yrkanden om ersättning enligt dataskyddsförordningen, mot bakgrund av de uppgifter om begreppet ”skada” som anges i skälen 85 och 146 i förordningen.

24      För det andra anser nämnda domstol att det är möjligt att det följer av artikel 82 i dataskyddsförordningen att när det har konstaterats att en överträdelse av denna förordning har skett, så ska denna överträdelse tillskrivas den personuppgiftsansvarige. Detta innebär att den personuppgiftsansvarige är ansvarig på grund av förmodad oaktsamhet, eller till och med utan oaktsamhet. Efter att ha understrukit att det i punkt 3 i denna artikel inte preciseras vilka beviskrav som konkret är knutna till det undantag från ansvar som föreskrivs i denna punkt, har den hänskjutande domstolen dessutom påpekat att om det vore tillåtet för den personuppgiftsansvarige att undgå ansvar genom att i allmänna ordalag göra gällande att en av dennes medarbetare har agerat felaktigt, så skulle detta avsevärt begränsa den ändamålsenliga verkan av den rätt till ersättning som föreskrivs i punkt 1 i nämnda artikel.

25      För det tredje vill den hänskjutande domstolen få klarhet i huruvida de i artikel 83.2 och 83.5 i dataskyddsförordningen föreskrivna kriterierna för att fastställa storleken på den ekonomiska ersättningen för en skada, särskilt immateriell skada, som ska betalas enligt artikel 82 i dataskyddsförordningen, även kan, eller till och med ska, beaktas inom ramen för nämnda artikel 82.

26      För det fjärde och slutligen har den hänskjutande domstolen påpekat att i det mål som den har att avgöra har sökandens personuppgifter i flera fall varit föremål för behandling för direkt marknadsföring, trots hans upprepade invändningar. Den hänskjutande domstolen vill således få klarhet i huruvida, när det föreligger ett sådant flertal överträdelser av dataskyddsförordningen, dessa ska beaktas individuellt eller vid en helhetsbedömning för att fastställa storleken på den ersättning som eventuellt ska betalas enligt artikel 82 i förordningen.

27      Mot denna bakgrund beslutade Landgericht Saarbrücken (Regionala domstolen i Saarbrücken) att vilandeförklara målet och hänskjuta följande tolkningsfrågor till EU-domstolen:

”1)      Ska begreppet immateriell skada i artikel 82.1 i dataskyddsförordningen med beaktande av skälen 85 och 146 tredje meningen i samma förordning tolkas på så sätt att det omfattar varje intrång i den skyddade rättsliga ställningen, oberoende av dess andra effekter och hur allvarligt intrånget är?

2)      Gäller undantaget från ansvar för skada enligt artikel 82.3 i dataskyddsförordningen om överträdelsen i det enskilda fallet beror på ett mänskligt fel som begåtts av en person som utför arbete under den personuppgiftsansvariges eller personuppgiftbiträdets överinseende, i den mening som avses i artikel 29 i dataskyddsförordningen?

3)      Är det tillåtet, eller till och med påbjudet, att använda beräkningskriterierna i artikel 83 i dataskyddsförordningen, i synnerhet artikel 83.2 och 83.5, som riktlinjer för att beräkna ersättningen som ska betalas ut för immateriell skada?

4)      Ska ersättningen fastställas för varje enskild överträdelse eller ska sanktionen för flera – åtminstone flera liknande – överträdelser fastställas som en samlad ersättning som inte beräknas genom att addera de enskilda beloppen utan som fastställs på grundval av en samlad bedömning?”

 Prövning av tolkningsfrågorna

 Den första frågan

 Huruvida tolkningsfrågan kan tas upp till prövning

28      Inledningsvis har juris gjort gällande att den första frågan inte kan tas upp till prövning, eftersom den syftar till att fastställa huruvida rätten till ersättning enligt artikel 82 i dataskyddsförordningen förutsätter att den skada som den registrerade gör gällande, såsom den definieras i artikel 4 led 1 i förordningen, är av en viss svårighetsgrad. Enligt juris saknar denna frågeställning relevans för avgörandet av det nationella målet, eftersom den skada som sökanden i det nationella målet har åberopat, det vill säga förlorad kontroll över sina personuppgifter, inte kan anses ha uppstått, eftersom dessa uppgifter har varit föremål för en laglig behandling, som en del av avtalsförhållandet mellan parterna i målet.

29      Det ska härvid erinras om att det enligt EU-domstolens fasta praxis uteslutande ankommer på den nationella domstolen, vid vilken målet har anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen, vilka presumeras vara relevanta. Domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen eller giltigheten av en unionsrättslig regel, såvida det inte är uppenbart att den begärda tolkningen inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågorna är hypotetiska eller domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 23 och där angiven rättspraxis).

