Language of document : ECLI:EU:C:2024:536

Preliminär utgåva

DOMSTOLENS DOM (tredje avdelningen)

den 20 juni 2024 (*)

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 82.1 – Rätt till ersättning för skada som orsakats av att uppgifter har behandlats på ett sätt som strider mot denna förordning – Begreppet ’immateriell skada’ – Beroende av skadans svårighetsgrad – Bedömning av ersättningens storlek – Begäran från en registrerad om ersättning för immateriell skada som grundas på den registrerades fruktan – Kriterierna för administrativa sanktionsavgifter i artikel 83 är inte tillämpliga – Avskräckande funktion – Bedömning vid samtidiga överträdelser av nämnda förordning och nationell lagstiftning”

I mål C‑590/22,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Amtsgericht Wesel (Distriktsdomstolen i Wesel, Tyskland) genom beslut av den 5 augusti 2022, som inkom till domstolen den 9 september 2022, i målet

AT,

BT

mot

PS GbR,

VG,

MB,

DH,

WB,

GS,

meddelar

DOMSTOLEN (tredje avdelningen)

sammansatt av avdelningsordföranden K. Jürimäe, domstolens ordförande K. Lenaerts, tillika tillförordnad domare på tredje avdelningen, samt domarna N. Piçarra, N. Jääskinen (referent) och M. Gavalec,

generaladvokat: M. Campos Sánchez-Bordona,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

–        Irland, genom M. Browne, Chief State Solicitor, A. Joyce och M. Tierney, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL,

–        Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,

med hänsyn till beslutet, efter att ha hört generaladvokaten, att avgöra målet utan förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artikel 82.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 119, 2016, s. 2) (nedan kallad dataskyddsförordningen).

2        Begäran har framställts i ett mål mellan, å ena sidan, AT respektive BT, vilka är kärande i det nationella målet, och, å andra sidan, PS GbR, ett skatterådgivningsbolag, och VG, MB, DH, WB och GS, vilka är delägare i PS. Målet rör huruvida AT och BT har rätt till skadestånd enligt artikel 82.1 i dataskyddsförordningen för det lidande som de påstår sig ha lidit på grund av att deras skattedeklaration, som innehåller personuppgifter, har lämnats ut till tredje parter utan deras samtycke till följd av ett misstag från PS sida.

 Tillämpliga bestämmelser

3        Skälen 85, 146 och 148 i dataskyddsförordningen har följande lydelse:

”(85)      En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. …

(146)      Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. …

(148)      För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa sanktionsavgifter, för överträdelser av denna förordning … Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personuppgiftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer. …”

4        I artikel 4 i dataskyddsförordningen, som har rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

1)      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …

7)      personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; …

10)      tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,

12)      personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

…”

5        I artikel 79.1 i dataskyddsförordningen föreskrivs följande:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

6        Artikel 82 i nämnda förordning har rubriken ”Ansvar och rätt till ersättning”, och där föreskrivs följande i punkterna 1–3:

”1.      Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.      Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. …

3.      Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.”

7        Artikel 83 i dataskyddsförordningen har rubriken ”Allmänna villkor för påförande av administrativa sanktionsavgifter”. I punkterna 2, 3 och 5 föreskrivs följande:

”2.      … Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a)      Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b)      Om överträdelsen skett med uppsåt eller genom oaktsamhet.

k)      Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

3.      Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

5.      Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20 000 000 [euro] eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)      De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.

b)      Registrerades rättigheter enligt artiklarna 12–22.

…”

 Målet vid den nationella domstolen och tolkningsfrågorna

8        Kärandena i det nationella målet, AT och BT, är kunder till PS, en skatterådgivningsbyrå. De informerade skatterådgivningsbyrån om att de hade ändrat postadress, vilken registrerades i PS databehandlingssystem. PS använde därefter den nya adressen för att skicka flera skrivelser till kärandena i det nationella målet.

9        I juli 2020 begärde kärandena i det nationella målet att PS skulle upprätta deras skattedeklaration för år 2019. Då de inte erhöll något svar, kontaktade de PS som underrättade dem om att denna deklaration hade skickats per post den 29 september 2020, utan att närmare ange till vilken adress försändelsen hade skickats.

