Voorlopige editie

CONCLUSIE VAN ADVOCAAT-GENERAAL

M. CAMPOS SÁNCHEZ-BORDONA

van 25 mei 2023 (1)

Zaak C‑667/21

ZQ

tegen

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

[verzoek van het Bundesarbeitsgericht (hoogste federale rechter in arbeidszaken, Duitsland) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Bescherming van persoonsgegevens – Persoonsgegevens over gezondheid – Beoordeling van de arbeidsgeschiktheid van een werknemer – Medische controledienst van een zorgverzekeraar – Verwerking van persoonsgegevens over gezondheid van werknemers – Recht op schadevergoeding – Effect van de mate van schuld”

1.        Deze prejudiciële verwijzing betreft de uitlegging van verordening (EU) 2016/679(2) met betrekking tot: a) de verwerking van persoonsgegevens over gezondheid, en b) de vergoeding van schade die is geleden ten gevolge van een (vermeende) inbreuk op de AVG.

2.        Het Hof heeft zich weliswaar reeds uitgesproken over de bepalingen van de AVG(3) die van invloed zijn op deze kwesties, maar de vragen die in deze prejudiciële verwijzing worden gesteld, zijn nieuw, met uitzondering dan van de vierde vraag(4).

I.      Toepasselijke bepalingen

A.      Unierecht – AVG

3.        Relevant voor dit geschil zijn de overwegingen 4, 10, 35, 51 tot en met 54 en 146 AVG.

4.        Artikel 9 („Verwerking van bijzondere categorieën van persoonsgegevens”) bepaalt:

„1.      Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

2.      Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

[...]

b)      de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;

[...]

h)      de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;

[...]

3.      De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, punt h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden.

4.      De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren.”

5.        Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) luidt:

„1.      Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

[...]

3.      Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

[...]”

B.      Nationaal recht – Sozialgesetzbuch, Fünftes Buch

6.        Overeenkomstig § 278, lid 1, eerste zin, van het Sozialgesetzbuch, Fünftes Buch(5), wordt in elke deelstaat een medische dienst(6) van de zorgverzekeraars(7) opgericht met de rechtsvorm van een publiekrechtelijke instelling. Een van de taken die bij wet aan deze dienst zijn opgedragen, is het opstellen van adviezen om twijfels omtrent de arbeidsongeschiktheid van verzekerden weg te nemen.

7.        Volgens § 275, lid 1, eerste zin, punt 3, onder b), zijn de KV’s in bepaalde omstandigheden verplicht om, in geval van arbeidsongeschiktheid van een verzekerde die door een medisch attest wordt gestaafd, bij de betreffende MDK advies in te winnen om twijfels omtrent de arbeidsongeschiktheid van die verzekerde weg te nemen.

II.    Feiten, geding en prejudiciële vragen

8.        ZQ is sinds 1991 als werknemer in dienst bij de MDK Nordrhein (Duitsland) als systeembeheerder en helpdeskmedewerker op de IT-afdeling.

9.        De MDK stelt adviezen op over de arbeidsongeschiktheid van de verzekerden van de KV’s. Sommige van die adviezen hebben betrekking op de gezondheid van de eigen werknemers van de MDK.

10.      De gegevensverwerking geschiedt onder meer volgens de onderstaande regels, die zijn opgenomen in een interne dienstinstructie(8):

–      De „sociale gegevens” van werknemers mogen niet worden verzameld of opgeslagen op hun werkplek. Deze gegevens, die worden gegenereerd wanneer een KV de MDK opdraagt een deskundigenadvies op te stellen, mogen niet worden verward met de gegevens van de werknemers die worden verwerkt in het kader van het arbeids- of dienstverband.

–      De verzoeken om een advies over de werknemers van de MDK worden aangemerkt als „bijzondere gevallen” en worden uitsluitend door de medewerkers van een bijzondere organisatie-eenheid behandeld.(9)

–      Zodra het advies over een werknemer van de MDK is opgesteld, worden zowel de relevante stukken als het advies bewaard in het elektronisch archief van de MDK zelf. De documenten kunnen alleen via een speciale sleutel worden gekoppeld aan individuele personen, en de toegangsmachtiging wordt technisch gecontroleerd.

11.      De medewerkers van de „IT-afdeling” binnen de organisatie-eenheid „Bijzondere gevallen” hebben na archivering van het dossier toegang tot de adviezen die zijn opgesteld in het kader van een adviesopdracht met betrekking tot werknemers van de MDK. Deze medewerkers zijn bij wet gebonden door geheimhoudingsplicht.

12.      ZQ was sinds 22 november 2017 ononderbroken arbeidsongeschikt wegens ziekte.

13.      Sinds 24 mei 2018(10) ontving hij een ziekte-uitkering van zijn KV. Op 6 juni 2018 heeft die KV de MDK de opdracht gegeven een advies op te stellen om twijfels omtrent de arbeidsongeschiktheid van ZQ weg te nemen.

14.      De MDK heeft de opdracht aanvaard en toegewezen aan de organisatie-eenheid „Bijzondere gevallen”. Op 22 juni 2018 heeft een arts in dienst van de MDK, die tot voornoemde eenheid behoorde, een advies opgesteld, dat de diagnose van de ziekte van ZQ bevatte. Om dit advies op te stellen, had de arts telefonisch contact opgenomen met de behandelend arts van ZQ, die haar de nodige inlichten heeft verstrekt.

15.      De MDK heeft het advies opgeslagen in het elektronisch archief.

16.      ZQ heeft via zijn behandelend arts vernomen dat de arts van de MDK telefonisch contact met hem had opgenomen.

17.      Op 1 augustus 2018 heeft ZQ gebeld met een collega op de IT-afdeling van de MDK, aan wie hij heeft gevraagd of er een advies over hem was opgeslagen. Na opzoekingen in het archief heeft die collega deze vraag bevestigend beantwoord. Op verzoek van ZQ heeft zij foto’s genomen van het advies en deze naar ZQ verzonden.

18.      Op 15 augustus 2018 heeft ZQ de MDK op grond van artikel 82 AVG verzocht hem een vergoeding van 20 000 EUR te betalen, echter zonder succes.