30      I förevarande mål avser den första frågan villkoren för beviljande av ersättning enligt artikel 82 i dataskyddsförordningen. Det är dessutom inte uppenbart att den begärda tolkningen saknar samband med saken i målet vid den nationella domstolen eller att frågan är hypotetisk. Förfarandet rör nämligen ett sådant yrkande om ersättning som omfattas av det system för skydd av personuppgifter som införts genom dataskyddsförordningen. Vidare syftar denna fråga till att få klarhet i huruvida det, vid tillämpningen av ansvarsbestämmelserna i denna förordning, inte bara är nödvändigt att det föreligger en immateriell skada som kan skiljas från själva åsidosättandet av nämnda förordning, utan även huruvida skadan överstiger av en viss svårighetsgrad.

31      Härav följer att den andra frågan kan tas upp till prövning.

 Prövning i sak

32      Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att ett åsidosättande av bestämmelser i denna förordning, vilka ger den registrerade rättigheter, i sig är tillräckligt för att utgöra en ”immateriell skada”, i den mening som avses i denna bestämmelse, oberoende av hur allvarlig skada den registrerade har lidit.

33      Det ska inledningsvis erinras om att det i artikel 82.1 i dataskyddsförordningen föreskrivs att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”.

34      Domstolen har redan tolkat artikel 82.1 i dataskyddsförordningen så, att enbart ett åsidosättande av denna förordning inte är tillräckligt för att ge rätt till ersättning, eftersom förekomsten av en materiell eller immateriell ”skada” som har ”lidits” utgör ett av villkoren för den rätt till ersättning som föreskrivs i nämnda artikel 82.1, liksom att det ska föreligga en överträdelse av nämnda förordning och ett orsakssamband mellan denna skada och denna överträdelse, varvid dessa tre villkor är kumulativa (se, för ett liknande resonemang, dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 58 och där angiven rättspraxis).

35      Den som begär ersättning för en immateriell skada med stöd av denna bestämmelse är således skyldig att visa inte bara att bestämmelserna i denna förordning har åsidosatts, utan även att denna överträdelse har orsakat vederbörande en sådan skada (se, för ett liknande resonemang, dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkterna 60 och 61 och där angiven rättspraxis).

36      På denna punkt ska det påpekas att EU-domstolen har tolkat artikel 82.1 i dataskyddsförordningen så, att den utgör hinder för nationell lagstiftning, eller praxis, enligt vilken en förutsättning för ersättning för immateriell skada, i den mening som avses i denna bestämmelse, är att den skada som den registrerade har lidit är av en viss svårighetsgrad, samtidigt som EU-domstolen har betonat att den registrerade är skyldig att styrka att överträdelsen av förordningen har orsakat denne en sådan immateriell skada (se, för ett liknande resonemang, dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkterna 59 och 60 och där angiven rättspraxis).

37      Även om den bestämmelse i dataskyddsförordningen som har åsidosatts ger fysiska personer rättigheter, kan ett sådant åsidosättande inte i sig utgöra en ”immateriell skada”, i den mening som avses i denna förordning.

38      Det framgår visserligen av artikel 79.1 i dataskyddsförordningen att varje registrerad har rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller ett eventuellt personuppgiftsbiträde, om den registrerade anser att ”hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning”.

39      Denna bestämmelse innebär emellertid endast att en person som anser sig ha utsatts för ett åsidosättande av sina rättigheter enligt dataskyddsförordningen har rätt att väcka talan, utan att personen befrias från sin skyldighet, enligt artikel 82.1 i förordningen, att bevisa att vederbörande faktiskt har lidit materiell eller immateriell skada.

40      Härav följer att åsidosättandet av bestämmelser i dataskyddsförordningen, vilka ger den registrerade rättigheter, inte i sig är tillräckligt för att grunda en materiell rätt till ersättning enligt denna förordning, vilken kräver att även de två andra villkoren för denna rätt som nämns i punkt 34 ovan är uppfyllda.

41      I förevarande fall har sökanden i det nationella målet med stöd av dataskyddsförordningen yrkat ersättning för en immateriell skada. Denna skada består i hans förlust av kontrollen över sina personuppgifter, vilka har behandlats trots hans invändningar. Han menar vidare att han inte behöver styrka att skadan överskred en viss svårighetsgrad.