10      De nya boendena på AT och BT:s gamla adress informerade dem om att ett kuvert adresserat till dem hade nått adressen och att de nya boendena av misstag hade öppnat det. En av dessa nya boende angav att han, efter att ha konstaterat att försändelsen i fråga inte var adresserad till honom, hade lagt tillbaka handlingarna i kuvertet som han hade påträffat där. Han överlämnade därefter detta kuvert till närstående som var bosatta i närheten av AT och BT:s gamla adress för att de sistnämnda skulle kunna hämta det.

11      När AT och BT hämtat kuvertet i fråga konstaterade de att det däri endast fanns en kopia av skattedeklarationen och ett följebrev. De antar emellertid att kuvertet även innehöll originalversionen av denna skattedeklaration, i vilken fanns personuppgifter såsom bland annat deras namn och födelsedatum samt deras barns namn, deras skatteregistreringsnummer, deras bankkontouppgifter, och även uppgifter om deras tillhörighet till ett religiöst samfund, om en familjemedlems funktionsnedsättning, om deras yrken och arbetsplatser, och om olika utgifter de haft.

12      Härvidlag har den hänskjutande domstolen preciserat att det inte var möjligt att fastställa vilka handlingar som ursprungligen fanns i nämnda kuvert eller avgöra i vilken mån de nya personerna på AT och BT:s tidigare adress hade fått kännedom eller inte om innehållet i detta kuvert. Den hänskjutande domstolen har även angett att avsändandet av den aktuella försändelsen till en felaktig adress berodde på att PS hade använt uppgifter från en databas som fortfarande innehöll AT och BT:s tidigare adress.

13      Mot denna bakgrund väckte AT och BT talan vid Amtsgericht Wesel (Distriktsdomstolen i Wesel, Tyskland), som är den hänskjutande domstolen, och yrkade, med stöd av artikel 82.1 i dataskyddsförordningen, ersättning för den immateriella skada som de ansåg sig ha lidit till följd av att deras personuppgifter hade lämnats ut till tredje parter och som de uppskattar till 15 000 euro.

14      För det första vill den hänskjutande domstolen få klarhet i huruvida, för det fall en immateriell skada skulle åberopas, en rätt till ersättning enligt artikel 82 i dataskyddsförordningen kan grunda sig enbart på en överträdelse av bestämmelserna i denna förordning, Härvidlag har den hänskjutande domstolen preciserat att det enligt tysk rätt endast är i de fall där en väsentlig skada, som går utöver en överträdelse av en rättslig bestämmelse, kan fastställas som en rätt till ekonomisk ersättning kan föreligga, förutsatt att denna skada inte kan avhjälpas på annat sätt.

15      För det andra vill den hänskjutande domstolen få klarhet i huruvida fruktan för att personuppgifter har kommit i obehörigas besittning i sig kan utgöra en immateriell skada som kan ge rätt till ekonomisk ersättning enligt artikel 82 i dataskyddsförordningen.

16      För det tredje har den hänskjutande domstolen påpekat att artikel 83 i dataskyddsförordningen innehåller kriterier som gör det möjligt att på ett enhetligt sätt fastställa storleken på de administrativa sanktionsavgifter som påförs vid överträdelser av denna förordning. Denna artikel innehåller emellertid inte någon motsvarighet vad gäller ekonomisk ersättning för immateriell skada. Den hänskjutande domstolen vill följaktligen få klarhet i huruvida dessa kriterier kan överföras på ekonomisk ersättning för immateriell skada som ska betalas enligt artikel 82 i dataskyddsförordningen.

17      För det fjärde har den hänskjutande domstolen erinrat om att det i skäl 146 i dataskyddsförordningen anges att begreppet skada ska ges en vid tolkning för att säkerställa en full och effektiv ersättning för den skada som lidits. Den hänskjutande domstolen vill emellertid få klarhet i huruvida hänvisningen till en ”effektiv” ersättning innebär att skadestånd för en immateriell skada ska beräknas på ett sådant sätt att det har en avskräckande verkan. I förekommande fall kan personuppgiftsansvariga frestas att inte uppfylla de skyldigheter som föreskrivs i dataskyddsförordningen om kostnaden för en strikt efterlevnad av denna förordning visar sig vara högre än det skadestånd som de kan bli tvungna att betala vid en överträdelse av förordningen.