19.      Op 17 oktober 2018 heeft ZQ een rechtsvordering ingesteld bij het Arbeitsgericht Düsseldorf (arbeidsrechter in eerste aanleg Düsseldorf, Duitsland). In die procedure heeft hij daarenboven een schadevergoeding gevorderd ten belope van zijn gederfde inkomsten.(11)

20.      De MDK heeft tijdens de gerechtelijke procedure het dienstverband met ZQ beëindigd.

21.      De vorderingen van ZQ zijn zowel in eerste aanleg als in hoger beroep verworpen.(12)

22.      Daarop heeft ZQ Revision ingesteld bij het Bundesarbeitsgericht (hoogste federale rechter in arbeidszaken, Duitsland), dat het Hof verzoekt om een prejudiciële beslissing over de volgende vragen:

„1)      Moet artikel 9, lid 2, onder h), [AVG] aldus worden uitgelegd dat een medische dienst van een zorgverzekeraar gezondheidsgegevens van zijn werknemer, die een voorwaarde voor de beoordeling van de arbeidsgeschiktheid van die werknemer zijn, niet mag verwerken?

2)      Voor het geval het Hof de eerste vraag ontkennend beantwoordt, met als gevolg dat krachtens artikel 9, lid 2, onder h), AVG zou kunnen worden afgeweken van het in artikel 9, lid 1, AVG gestelde verbod op verwerking van gegevens over gezondheid: moeten in een geval als het onderhavige naast de in artikel 9, lid 3, AVG vastgestelde voorwaarden nog andere vereisten inzake gegevensbescherming in acht worden genomen, en, zo ja, welke?

3)      Voor het geval het Hof de eerste vraag ontkennend beantwoordt, met als gevolg dat krachtens artikel 9, lid 2, onder h), AVG zou kunnen worden afgeweken van het in artikel 9, lid 1, AVG gestelde verbod op verwerking van gegevens over gezondheid: hangt in een geval als het onderhavige de toelaatbaarheid of rechtmatigheid van de verwerking van gegevens over gezondheid tevens ervan af of aan ten minste een van de in artikel 6, lid 1, AVG genoemde voorwaarden is voldaan?

4)      Heeft artikel 82, lid 1, AVG een specifiek of algemeen preventief karakter, en moet daarmee rekening worden gehouden bij de berekening van de hoogte van de immateriële schade die op grond van artikel 82, lid 1, AVG moet worden vergoed door de verwerkingsverantwoordelijke of de verwerker?

5)      Is de mate van schuld van de verwerkingsverantwoordelijke of de verwerker bepalend voor de berekening van de hoogte van de op grond van artikel 82, lid 1, AVG te vergoeden immateriële schade? Kan met name afwezigheid van schuld of lichte schuld van de verwerkingsverantwoordelijke of de verwerker te zijnen gunste in aanmerking worden genomen?”

III. Procedure bij het Hof

23.      Het verzoek om een prejudiciële beslissing is op 8 november 2021 ingekomen bij het Hof.

24.      ZQ, de MDK, de Ierse en de Italiaanse regering alsmede de Europese Commissie hebben schriftelijke opmerkingen ingediend.

25.      Het houden van een terechtzitting is niet noodzakelijk geacht.

26.      Op aanwijzing van het Hof zal ik in deze conclusie niet ingaan op de vierde prejudiciële vraag.(13)

IV.    Analyse

A.      Eerste prejudiciële vraag

27.      De verwijzende rechter wenst te vernemen of artikel 9, lid 2, onder h), AVG een MDK verbiedt om gegevens over de gezondheid van een van zijn eigen werknemers, die een voorwaarde voor de beoordeling van diens arbeidsgeschiktheid zijn, te verwerken. Hij stelt dus de rechtmatigheid van de verwerking door de entiteit die de verwerking uitvoert ter discussie.(14)

28.      Artikel 9 AVG regelt bijzondere categorieën van gegevens, zoals gegevens over iemands gezondheid. Dit artikel bevat een algemeen verbod op de verwerking van „gevoelige” gegevens (lid 1) en een uitputtende opsomming van de omstandigheden waarin het algemene verbod niet van toepassing is (lid 2).

29.      Artikel 9, lid 2, onder h), AVG bevat meer in het bijzonder een uitzondering (op het algemene verbod) voor de verwerking van persoonsgegevens „voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten”.

30.      Deze bepaling dekt de aan de orde zijnde gedraging van de MDK mijns inziens afdoende.(15) Dat de verwerkingsverantwoordelijke tegelijkertijd de werkgever van de betrokkene is, doet niet ter zake aangezien de MDK niet als werkgever optreedt, maar wel als medische dienst van een KV waarbij de betrokkene was aangesloten.(16)

31.      Volgens mij is er geen reden om artikel 9, lid 2, onder h), AVG aldus uit te leggen dat het een medische dienst verbiedt de gezondheidsgegevens van zijn werknemers te verwerken voor de in die bepaling vermelde doeleinden. De gebruikelijke uitleggingscriteria leiden veeleer tot de tegenovergestelde oplossing (het ontbreken van een dergelijk verbod).

32.      Naar de letter genomen, bevat artikel 9, lid 2, onder h), AVG geen uitsluiting in die zin, noch stelt het als voorwaarde voor de verwerking dat de verwerkingsverantwoordelijke een „neutrale derde” is.(17)

33.      Uit de ontstaansgeschiedenis en de ontwikkeling van de bepaling blijkt evenmin een verbod in de zin van de eerste prejudiciële vraag of het voornemen om in een dergelijk verbod te voorzien.(18)

34.      De doelstelling van de AVG-regels inzake de verwerking van gegevens over gezondheid is, zoals het Hof heeft geoordeeld(19), de betrokkenen een versterkte bescherming te bieden, gelet op de bijzondere gevoeligheid van deze gegevens voor de betrokken grondrechten. Ten behoeve van die doelstelling is in artikel 9, lid 1, AVG voorzien in een algemeen verbod, dat echter niet absoluut is.(20)

35.      Op dit gebied heeft de wetgever er net als op andere gebieden betreffende de verwerking van persoonsgegevens voor gekozen om, na vaststelling van het algemene verbod:

–      te voorzien in uitzonderingen, in de vorm van een lijst van specifieke situaties, die (grosso modo) kunnen worden gegroepeerd in situaties waarin de betrokkene toestemming geeft voor de verwerking of er baat bij heeft en situaties waarin er zwaardere belangen spelen dan die van de betrokkene;

–      voor een bepaald type verwerking te voorzien in specifieke waarborgen die strikter zijn dan de waarborgen voor de overige „niet-gevoelige” persoonsgegevens en die bovenop laatstgenoemde waarborgen gelden(21);

–      de lidstaten in de gelegenheid te stellen om andere voorwaarden op te leggen en zelfs beperkingen te stellen aan de verwerking van persoonsgegevens. Dit is bijvoorbeeld het geval voor gegevens over gezondheid (artikel 9, lid 4, AVG en overweging 53 in fine) of voor gegevens over werknemers in het kader van de arbeidsverhouding (artikel 88 AVG).(22)

36.      In abstracto staat er dus niets aan in de weg dat de specifieke waarborgen waarnaar ik zojuist heb verwezen, voor een MDK een verbod behelzen om gezondheidsgegevens van zijn werknemers te verwerken. Die mogelijkheid (die de Uniewetgever niet heeft opgenomen) lijkt me echter niet absoluut noodzakelijk om voornoemde doelstelling te behalen.