42      Det ska i detta hänseende påpekas att ”förlust av kontrollen” uttryckligen nämns i skäl 85 i dataskyddsförordningen bland de skador som kan uppstå till följd av en personuppgiftsincident. Domstolen har dessutom slagit fast att förlust av kontrollen över sådana uppgifter, även under en kort tidsperiod, kan utgöra en ”immateriell skada”, i den mening som avses i artikel 82.1 i förordningen, av ett slag som ger rätt till ersättning, under förutsättning att den registrerade visar att han eller hon verkligen har lidit en sådan skada, även om den är obetydlig (se, för ett liknande resonemang, dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 66 och där angiven rättspraxis).

43      Av det ovan anförda följer att den första frågan ska besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att ett åsidosättande av bestämmelser i denna förordning, vilka ger den registrerade rättigheter, inte i sig är tillräckligt för att utgöra en ”immateriell skada”, i den mening som avses i denna bestämmelse, oberoende av hur allvarlig skadan är.

 Den andra frågan

44      Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 82 i dataskyddsförordningen ska tolkas så, att det för att den personuppgiftsansvarige ska undgå ansvar enligt punkt 3 i nämnda artikel, räcker att denne gör gällande att skadan i fråga har orsakats av misskötsamhet hos en person som utför arbete under dennes överinseende, i den mening som avses i artikel 29 i förordningen.

45      Det ska i detta hänseende erinras om att det i artikel 82.2 i dataskyddsförordningen anges att varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning, och att det i artikel 82.3 anges att en personuppgiftsansvarig ska undgå ansvar enligt denna punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

46      Domstolen har redan slagit fast att det framgår av en jämförande analys av punkterna 2 och 3 i artikel 82 att det i denna artikel föreskrivs ett system med culpaansvar, enligt vilket den personuppgiftsansvarige presumeras ha deltagit i den behandling som utgör den aktuella överträdelsen av dataskyddsförordningen, vilket innebär att bevisbördan inte åvilar den person som har lidit skada, utan den personuppgiftsansvarige (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkterna 92–94).

47      Vad gäller frågan huruvida den personuppgiftsansvarige kan undgå sitt ansvar enligt artikel 82.3 i dataskyddsförordningen enbart av det skälet att skadan har orsakats av misskötsamhet hos en person som utför arbete under dennes överinseende, i den mening som avses i artikel 29 i förordningen, framgår det av artikel 29 i förordningen att personer som utför arbete under den personuppgiftsansvariges överinseende, såsom dennes anställda, vilka har tillgång till personuppgifter, i princip endast får behandla dessa uppgifter på den registeransvariges instruktioner och i enlighet med dessa (se, för ett liknande resonemang, dom av den 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punkterna 73 och 74).

48      Vidare föreskrivs i artikel 32.4 i dataskyddsförordningen, som rör säkerhet vid behandling av personuppgifter, att den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under dennes överinseende, och som får tillgång till sådana uppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att behandla dessa uppgifter.

49      En anställd hos den personuppgiftsansvariges är en fysisk person som utför arbete under den personuppgiftsansvariges överinseende. Det ankommer således på den personuppgiftsansvarige att försäkra sig om att de anställda tillämpar dennes instruktioner på ett korrekt sätt. Den personuppgiftsansvarige kan följaktligen inte undgå sitt ansvar enligt artikel 82.3 i dataskyddsförordningen enbart genom att åberopa oaktsamhet eller underlåtenhet hos en person som utför arbete under dennes överinseende.

50      I förevarande fall har juris i sitt skriftliga yttrande till EU-domstolen i huvudsak gjort gällande att den personuppgiftsansvarige ska undgå sitt ansvar enligt artikel 82.3 i dataskyddsförordningen när den överträdelse som orsakat den aktuella skadan kan tillskrivas en av dess anställda som inte har följt den personuppgiftsansvariges instruktioner och under förutsättning att åsidosättandet inte beror på ett åsidosättande av den personuppgiftsansvariges skyldigheter enligt bland annat artiklarna 24, 25 och 32 i förordningen.

51      Det ska i detta hänseende understrykas att omständigheterna kring det undantag från ansvar som föreskrivs i artikel 82.3 i dataskyddsförordningen ska vara strikt begränsade till situationer där den personuppgiftsansvarige kan visa att denne inte är ansvarig för skadan (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 70). För det fall att en person som utför arbete under den personuppgiftsansvariges överinseende har gjort sig skyldig till en personuppgiftsincident, kan den ansvariga personen således omfattas av detta undantag endast om vederbörande visar att det inte finns något orsakssamband mellan det eventuella åsidosättandet av den skyldighet att skydda personuppgifter som åligger vederbörande enligt artiklarna 5, 24 och 32 i förordningen och den skada som den registrerade har lidit (se, analogt, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 72).