18      För det femte, och slutligen, vill den hänskjutande domstolen få klarhet i huruvida den samtidiga överträdelsen av bestämmelser i dataskyddsförordningen och bestämmelser i tysk rätt, såsom bestämmelserna om tystnadsplikt för vissa yrkesutövare, ska beaktas vid beräkningen av skadestånd för immateriell skada enligt artikel 82 i dataskyddsförordningen. Den hänskjutande domstolen har angett att den hyser tvivel i detta avseende, eftersom de relevanta tyska bestämmelser som är aktuella i förevarande fall redan var i kraft när dataskyddsförordningen antogs och således inte kan anses utgöra delegerade akter eller genomförandeakter som antagits i enlighet med denna förordning i den mening som avses i skäl 146 i förordningen.

19      Mot denna bakgrund beslutade Amtsgericht Wesel (Distriktsdomstolen i Wesel) att vilandeförklara målen och ställa följande frågor till EU-domstolen:

”1)      Räcker det, för att motivera rätt till skadeersättning enligt artikel 82.1 i [dataskyddsförordningen], att en bestämmelse [i denna förordning] som skyddar sökanden har överträtts, eller krävs det, utöver att bestämmelserna som sådana har överträtts, att sökanden har lidit ytterligare skada?

2)      Krävs det enligt unionsrätten att en skada har en viss allvarlighetsgrad för att motivera rätt till ersättning för immateriell skada enligt artikel 82.1 i dataskyddsförordningen?

3)      Särskilt önskas svar på följande fråga: Räcker det, för att motivera rätt till ersättning för immateriell skada enligt artikel 82.1 i dataskyddsförordningen, att sökanden befarar att hans eller hennes personuppgifter har kommit i händerna på tredje part till följd av överträdelser av bestämmelserna i dataskyddsförordningen, men detta inte kan styrkas?

4)      Är det förenligt med unionsrätten att den nationella domstolen, när den beräknar ersättningen för immateriell skada enligt artikel 82.1 i dataskyddsförordningen, gör en analog tillämpning av de kriterier i artikel 83.2 andra meningen i dataskyddsförordningen vilka enligt sistnämnda bestämmelses ordalydelse endast gäller för sanktionsavgifter?

5)      Ska beloppet för rätt till ersättning för immateriell skada enligt artikel 82.1 i dataskyddsförordningen också beräknas med hänsyn till att omfattningen av den rätt till ersättning som utdöms kan ha avskräckande verkan och/eller att en ’kommersialisering’ (ett kalkylerat accepterande av betalning av sanktionsavgifter eller skadestånd) av överträdelser kan hindras?

6)      Är det förenligt med unionsrätten att, när ersättningen för immateriell skada enligt artikel 82.1 i dataskyddsförordningen beräknas, samtidigt beakta överträdelser av nationella bestämmelser som syftar till att skydda personuppgifter men som emellertid inte är delegerade rättsakter eller genomförandeakter vilka har antagits i enlighet med den aktuella förordningen eller nationell lagstiftning som syftar till att förtydliga bestämmelser i denna förordning?”

 Prövning av tolkningsfrågorna

 Den första och den andra tolkningsfrågan

20      Den hänskjutande domstolen har ställt den första och den andra frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att en överträdelse av denna förordning i sig är tillräcklig för att grunda en rätt till ersättning enligt denna bestämmelse, eller om den registrerade även måste styrka att det föreligger en skada som har en viss allvarlighetsgrad och som orsakats av denna överträdelse.

21      I artikel 82.1 i dataskyddsförordningen anges att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”.

22      EU-domstolen har redan slagit fast att det tydligt framgår av ordalydelsen i artikel 82.1 i dataskyddsförordningen att förekomsten av en materiell eller immateriell ”skada” eller en ”skada” som har ”lidits” utgör en av förutsättningarna för rätt till ersättning enligt nämnda bestämmelse, liksom att det ska föreligga en överträdelse av dataskyddsförordningen och ett orsakssamband mellan den uppkomna skadan och överträdelsen, och att dessa tre förutsättningar således är kumulativa (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 32, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 34).

23      Det kan således inte anses att varje ”överträdelse” av dataskyddsförordningen i sig ger den registrerade en sådan rätt till ersättning som avses i artikel 4 led 1 i förordningen. Den separata hänvisningen till ”skada” i förhållande till ”överträdelse” i artikel 82.1 i dataskyddsförordningen skulle vara överflödig om unionslagstiftaren hade ansett att en överträdelse av denna förordning i sig, under alla omständigheter, skulle räcka för att rätt till ersättning skulle föreligga (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 33 och 34).