37.      Derhalve ben ik van mening dat het verbod waarnaar de verwijzende rechter vraagt, niet het onvermijdelijke gevolg is van een teleologische uitlegging van artikel 9, lid 2, onder h), AVG.

38.      Evenmin denk ik dat een systematische uitlegging van de bepaling tot een andere oplossing zou leiden, en wel om de volgende redenen:

–      indien ter wille van de argumentatie wordt aangenomen dat artikel 9, lid 2, onder b), AVG moet worden opgevat als de enige rechtsgrond voor een werkgever om gezondheidsgegevens van zijn werknemers te verwerken(23), laat dit de mogelijkheid onverlet dat dezelfde entiteit, ondertussen niet meer als werkgever, maar wel als medische dienst die de opdracht van een KV aanvaardt, de verwerking verricht op grond van een andere uitzondering uit hetzelfde artikel 9, lid 2(24);

–      in artikel 9, lid 3, AVG zijn de voorwaarden vastgesteld die gelden voor degenen die persoonsgegevens over gezondheid verwerken. In artikel 9, lid 2, onder h), is uitdrukkelijk verwezen naar lid 3; subjectief gezien is de verwerking niet onderworpen aan enige andere voorwaarde.(25)

39.      Derhalve geef ik in overweging om de eerste prejudiciële vraag ontkennend te beantwoorden (te weten dat in de AVG geen sprake is van het betrokken verbod), zodat de volgende vraag kan worden behandeld.

B.      Tweede prejudiciële vraag

40.      Indien het antwoord op de eerste prejudiciële vraag (zoals ik voorstel) ontkennend luidt, wenst de verwijzende rechter te vernemen of „in een geval als het onderhavige naast de in artikel 9, lid 3, AVG vastgestelde voorwaarden nog andere vereisten inzake gegevensbescherming in acht [moeten] worden genomen, en, zo ja, welke”.

41.      Het antwoord op deze vraag zou algemeen gesproken geen grote problemen mogen opleveren.(26) Het Hof heeft er immers op gewezen dat elke verwerking van persoonsgegevens moet stroken met de beginselen van artikel 5 AVG en moet beantwoorden aan een van de in artikel 6 gestelde rechtmatigheidsvoorwaarden.(27)

42.      Volgens de verwijzende rechter volstaat de nakoming van de geheimhoudingsplicht (artikel 9, lid 3, AVG) niet om de gegevens te beschermen in omstandigheden als die van de onderhavige zaak. Hij stelt andere aanvullende maatregelen voor die volgens hem de enige zijn die daarvoor geschikt zijn.(28)

43.      Naar mijn opvatting kan artikel 9, lid 3, AVG als zodanig niet als basis dienen voor deze aanvullende maatregelen. De duidelijke formulering ervan (die slechts een reeds in richtlijn 95/46 opgenomen bepaling verfijnt)(29) verschaft geen onderbouwing voor voorstellen zoals dat van de verwijzende rechter.

44.      Deze voorstellen zouden daarentegen wel een basis kunnen vinden in artikel 9, lid 4, AVG. Volgens dat lid kunnen de lidstaten „bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van [...] gegevens over gezondheid handhaven of invoeren”.(30) Uit de verwijzingsbeslissing blijkt echter niet dat dit in Duitsland het geval is geweest.

45.      Dat gezegd zijnde, en om de redenen die ik hierboven heb uiteengezet, moet de verwerking van persoonsgegevens over gezondheid onder meer voldoen aan de beginselen van artikel 5, lid 1, onder f), AVG en de daaruit voortvloeiende verplichtingen die in hoofdstuk IV van dezelfde tekst zijn uitgewerkt.

46.      De verwerkingsverantwoordelijke(31) moet daarnaast passende technische en organisatorische maatregelen treffen om te waarborgen dat een concrete verwerking in overeenstemming met de AVG wordt uitgevoerd. Dit is algemeen bepaald in artikel 24, lid 1.

47.      De verwerkingsverantwoordelijke is volgens artikel 32, lid 1, AVG meer in het bijzonder verplicht om „passende technische en organisatorische maatregelen [te treffen] om een op het risico [voor de desbetreffende persoonsgegevens] afgestemd beveiligingsniveau te waarborgen”.

48.      Worden deze regels op de onderhavige zaak toegepast, dan is de MDK als werkgever van ZQ bij de verwerking van diens gezondheidsgegevens gehouden tot een grotere zorgplicht dan gewoonlijk, omdat de risico’s ook groter zijn.(32)

49.      De MDK is zich hiervan bewust. Wanneer de MDK in opdracht van een KV waarbij zijn werknemer is aangesloten, adviezen opstelt om twijfels over de arbeids(on)geschiktheid van die werknemer weg te nemen, past hij een reeks technische en organisatorische ad-hocmaatregelen toe om de verwerking van persoonsgegevens over gezondheid in overeenstemming te brengen met de AVG.(33)

50.      Het staat aan de verwijzende rechter om deze maatregelen te beoordelen en na die beoordeling in voorkomend geval te beslissen dat de getroffen maatregelen niet toereikend waren. Op basis hiervan kan echter niet uit artikel 9 AVG worden afgeleid dat de MDK’s verplicht zijn om elk verzoek van een KV om een medisch advies (over hun werknemers) ambtshalve te weigeren.(34)

C.      Derde prejudiciële vraag

51.      Indien de eerste prejudiciële vraag ontkennend moet worden beantwoord, wenst de verwijzende rechter met de derde vraag te vernemen of de uitzondering op het verbod op verwerking van gezondheidsgegevens ervan afhangt of „tevens [...] aan ten minste een van de in artikel 6, lid 1, AVG genoemde voorwaarden is voldaan”.