52      För att den personuppgiftsansvarige ska kunna undgå sitt ansvar enligt artikel 82.3 i dataskyddsförordningen kan det följaktligen inte vara tillräckligt att den personuppgiftsansvarige visar att denne har gett instruktioner till personer som utför arbete under dennes överinseende, i den mening som avses i artikel 29 i förordningen, och att en av dessa personer har underlåtit att uppfylla sin skyldighet att följa dessa instruktioner, och därigenom bidragit till uppkomsten av den aktuella skadan.

53      Om det godtogs att den personuppgiftsansvarige kan undgå sitt ansvar genom att endast åberopa misskötsamhet hos en person som utför arbete under dennes överinseende, skulle detta undergräva den ändamålsenliga verkan av rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen, såsom den hänskjutande domstolen har påpekat, och detta skulle inte vara förenligt med förordningens syfte, nämligen att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandlingen av deras personuppgifter.

54      Mot bakgrund av ovanstående överväganden ska den andra frågan besvaras enligt följande. Artikel 82 i dataskyddsförordningen ska tolkas så, att det, för att den personuppgiftsansvarige ska undgå ansvar enligt punkt 3 i nämnda artikel, inte räcker att denne gör gällande att skadan i fråga har orsakats av misskötsamhet hos en person som utför arbete under dennes överinseende, i den mening som avses i artikel 29 i förordningen.

 Den tredje och den fjärde frågan

55      Den hänskjutande domstolen har ställt den tredje och den fjärde frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 82.1 dataskyddsförordningen ska tolkas så, att det vid fastställandet av det skadestånd som ska betalas som ersättning för en skada som grundar sig på denna bestämmelse, är nödvändigt att dels, i tillämpliga delar, tillämpa kriterierna för fastställande av administrativa sanktionsavgifter i artikel 83 i förordningen, dels beakta den omständigheten att flera överträdelser av nämnda förordning avseende samma behandling påverkar den person som begär ersättning.

56      Vad för det första gäller ett eventuellt beaktande av de kriterier som anges i artikel 83 i dataskyddsförordningen för att bedöma storleken på den ersättning som ska betalas enligt artikel 82 i förordningen, är det utrett att dessa båda bestämmelser eftersträvar olika mål. Medan artikel 83 i denna förordning fastställer ”[a]llmänna villkor för påförande av administrativa sanktionsavgifter”, reglerar artikel 82 i nämnda förordning ”[a]nsvar och rätt till ersättning”.

57      Härav följer att de i artikel 83 i dataskyddsförordningen angivna kriterierna för att fastställa storleken på de administrativa sanktionsavgifterna, vilka också nämns i skäl 148 i förordningen, inte kan användas för att beräkna skadeståndet enligt artikel 82 i förordningen.

58      Såsom domstolen redan har framhållit innehåller dataskyddsförordningen inte någon bestämmelse om hur den rätt till ersättning som föreskrivs i artikel 82 i förordningen ska beräknas. De nationella domstolarna ska således vid denna bedömning, i enlighet med principen om processuell autonomi, tillämpa respektive medlemsstats nationella bestämmelser om omfattningen av den ekonomiska ersättningen, under förutsättning att principerna om unionsrättens likvärdighet och effektivitet, såsom dessa har definierats i domstolens fasta praxis, iakttas (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkterna 83 och 101 och där angiven rättspraxis, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 53).

59      EU-domstolen har i detta sammanhang understrukit att artikel 82 i dataskyddsförordningen-till skillnad från andra bestämmelser i förordningen som också återfinns i kapitel VIII i förordningen, närmare bestämtartiklarna 83 och 84-inte har en bestraffande utan en kompenserande funktion. Sistnämnda bestämmelser har huvudsakligen ett bestraffande syfte, eftersom de gör det möjligt att ålägga administrativa sanktionsavgifter och andra sanktioner. Förhållandet mellan de regler som anges i nämndaartikel 82 och reglerna i artiklarna 83 och 84 visar att det föreligger en skillnad mellan dessa båda kategorier av bestämmelser, men även att de kompletterar varandra vad gäller de incitament att iaktta dataskyddsförordningen som de innebär. Rätten för var och en att begära ersättning för skada stärker den ändamålsenliga verkan av de skyddsregler som fastställs i förordningen och är ägnade att avskräcka från att överträdelser upprepas (dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 47 och där angiven rättspraxis).