24      Här av följer att artikel 82.1 i dataskyddsförordningen ska tolkas så, att enbart den omständigheten att bestämmelserna i denna förordning har överträtts inte i sig är tillräcklig för att ge rätt till ersättning (dom av den 4 maj 2023, Österreichische Post (Immateriell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 42).

25      Den som begär ersättning för immateriell skada med stöd av denna bestämmelse måste följaktligen styrka inte bara att bestämmelserna i denna förordning har överträtts, utan även att denna överträdelse har orsakat vederbörande en sådan skada, vilken således inte kan presumeras enbart på grund av nämnda överträdelse (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 42 och 50, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 35).

26      Vad gäller det sistnämna villkoret utgör artikel 82.1 i dataskyddsförordningen hinder för en nationell regel eller praxis som innebär att en förutsättning för ersättning för immateriell skada i bestämmelsens mening är att den skada som den registrerade har lidit är av en viss allvarlighetsgrad (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 51, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 36).

27      Enligt artikel 82.1 i förordningen är denna person emellertid skyldig att bevisa att vederbörande faktiskt har lidit materiell eller immateriell skada (se, för ett liknande resonemang, dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 39).

28      Mot bakgrund av det ovan anförda ska den första och den andra frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att enbart den omständigheten att förordningen har överträtts inte är tillräcklig i sig för att ge rätt till ersättning enligt denna bestämmelse. Den registrerade måste även styrka att det föreligger en skada som orsakats av denna överträdelse, dock utan att skadan måste vara av en viss allvarlighetsgrad.

 Den tredje frågan

29      Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att den fruktan som en person känner för att hans eller hennes personuppgifter till följd av en överträdelse av förordningen kan ha lämnats ut till tredje parter, utan att det kan styrkas att detta faktiskt har skett, är tillräckligt för att det ska uppkomma en rätt till ersättning för immateriell skada.

30      Det framgår av beslutet om hänskjutande att kärandena i det nationella målet med stöd av dataskyddsförordningen yrkar ersättning för immateriell skada på grund av att de förlorat kontrollen över sina personuppgifter som har behandlats, utan att de kan visa i vilken utsträckning tredje parter faktiskt har fått kännedom om dessa uppgifter.

31      Eftersom artikel 82.1 i dataskyddsförordningen inte innehåller någon hänvisning till medlemsstaternas interna rätt, ska begreppet ”immateriell skada”, i den mening som avses i denna bestämmelse, ges en självständig och enhetlig definition som är specifik för unionsrätten (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 30 och 44, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2023:72, punkt 64).

32      Domstolen har slagit fast att det framgår inte bara av ordalydelsen i artikel 82.1 i direktivet, jämförd med skälen 85 och 146 i samma förordning – enligt vilka begreppet ”immateriell skada”, i den mening som avses i den första bestämmelsen, ska ges en vid tolkning –, utan även av förordningens syfte att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av deras personuppgifter, att den fruktan som en registrerad känner för att hans eller hennes personuppgifter kan komma att missbrukas av tredje part till följd av en överträdelse av förordningen, i sig kan anses utgöra en ”immateriell skada”, i den mening som avses i denna bestämmelse (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkterna 79–86, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 65).

33      Förlusten av kontroll över personuppgifter, även under en kort tidsperiod, kan utgöra en ”immateriell skada”, i den mening som avses i artikel 82.1 i dataskyddsförordningen, som ger rätt till ersättning under förutsättning att personen i fråga visar att han eller hon faktiskt har lidit en sådan skada, även om den är obetydlig, varvid enbart den omständigheten att bestämmelserna i denna förordning har överträtts inte i sig räcker för att ge rätt till ersättning på denna grund (se, för ett liknande resonemang, dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 66, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 42).

34      En person som anser att hans eller hennes personuppgifter har behandlats i strid med relevanta bestämmelser i dataskyddsförordningen och begär ersättning med stöd av artikel 82.1 i förordningen måste således bevisa att han eller hon faktiskt har lidit en materiell eller immateriell skada.

35      Enbart ett påstående om en fruktan, utan några styrkta negativa konsekvenser, kan således inte ge upphov till skadestånd enligt denna bestämmelse.