52.      Om die vraag te beantwoorden, moet het verband worden geanalyseerd tussen artikel 9, lid 2, AVG en artikel 6 ervan, dat de rechtmatigheid van de verwerking betreft. Dat dit laatste artikel bij elke gegevensverwerking moet worden nageleefd, is vastgesteld in arresten van het Hof die ik al heb aangehaald.(35)

53.      Met name heeft het Hof in zijn arrest in zaak C‑439/19(36) artikel 10 AVG, dat ziet op de verwerking van andere gevoelige persoonsgegevens (namelijk persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten)(37), aldus uitgelegd dat artikel 6 AVG en artikel 10 AVG cumulatief moeten worden toegepast.

54.      Geldt dat uitgangspunt ook voor de in artikel 9 AVG bedoelde persoonsgegevens?

55.      Artikel 9 AVG en artikel 10 AVG hebben een verschillende structuur. Artikel 10 bevat een uitdrukkelijke verwijzing naar artikel 6, lid 1, AVG, die niet terug te vinden in is in artikel 9.

56.      De inhoud van artikel 9, lid 2, en artikel 10 AVG is evenmin vergelijkbaar: artikel 10 geeft slechts een subjectieve beperking van de verwerking aan, terwijl in artikel 9, lid 2, doeleinden (of voorwaarden) zijn vastgesteld die deze beperking rechtvaardigen, net als in artikel 6, lid 1.

57.      De parallellen tussen artikel 6, lid 1, en artikel 9, lid 2, AVG zijn in wezen van dien aard dat het op het eerste gezicht lijkt alsof de in die laatste bepaling genoemde voorwaarden een nadere uitwerking zijn van de voorwaarden die in de eerste worden gesteld: zij verduidelijken die voorwaarden en maken ze tegelijkertijd zwaarder.

58.      De ontstaansgeschiedenis en ontwikkeling van artikel 9 AVG spreken evenwel tegen dat het verband tussen dit artikel en artikel 6 kan worden uitgelegd in termen van „lex specialis” en „lex generalis”.

59.      Het staat vast dat deze uitlegging daadwerkelijk werd aangevoerd door de delegaties van bepaalde lidstaten.(38) In de documenten met betrekking tot de onderhandelingen over artikel 9 wordt echter geen melding gemaakt van meningsverschillen ten aanzien van de verwijzing naar artikel 6(39), maar wel ten aanzien van de draagwijdte ervan (alleen naar lid 1, of ook naar andere leden?)(40). Uiteindelijk werd de verwijzing naar artikel 6 in artikel 9 geschrapt(41) en werd ervoor gekozen om in de considerans een paragraaf te handhaven die vergelijkbaar is met de huidige overweging 51 van de AVG(42).

60.      Het idee dat de twee bepalingen cumulatief of complementair zijn, wordt gedeeld door het Europees Comité voor gegevensbescherming(43) en werd door de zogeheten Groep gegevensbescherming artikel 29(44) verdedigd met betrekking tot artikel 8 van richtlijn 95/46(45). Het is echter geen onbetwiste opvatting, noch in de rechtsleer, noch in andere relevante fora.(46)

61.      Gelet op de verschillende punten van artikel 9, lid 2, AVG ben ik geneigd te denken dat op de vraag naar het verband tussen deze bepaling en artikel 6 in werkelijkheid geen algemeen geldend antwoord kan worden gegeven. Het is namelijk zo dat:

–      uitzonderingen op het verbod op verwerking als bedoeld in artikel 9, lid 2, onder a), c), g) en i)(47), rechtstreeks verband houden met een specifieke rechtsgrond van artikel 6, lid 1, AVG en die rechtsgrond overnemen;

–      datzelfde niet geldt voor andere uitzonderingen die zijn opgenomen in artikel 9, lid 2, AVG, waarvoor wél een aanvullende motivering nodig is op grond van artikel 6, lid 1. Dat is mijns inziens bijvoorbeeld het geval voor artikel 9, lid 2, onder h), waarop deze prejudiciële vraag betrekking heeft.

62.      Derhalve ben ik van mening dat, wil de bij artikel 9, lid 2, onder h), AVG toegestane verwerking van gevoelige gegevens rechtmatig zijn, moet worden nagegaan welke van de in artikel 6, lid 1, beschreven voorwaarden deze verwerking in elk afzonderlijk geval rechtvaardigt.

63.      De verwijzende rechter betwist niet dat dit het geval is: hij baseert zich veeleer op deze premisse om te verwerpen dat de door de MDK uitgevoerde verwerking gerechtvaardigd is op grond van artikel 6.(48)

64.      Op het eerste gezicht lijkt mij geen rangorde te bestaan tussen de rechtsgronden waarin die bepaling voorziet. Een diepgaandere analyse zou kunnen uitwijzen dat deze zienswijze moet worden genuanceerd.(49) Een dergelijke analyse zou mijns inziens echter verder gaan dan nodig is om op de prejudiciële vragen te antwoorden.(50)

65.      Kortom, het antwoord op de derde prejudiciële vraag moet de verwijzende rechter erop attenderen dat de uitzondering op het verbod op verwerking van gezondheidsgegevens vereist dat aan ten minste een van de in artikel 6, lid 1, AVG genoemde voorwaarden is voldaan.

D.      Vijfde prejudiciële vraag

66.      De verwijzende rechter wenst te vernemen of „de mate van schuld van de verwerkingsverantwoordelijke of de verwerker bepalend [is] voor de berekening van de hoogte van de op grond van artikel 82, lid 1, AVG te vergoeden immateriële schade” en met name of „afwezigheid van schuld of lichte schuld van de verwerkingsverantwoordelijke of de verwerker te zijnen gunste in aanmerking [kan] worden genomen”.

67.      Daarbij gaat hij ervan uit dat er sprake is van een inbreuk op de AVG(51) die werd begaan door degene die optreedt als verwerkingsverantwoordelijke en vraagt hij zich af of de mate van schuld van die verwerkingsverantwoordelijke van belang is voor het berekenen van de vergoeding van de uit die inbreuk voortvloeiende schade. Volgens de verwijzende rechter staat niet vast dat afwezigheid van schuld of lichte schuld van de verwerkingsverantwoordelijke als ontlastend bewijs kan worden beschouwd.

68.      Letterlijk genomen is de vraag gericht op de berekening van de vergoeding. De toelichting bij de vraag heeft echter tot enige verwarring geleid, aangezien niet duidelijk was of naar de schuld werd verwezen als voorwaarde voor de toerekening van aansprakelijkheid, dan wel als factor om het bedrag van de schadevergoeding aan te passen.