60      Domstolen har dessutom förklarat att eftersom den rätt till ersättning som föreskrivs i artikel 82.1 i dataskyddsförordningen inte fyller en avskräckande, eller rent av bestraffande, funktion, kan svårighetsgraden av den överträdelse av förordningen varigenom den påstådda materiella eller immateriella skadan har uppkommit inte påverka storleken på det skadestånd som ska utgå med stöd av denna bestämmelse. Av detta följer att skadeståndsbeloppet inte kan fastställas till en nivå som går utöver en fullständig ersättning för denna skada (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 86).

61      Med beaktande av att det i skäl 146 sjätte meningen i dataskyddsförordningen anges att detta instrument syftar till att registrerade ska få ”full och effektiv ersättning för den skada de lidit”, påpekade domstolen att med hänsyn till den kompenserande funktion som rätten till ersättning har enligt artikel 82 i förordningen ska en ekonomisk ersättning med stöd av denna artikel anses vara ”full och effektiv” om den gör det möjligt att fullt ut kompensera den skada som har uppkommit till följd av en överträdelse av denna förordning, utan att det för en sådan fullständig ersättning är nödvändigt att utkräva skadestånd med en bestraffande funktion (dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 84 och där angiven rättspraxis).

62      Med hänsyn till skillnaderna i ordalydelse och syfte mellan artikel 82 i dataskyddsförordningen, jämförd med skäl 146 i samma förordning, och artikel 83 i dataskyddsförordningen, jämförd med skäl 148 i samma förordning, kan de bedömningskriterier som särskilt anges i artikel 83 inte anses gälla i tillämpliga delar inom ramen för artikel 82, trots att de rättsmedel som föreskrivs i dessa båda bestämmelser kompletterar varandra för att säkerställa att förordningen följs.

63      Vad för det andra gäller det sätt på vilket de nationella domstolarna ska bedöma storleken på en ekonomisk ersättning enligt artikel 82 i dataskyddsförordningen i fall av flera överträdelser av förordningen som berör en och samma registrerade, ska det inledningsvis understrykas att det, såsom anges i punkt 58 ovan, ankommer på varje medlemsstat att fastställa de kriterier som gör det möjligt att fastställa ersättningsbeloppet, under förutsättning att principerna om unionsrättens effektivitet och likvärdighet iakttas.

64      Med hänsyn till att artikel 82 i dataskyddsförordningen inte har en bestraffande utan en kompensatorisk funktion, vilken det erinrats om i punkterna 60 och 61 ovan, kan den omständigheten att den personuppgiftsansvarige har gjort sig skyldig till flera överträdelser med avseende på en och samma registrerade inte utgöra ett relevant kriterium vid bedömningen av det skadestånd som ska betalas till denna person enligt nämnda artikel 82. Det är nämligen endast den faktiska skada som sökanden har lidit som ska beaktas vid fastställandet av storleken på den ekonomiska ersättning som ska betalas som skadestånd.

65      Den tredje och den fjärde frågan ska således besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att det, vid fastställandet av det skadestånd som ska betalas som ersättning för en skada som grundar sig på denna bestämmelse, inte är nödvändigt att dels, i tillämpliga delar, tillämpa kriterierna för fastställande av administrativa sanktionsavgifter i artikel 83 i förordningen, dels beakta den omständigheten att flera överträdelser av nämnda förordning avseende samma behandling påverkar den person som begär ersättning.

 Rättegångskostnader

66      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

1)      Artikel 82.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas på följande sätt:

Ett åsidosättande av bestämmelser i denna förordning, vilka ger den registrerade rättigheter, är inte i sig tillräckligt för att utgöra en ”immateriell skada”, i den mening som avses i denna bestämmelse, oberoende av hur allvarlig skadan är.

2)      Artikel 82 i förordning 2016/679

ska tolkas på följande sätt:

För att den personuppgiftsansvarige ska undgå ansvar enligt punkt 3 i nämnda artikel räcker det inte att denne gör gällande att skadan i fråga har orsakats av misskötsamhet hos en person som utför arbete under dennes överinseende, i den mening som avses i artikel 29 i förordningen.

3)      Artikel 82.1 i förordning 2016/679

ska tolkas på följande sätt:

Det är vid fastställandet av det skadestånd som ska betalas som ersättning för en skada som grundar sig på denna bestämmelse, inte nödvändigt att dels, i tillämpliga delar, tillämpa kriterierna för fastställande av administrativa sanktionsavgifter i artikel 83 i förordningen, dels beakta den omständigheten att flera överträdelser av nämnda förordning avseende samma behandling påverkar den person som begär ersättning.

Underskrifter

*      Rättegångsspråk: tyska.