36      Mot bakgrund av ovanstående ska den tredje frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att den fruktan som en person känner för att hans eller hennes personuppgifter till följd av en överträdelse av förordningen kan ha lämnats ut till tredje parter, utan att det kan styrkas att detta faktiskt har skett, är tillräcklig för att det ska uppkomma en rätt till ersättning under förutsättning att denna fruktan, med dess negativa konsekvenser, är vederbörligen styrkt.

 Den fjärde och den femte frågan

37      Den hänskjutande domstolen har ställt den fjärde och den femte frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 82.1 dataskyddsförordningen ska tolkas så, att vid beräkningen av det skadestånd som ska betalas som ersättning för en skada som grundas på denna bestämmelse, ska för det första kriterierna för fastställande av administrativa sanktionsavgifter i artikel 83 i förordningen tillämpas i tillämpliga delar, och för det andra rätten till ersättning ges en avskräckande verkan.

38      För det första, vad gäller ett eventuellt beaktande av de kriterier som anges i artikel 83 i dataskyddsförordningen för att bedöma storleken på den ersättning som ska betalas enligt artikel 82 i förordningen, är det utrett att dessa båda bestämmelser eftersträvar olika mål. Medan artikel 83 i denna förordning fastställer ”[a]llmänna villkor för påförande av administrativa sanktionsavgifter”, reglerar artikel 82 i nämnda förordning ”[a]nsvar och rätt till ersättning”.

39      Härav följer att de i artikel 83 i dataskyddsförordningen angivna kriterierna för att fastställa storleken på de administrativa sanktionsavgifterna, vilka också nämns i skäl 148 i förordningen, inte kan användas för att beräkna skadeståndet enligt artikel 82 i förordningen (dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 57).

40      Dataskyddsförordningen innehåller inte någon bestämmelse som har till syfte att fastställa regler för beräkningen av det skadestånd som en registrerad, i den mening som avses i artikel 4 led 1 i förordningen, kan göra anspråk på enligt artikel 82 i förordningen, om en överträdelse av förordningen har orsakat vederbörande skada. I avsaknad av unionsrättsliga bestämmelser på området ankommer det således på varje medlemsstat att i sin rättsordning fastställa villkoren för att väcka talan för att säkerställa skyddet av enskildas rättigheter enligt artikel 82 och, i synnerhet, de kriterier som gör det möjligt att fastställa omfattningen av den ersättning som ska betalas i detta sammanhang, under förutsättning att principerna om likvärdighet och effektivitet iakttas (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 54, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 58).

41      För det andra fyller den rätt till ersättning som föreskrivs i artikel 82.1 i dataskyddsförordningen inte en avskräckande, eller bestraffande, funktion. Följaktligen kan graden av allvar av den överträdelse av förordningen varigenom den materiella eller immateriella skadan uppkommit inte påverka storleken på det skadestånd som ska betalas med stöd av denna bestämmelse, vilket innebär att detta belopp inte kan fastställas till en nivå som överstiger full ersättning för denna skada (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 86, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 60).

42      Med hänsyn till den kompensatoriska funktion som den rätt till ersättning som föreskrivs i artikel 82 i dataskyddsförordningen har, såsom framgår av skäl 146 sjätte meningen i förordningen, ska en ekonomisk ersättning som grundas på denna artikel anses vara ”full och effektiv” om den gör det möjligt att fullt ut ersätta den skada som faktiskt uppkommit till följd av en överträdelse av denna förordning, utan att det för en sådan fullständig ersättning är nödvändigt att utkräva skadestånd med en bestraffande funktion (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 57 och 58, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 61).

43      Med hänsyn till skillnaderna i ordalydelse och syfte mellan artikel 82 i dataskyddsförordningen, jämförd med skäl 146 i samma förordning, och artikel 83 i dataskyddsförordningen, jämförd med skäl 148 i samma förordning, kan de bedömningskriterier som särskilt anges i artikel 83 inte anses gälla i tillämpliga delar inom ramen för artikel 82, trots att de rättsmedel som föreskrivs i dessa båda bestämmelser kompletterar varandra för att säkerställa att förordningen följs (dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 62).