69.      Op het verzoek van het Hof om deze dubbelzinnigheid te verduidelijken, heeft de verwijzende rechter verklaard dat de vraag beide aspecten betrof, zonder nader in te gaan op het verband met het hoofdgeding.

70.      Gelet op dat antwoord zal ik de door de verwijzende rechter opgeworpen vragen beantwoorden nadat ik (eveneens) de vragen van de MDK over het mogelijke aandeel van de betrokkene in het ontstaan van de schade heb onderzocht. (52) Mijn uiteenzetting omvat drie stappen:

–      in de eerste stap zal ik ingaan op de in artikel 82 AVG bedoelde toerekening van aansprakelijkheid;

–      in de tweede stap zal ik de eventuele invloed van de raadpleging van persoonsgegevens door een werknemer van de verwerkingsverantwoordelijke onderzoeken(53), waarbij het feit dat deze werknemer de gegevens op verzoek van de betrokkene heeft geraadpleegd, een specifiek en wezenlijk element van dit scenario uitmaakt;

–      in de derde stap zal ik een standpunt innemen over de gevolgen die de mate van schuld van de verwerkingsverantwoordelijke kan hebben voor de concrete berekening van de te vergoeden immateriële schade.

1.      Grond voor toerekening van wettelijke aansprakelijkheid volgens artikel 82 AVG

71.      De verwijzende rechter is van mening dat de wettelijke aansprakelijkheid (van de verwerkingsbeheerder(54)) krachtens artikel 82, lid 1, AVG niet afhangt van het bestaan of het bewijs van opzet of nalatigheid. Hij voegt daaraan toe dat lid 3 van datzelfde artikel daaraan niet afdoet.

72.      Ik erken dat niet duidelijk is voor welk model van wettelijke aansprakelijkheid in de AVG is gekozen en dat er a priori verschillende uitleggingen mogelijk zijn.(55) De opvatting van de verwijzende rechter is daar één van en is mijns inziens juist.

73.      De uitlegging van artikel 82, lid 1, AVG dat bij dit artikel een wettelijke aansprakelijkheidsregeling is ingesteld die losstaat van de schuld van de verwerkingsbeheerder, strookt volgens mij met de letter van de bepaling, wordt rechtstreeks gestaafd door de ontstaansgeschiedenis ervan en, belangrijker nog, komt het doel van de regeling ten goede. Deze uitlegging is aanvaardbaar gelet op andere leden van dit artikel en op het stelsel in zijn geheel.

a)      Aan de tekst ontleende argumentatie

74.      Het door de verwijzende rechter verdedigde standpunt strookt met de bewoordingen van artikel 82, lid 1, AVG. Letterlijk beschouwd hangt het recht om schadevergoeding te verkrijgen ten laste van de verwerkingsverantwoordelijke zonder meer samen met de schade die wordt geleden als gevolg van een inbreuk op de AVG zelf.

75.      De overige leden van artikel 82 doen daar niet aan af.(56) Met name zou ik geen vereiste van schuld durven af te leiden uit het woord „imputable” („toerekenbaar”) in artikel 82, lid 3, dat immers slechts in enkele taalversies van de AVG voorkomt. In andere taalversies wordt daarentegen het woord „verantwoordelijk” gebruikt. In de Duitse versie wordt noch in artikel 82, noch in de considerans de technische term voor de toerekening van schuld („Verschulden”) gehanteerd.(57)

76.      Uit een vergelijking van de verschillende bepalingen van de AVG blijkt dat de gebruikte begrippen niet altijd eenduidig zijn. Bij het formuleren van conclusies op basis van de bewoordingen ervan is dus uiterste voorzichtigheid geboden. In de Engelse versie wordt het woord „responsible” bijvoorbeeld in meerdere betekenissen gebruikt.(58)

77.      Dat in artikel 82 AVG niet wordt verwezen naar de opzet of de schuld van de verwerkingsverantwoordelijke, staat in contrast met hetgeen in artikel 83 met betrekking tot administratieve geldboeten is bepaald: „Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval” naar behoren rekening gehouden met de opzettelijke of nalatige aard van de inbreuk op de AVG.(59)

78.      Ook al wordt het criterium van een letterlijke uitlegging vanwege de verschillen tussen de taalversies afgezwakt, het bevestigt ten minste het idee dat noch de opzet, noch de schuld wordt vermeld in artikel 82 AVG en dat het ontbreken daarvan bewust is en niet aan een onoplettendheid van de wetgever is toe te schrijven.

b)      Ontstaansgeschiedenis

79.      De discussie over de grond voor toerekening van aansprakelijkheid die uiteindelijk in de AVG is opgenomen, wordt vertroebeld door de context waarin deze discussie in de Raad heeft plaatsgevonden toen het ging over het geval waarin er meerdere actoren bij de verwerking betrokken zijn.

80.      Deze discussie raakte vermengd met procedurele overwegingen, zonder enig conceptueel mechanisme om een onderscheid te maken tussen enerzijds de rol van schuld als grond voor toerekening van aansprakelijkheid en anderzijds de afwezigheid van schuld als grond voor vrijstelling van diezelfde aansprakelijkheid op het niveau van het oorzakelijke verband.

81.      Toch pleit de ontstaansgeschiedenis mijns inziens voor een uitlegging van artikel 82, lid 1, AVG waarbij de wettelijke aansprakelijkheid niet afhangt van de schuld van de verwerkingsverantwoordelijke.

82.      Het voorstel van de Commissie volgde richtlijn 95/46 en bevatte geen verwijzing naar nalatigheid. In documenten van de Raad wordt vermeld dat de beoogde aansprakelijkheid de vorm aanneemt van „strict liability”.(60)

83.      Een amendement dat werd voorgesteld binnen de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Parlement zou aan artikel 82 (toen 77), lid 1, een betekenis hebben gegeven waarbij de aansprakelijkheid samenhing met opzet of nalatigheid.(61) Dat amendement werd verworpen.(62)

84.      In de Raad werd de discussie over artikel 77 en het toerekeningscriterium gevoerd in verband met de toerekening en verdeling van de aansprakelijkheid wanneer bij dezelfde verwerking meerdere personen betrokken zijn. In die context stelde het voorzitterschap voor om te kiezen tussen twee opties(63):

–      Bij de eerste optie(64) zou elke verwerkingsbeheerder of verwerker juridisch aansprakelijk zijn voor de volledige schade jegens de betrokkene(65) wanneer hij de verplichtingen die krachtens de AVG op hem rusten, heeft geschonden.(66) Zijn rol in de schade, al is die miniem, zou de betrokkene in staat stellen het volledige bedrag van de schadevergoeding van hem te vorderen, of, in het geval van meerdere partijen, van elk van die partijen.(67) Elke partij zou evenwel worden ontheven van aansprakelijkheid indien zij kan aantonen dat zij op geen enkele wijze verantwoordelijk („responsible”) is voor de schade („0 % responsibility”); zo zou uit lid 3 van het artikel blijken. Het model wordt omschreven als „closer (but certainly not equal to) to the ‚liability follows fault principle’”.(68)

–      Volgens de tweede optie zou de verwerkingsbeheerder de dwingende verplichting hebben om de betrokkene te vergoeden voor alle schade, in het kader van een soort absolute aansprakelijkheid, aangezien niet in een vrijstelling is voorzien.(69) De vordering van de betrokkene tegen de verwerker zou slechts subsidiair worden ingesteld.(70) Voor de verwerker is evenmin in een vrijstelling voorzien.

85.      De compromistekst die het voorzitterschap ter aanneming als algemene oriëntatie voorlegde(71), volgde de eerste optie, al werden het uitzonderlijke karakter van de vrijstelling en de moeilijkheid om het bewijs ervoor te leveren, versterkt met de bewoordingen van artikel 77, lid 3: „[...] if it [de verwerkingsverantwoordelijke/verwerker] proves that it is not in any way responsible [...]”.(72) Deze formulering komt overeen met het artikel dat uiteindelijk is vastgesteld.

86.      Kortom, de analyse van het wetgevingsproces dat tot de definitieve tekst van de AVG heeft geleid, pleit voor de conclusie dat de aansprakelijkheid zoals bedoeld in artikel 82, lid 1, niet samenhangt met de schuld van de verwerkingsbeheerder.

c)      Doel

87.      Met de AVG wordt een stelsel opgezet dat een hoge mate van bescherming van natuurlijke personen moet waarborgen en tegelijkertijd belemmeringen voor het verkeer van persoonsgegevens moet wegnemen.(73) Binnen dat stelsel strekt artikel 82 tot vergoeding van schade, al dient het secundair ook om gedragingen die niet in overeenstemming zijn met de voorschriften ervan te ontmoedigen of te voorkomen.(74)

88.      Het verzekeren van de schadevergoeding is een doel op zich: dat blijkt uit het belang dat de wetgever eraan hecht en uit de enkele lezing van de tekst. Voor de AVG is het ontvangen van een vergoeding in geval van schade een recht van de betrokkene; het begrip schadevergoeding moet in ruime zin worden opgevat, en de schade moet volledig en daadwerkelijk worden vergoed.

89.      De vergoeding hangt samen met de wens het vertrouwen van de burgers in de digitale omgeving te versterken, wat als algemene doelstelling in overweging 7 van de AVG is opgenomen. Waarborgen dat betrokkenen in beginsel niet zonder meer opdraaien voor de schade die voortvloeit uit een onrechtmatige verwerking van hun gegevens, helpt om dat vertrouwen te versterken: hun vermogen is veilig en het is procedureel gezien eenvoudiger om een vordering in te stellen.

90.      Het strookt met deze benadering dat de verplichting tot schadevergoeding in artikel 82, lid 1, AVG niet is gekoppeld aan het niet-nakomen van een zorgplicht. Die verplichting wordt bij besluit van de wetgever toegewezen aan degene die in de relatie een bepaalde positie van poortwachter of garant inneemt, en wel juist vanwege dit feit.

91.      Relevant voor de AVG is dus de situatie van de gelaedeerde die de uit de inbreuk voortvloeiende schade lijdt, terwijl geen enkele regeling hem verplicht deze schade te dragen.

92.      Het is voor de gelaedeerde niet van belang of er bij het ontstaan van de schade al dan niet sprake was van schuld van degene die de schade heeft veroorzaakt: doorslaggevend is dat de verwerkingsbeheerder hem de materiële of immateriële schade heeft berokkend die voortvloeit uit de door die verwerkingsbeheerder gepleegde inbreuk op de AVG.

93.      De beschreven doelstellingen kunnen gemakkelijker worden bereikt in een model waarin de bewezen schade:

–      in alle gevallen wordt vergoed (behalve in het uitzonderlijke geval van vrijstelling), en

–      leidt tot een (relatief) gemakkelijk te verkrijgen vergoeding, niet alleen omdat de schuld van de verwerkingsverantwoordelijke niet hoeft te worden bewezen, maar ook omdat de toerekening, daar er sprake is van een inbreuk en daarmee samenhangende schade, niet afhangt van enige mate van schuld.

94.      In het kader van de aanpassing aan de digitale revolutie(75) lijkt deze oplossing mij logisch. De snelle technologische ontwikkelingen vereisen dat de afwezigheid van opzet of nalatigheid bij de meest gebruikelijke gegevensverwerkingsactiviteiten die online plaatsvinden, niet in de weg staat aan de vergoeding van schade die anders niet zou worden vergoed.

d)      Stelsel

95.      De uitlegging die ik voorstel, sluit beter aan bij het stelsel van de AVG. Lid 3 van artikel 82 bevestigt dit: de verwerkingsverantwoordelijke wordt vrijgesteld indien „hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit”.

96.      In die formulering valt de zinsnede „op geen enkele wijze” op, waarmee de indruk wordt gewekt dat het hier geen model op basis van schuld (al was het maar zeer lichte schuld) met omkering van de bewijslast betreft.

97.      Oordelen dat de schadevergoeding niet afhankelijk is van de schuld van de verwerkingsverantwoordelijke verleent artikel 82 een eigen betekenis binnen hoofdstuk VIII en uiteindelijk binnen de AVG in haar geheel.

98.      De Uniewetgever gaat ervan uit dat de verwerking van persoonsgegevens een bron van risico’s kan zijn. Hij verplicht actoren die bij de verwerking betrokken zijn, ertoe die risico’s te beoordelen en passende maatregelen te treffen om de vastgestelde risico’s te voorkomen en tot een minimum te beperken.(76)

99.      Er is gesteld dat een wettelijke aansprakelijkheidsregeling op basis van schuld de zorgvuldigheid en daarmee de bescherming tegen risico’s ten goede komt, terwijl het alternatieve model, waarin niet wordt gekeken naar hoe de actor zich heeft gedragen, hem zou ontmoedigen voorzichtigheid aan de dag te leggen (omdat hij, als er sprake is van schade, die schade hoe dan ook zal moeten vergoeden).