44      Mot bakgrund av ovanstående ska den fjärde och den femte frågan besvaras enligt följande. Artikel 82.1 dataskyddsförordningen ska tolkas så, att vid beräkningen av det skadestånd som ska betalas som ersättning för en skada som grundas på denna bestämmelse, ska för det första kriterierna för fastställande av administrativa sanktionsavgifter i artikel 83 i förordningen inte tillämpas i tillämpliga delar, och för det andra ska rätten till ersättning inte ges någon avskräckande verkan.

 Den sjätte frågan

45      Den hänskjutande domstolen har ställt den sjätte frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att det vid beräkningen av det skadestånd som ska betalas som ersättning för en skada som grundas på denna bestämmelse ska tas hänsyn till samtidiga överträdelser av nationella bestämmelser om skydd av personuppgifter vilka inte syftar till att precisera förordningens bestämmelser.

46      Denna fråga har ställts mot bakgrund av att kärandena i det nationella målet anser att överträdelser av bestämmelser i dataskyddsförordningen tillsammans med den tyska lagstiftning som är tillämplig på skatterådgivare, vilken antogs innan denna förordning trädde i kraft och således inte syftar till att precisera dess regler, borde medföra en höjning av det skadestånd som de yrkar med stöd av artikel 82.1 i dataskyddsförordningen, som kompensation för den immateriella skada som de påstår sig ha lidit.

47      Det framgår visserligen av skäl 146 femte meningen i dataskyddsförordningen att behandling som strider mot denna förordning ”[även] omfattar … behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser”.

48      Den omständigheten att en sådan behandling av uppgifter även har skett i strid med bestämmelser i nationell rätt om skydd av personuppgifter vilka inte syftar till att precisera bestämmelserna i denna förordning, utgör emellertid inte en relevant faktor vid beräkningen av det skadestånd som ska betalas med stöd av artikel 82.1 i dataskyddsförordningen. En överträdelse av sådana nationella bestämmelser omfattas nämligen inte av artikel 82.1 i förordningen, jämförd med skäl 146 i samma förordning.

49      Detta påverkar inte det faktum att den nationella domstolen, om det är tillåtet enligt nationell rätt, kan bevilja den registrerade en högre ersättning än den fulla och effektiva ersättning som föreskrivs i artikel 82.1 i dataskyddsförordningen om den sistnämnda ersättningen inte anses vara tillräcklig eller skälig, med beaktande av att skadan även orsakats av överträdelsen av sådana bestämmelser i nationell rätt som avses i föregående punkt.

50      Mot bakgrund av ovanstående ska den sjätte frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att det vid beräkningen av det skadestånd som ska betalas som ersättning för en skada som grundas på denna bestämmelse inte ska tas hänsyn till samtidiga överträdelser av nationella bestämmelser om skydd av personuppgifter vilka inte syftar till att precisera förordningens bestämmelser.

 Rättegångskostnader

51      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

1)      Artikel 82.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att enbart den omständigheten att förordningen har överträtts inte är tillräcklig i sig för att ge rätt till ersättning enligt denna bestämmelse. Den registrerade måste även styrka att det föreligger en skada som orsakats av denna överträdelse, dock utan att skadan måste vara av en viss allvarlighetsgrad.

2)      Artikel 82.1 i förordning 2016/679

ska tolkas så,

att den fruktan som en person känner för att hans eller hennes personuppgifter till följd av en överträdelse av förordningen kan ha lämnats ut till tredje parter, utan att det kan styrkas att detta faktiskt har skett, är tillräcklig för att det ska uppkomma en rätt till ersättning under förutsättning att denna fruktan, med dess negativa konsekvenser, är vederbörligen styrkt.

3)      Artikel 82.1 i förordning 2016/679

ska tolkas så,

att vid beräkningen av det skadestånd som ska betalas som ersättning för en skada som grundas på denna bestämmelse, ska för det första kriterierna för fastställande av administrativa sanktionsavgifter i artikel 83 i förordningen inte tillämpas i tillämpliga delar, och för det andra ska rätten till ersättning inte ges någon avskräckande verkan.

4)      Artikel 82.1 i förordning 2016/679

ska tolkas så,

att det vid beräkningen av det skadestånd som ska betalas som ersättning för en skada som grundas på denna bestämmelse inte ska tas hänsyn till samtidiga överträdelser av nationella bestämmelser om skydd av personuppgifter vilka inte syftar till att precisera förordningens bestämmelser.

Underskrifter

*      Rättegångsspråk: tyska.