100. Volgens mij is dit resultaat in het kader van de AVG(77) aanvaardbaar. Artikel 82 past in een complexe regelgevingsstructuur, met publiekrechtelijke en privaatrechtelijke instrumenten ter bescherming van de persoonsgegevens. Binnen die structuur zijn nalatigheid (en opzet) van belang voor de toepassing van administratieve sancties. Ik zie niet in waarom zij ook relevant zouden moeten zijn voor de wettelijke aansprakelijkheid(78), aangezien dat ten koste zou gaan van de doelstellingen van artikel 82 en bovendien afbreuk zou doen aan de praktische aantrekkelijkheid van het rechtsmiddel waarin dat artikel voorziet.

2.      Gevolgen van het gedrag van de betrokkene

101. De vragen over de noodzaak van schuld van de verwerkingsverantwoordelijke houden in deze zaak verband met de gevolgen die kunnen voortvloeien uit het gedrag van de betrokkene.(79)

102. Voor een goed begrip van wat volgt, moet worden verduidelijkt dat de omstandigheden van het geding vanuit twee scenario’s zijn bekeken:

–      In het eerste vormt de verwerking van de persoonsgegevens van ZQ door de MDK een inbreuk op de AVG (artikel 9 of 6 daarvan). De inbreuk veroorzaakt op zichzelf schade.(80)

–      In het tweede vormt de beschreven gegevensverwerking geen inbreuk op de AVG en veroorzaakt zij geen schade. De schade zou voortvloeien uit de raadpleging van de gegevens door een concrete werknemer van de MDK op verzoek van de betrokkene.(81)

103. In elk geval ben ik van mening dat, zoals ook de verwijzende rechter lijkt aan te nemen(82), er naar artikel 82, lid 3, moet worden gekeken om vast te stellen welke (eventuele) gevolgen het gedrag van de betrokkene heeft voor de inbreukmakende handeling die de schade heeft veroorzaakt.

104. In die bepaling worden geen specifieke gronden voor de vrijstelling van aansprakelijkheid genoemd, zelfs niet bij wijze van voorbeeld. Dat is evenmin het geval in overweging 146.(83)

105. Op dit punt wijkt de AVG kennelijk af van richtlijn 95/46, waarvan artikel 23, lid 2, een soortgelijke regel(84) bevatte als het huidige artikel 82, lid 3, AVG: in overweging 55 van richtlijn 95/46 werden aansprakelijkheid van de betrokkene of overmacht genoemd als voorbeelden van vrijstellingsgronden(85), die niet zijn opgenomen in de AVG.

106. Tenzij ik mij vergis, blijkt uit de ontstaansgeschiedenis van de AVG echter niet dat er discussie bestond over deze twee voorbeelden, die wel in het voorstel van de Commissie waren opgenomen(86) en door het Parlement werden behouden(87).

107. De schrapping ervan, en het verschijnen van de bijwoordelijke bepaling „op geen enkele wijze”, vinden plaats in het kader van voornoemd debat over de wijze waarop de aansprakelijkheid voor een verwerking waarbij meerdere verwerkingsbeheerders of verwerkers betrokken zijn, moet worden geregeld.(88)

108. Uit de beschikbare documenten(89) blijkt dat de verwerkingsbeheerder in de definitieve formulering kan worden vrijgesteld van aansprakelijkheid indien hij aantoont dat hij op geen enkele wijze verantwoordelijk („responsible”) is voor de schade („0 % responsibility”). Hetzelfde geldt voor de verwerker.(90)

109. Op basis hiervan geloof ik niet dat de schrapping van de twee voorbeelden uit de considerans, in combinatie met de toevoeging van „op geen enkele wijze” daarin en in artikel 82, lid 3, AVG, tot gevolg (noch tot doel) heeft dat de activiteit van de betrokkene wordt uitgesloten van de gronden voor vrijstelling van aansprakelijkheid.(91)

110. Veeleer lijkt het erop dat de activiteit van de betrokkene naargelang van het geval het noodzakelijke verband nog steeds kan doorbreken tussen het „feit” (een uitdrukking die wordt gebruikt in artikel 82, lid 3, AVG) en het daderschap van de verantwoordelijke. Dat het beperkte karakter van de ontsnappingsclausule wordt benadrukt, belet niet dat een bepaalde handeling van de betrokkene op zichzelf de schade teweegbrengt en dus bepalend is voor de vrijstelling van aansprakelijkheid van de verwerkingsbeheerder.

111. De stelselmatige uitlegging pleit ervoor om in het kader van de aansprakelijkheid voor schade rekening te houden met het aandeel van de betrokkene in het ontstaan van de schade. Binnen het stelsel van de AVG werken de betrokkenen mee aan de bescherming van hun gegevens, waartoe zij instrumenten aangereikt krijgen die op zich rechten zijn.

112. Uit teleologisch oogpunt begrijp ik dat de AVG beoogt een hoge mate van bescherming te bieden, maar niet zo hoog dat zij de verwerkingsverantwoordelijke verplicht om ook de schade te vergoeden die voortvloeit uit gebeurtenissen of handelingen die aan de betrokkene zijn toe te rekenen.(92)

3.      Berekening van de schadevergoeding – Invloed van de mate van schuld van de verantwoordelijke voor de schade

113. De verwijzende rechter heeft bevestigd dat de vijfde prejudiciële vraag ertoe strekt op te helderen of de mate van schuld van de verwerkingsverantwoordelijke van invloed is op de berekening van de schadevergoeding. Meer in het bijzonder wenst hij te vernemen of afwezigheid van schuld of lichte schuld van die verantwoordelijke te zijnen gunste in aanmerking kan worden genomen.

114. In artikel 82 AVG wordt bijzonder weinig of zelfs helemaal niets gezegd over belangrijke aspecten van de schadevergoeding die van invloed zouden zijn op de berekening van de hoogte ervan. Het bevat geen aanwijzingen voor de uitlegger over de bestanddelen waaruit de vergoeding bestaat(93), de criteria om die bestanddelen te waarderen (ze te vertalen naar een bedrag)(94) of de factoren die de hoogte ervan kunnen beïnvloeden(95).

115. Desondanks meen ik dat de AVG de betrokkene het recht geeft op een schadevergoeding waarvan het bedrag wordt bepaald aan de hand van de daadwerkelijk geleden schade. Zodra het bedrag dat deze schade objectief vergoedt, is vastgesteld, mag het niet worden gewijzigd op basis van de omvang van de nalatigheid van de verwerkingsverantwoordelijke.

116. Ter ondersteuning van mijn standpunt verwijs ik naar mijn opmerkingen – die hier van analoge toepassing zijn – over de toerekening van aansprakelijkheid aan de verwerkingsbeheerder, ongeacht diens schuld, binnen het stelsel van artikel 82 AVG. Vanuit het oogpunt van de gelaedeerde, wiens (materiële en immateriële) vermogen na het ontstaan van de schade onaangetast moet blijven, moet de schade worden vergoed zonder dat deze wordt gekoppeld aan de schuld van de verwerkingsbeheerder, ongeacht de ernst van die schuld.(96)

117. Dat artikel 82 AVG (waarvan de ontstaansgeschiedenis geen aanwijzingen aanreikt die voor de ene dan wel de andere stelling pleiten)(97) verschilt van andere instrumenten van Unierecht, waarin bij het bepalen van het uit hoofde van de wettelijke aansprakelijkheid te vergoeden bedrag uitdrukkelijk wordt bekeken of de inbreuk „willens en wetens” is gepleegd(98), noopt mijns inziens tot dezelfde oplossing.

118. Naar mijn mening zijn er nog twee andere argumenten die deze beoordeling staven:

–      In artikel 83 AVG wordt rekening gehouden met de nalatigheid (en de opzet) van de inbreukmaker om het bedrag van de geldboete te bepalen.(99) De wetgever had datzelfde criterium kunnen hanteren voor de berekening van de wettelijke aansprakelijkheid, maar heeft dat niet gedaan.

–      In de AVG wordt benadrukt dat de schade volledig en daadwerkelijk moet worden vergoed(100) (overweging 146 en artikel 82, lid 4, over het geval waarin bij dezelfde verwerking meerdere verwerkingsverantwoordelijken of verwerkers betrokken zijn).(101) Mijns inziens pleit de aanduiding „volledig” ertegen dat het bedrag van de schadevergoeding zou worden verlaagd als de nalatigheid van de verwerkingsverantwoordelijke beperkter is.(102)

V.      Conclusie

119. Gelet op het voorgaande geef ik het Hof in overweging om de vragen van het Bundesarbeitsgericht te beantwoorden als volgt:

„Artikel 9, lid 2, onder h), en lid 3, en artikel 82, leden 1 en 3, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moeten aldus worden uitgelegd dat

zij niet verbieden dat een medische dienst van een zorgverzekeraar gezondheidsgegevens van een van zijn werknemers, die een voorwaarde voor de beoordeling van diens arbeidsgeschiktheid zijn, verwerkt.

Volgens deze bepalingen is een uitzondering op het verbod om persoonsgegevens over gezondheid te verwerken mogelijk wanneer die verwerking noodzakelijk is voor de beoordeling van de arbeidsgeschiktheid van de werknemer en voldoet aan de beginselen van artikel 5 en aan een van de rechtmatigheidsvoorwaarden van artikel 6 van verordening 2016/679.

De mate van schuld van de verwerkingsverantwoordelijke of de verwerker is niet bepalend voor hun aansprakelijkheid of voor de berekening van de hoogte van de immateriële schade die op grond van artikel 82, lid 1, van verordening 2016/679 moet worden vergoed.

Het aandeel van de betrokkene in het feit waaruit de verplichting tot schadevergoeding voortvloeit kan, naargelang het geval, bepalend zijn voor de in artikel 82, lid 3, van verordening 2016/679 opgenomen vrijstelling van aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker.”

1      Oorspronkelijke taal: Spaans.

2      Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1; hierna: „AVG”).

3      En over artikel 8 van richtlijn 95/46/EEG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 3), de rechtstreekse voorganger van artikel 9 AVG.

4      De vierde vraag is in wezen identiek aan de eerste vraag in zaak C‑300/21, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), waarin ik conclusie heb genomen op 6 oktober 2022 (EU:C:2022:756) (hierna: „conclusie in zaak C‑300/21”) en waarover het Hof zich heeft uitgesproken bij arrest van 4 mei 2023 (EU:C:2023:370).

5      Boek V van het Duitse socialezekerheidswetboek.

6      Medizinischer Dienst der Krankenversicherung (hierna: „MDK”).

7      Krankenversicherung (hierna: „KV”).

8      „Memorandum over de bescherming van de sociale gegevens van werknemers [van de MDK] en hun gezinsleden”, zoals samengevat in de verwijzingsbeslissing, punten 6 e.v.

9      In het gegevensverwerkingssysteem dat de MDK intern gebruikt, werd een virtuele organisatie-eenheid „Bijzondere gevallen” opgezet, waartoe alleen de werknemers van die eenheid toegang hebben.

10      Na het (wettelijk bepaalde) einde van de loondoorbetaling door de MDK.

11      Volgens hem had hij zonder de inbreuk met betrekking tot zijn persoonsgegevens vanaf december 2018 zijn werk kunnen hervatten.

12      ArbG Düsseldorf, Urteil vom 22.02.2019 – 4 Ca 6116/18, en LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19, respectievelijk.

13      Voor de inhoud van die vraag verwijs ik naar het arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens) (C‑300/21, EU:C:2023:370).

14      Wat volgt laat het antwoord op de derde prejudiciële vraag onverlet.

15      Naar mijn mening moet bij voorkeur deze bepaling worden toegepast, en niet artikel 9, lid 2, onder b), AVG. Het lijkt er niet op dat de verwerking noodzakelijk was (noch voor de MDK als werkgever, noch voor ZQ als werknemer) met het oog op de uitvoering van verplichtingen of de uitoefening van rechten in het kader van de arbeidsverhouding.

16      Een verwerking van gevoelige gegevens als werkgever (voor doeleinden die verband houden met de arbeidsverhouding) zou alleen rechtmatig zijn indien zij voldoet aan de in de AVG vastgestelde voorwaarden voor de verwerking van gegevens voor een ander doel dan dat waarvoor zij zijn verzameld.

17      Punt 22 van de verwijzingsbeslissing. De AVG vereist echter wel dat aan andere kenmerken wordt voldaan, zoals bepaald in artikel 9, lid 3: zie wat de werkingssfeer daarvan betreft de punten 40 e.v.

18      Artikel 9 AVG gaat terug op artikel 8 van richtlijn 95/46. In het voorstel van de Commissie [voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), COM(2012) 11 final van 25 januari 2012; hierna: „voorstel van de Commissie”] werd de verwerking van persoonsgegevens over gezondheid geregeld in artikel 81, waarin rechtvaardigingsgronden waren vastgesteld en was vermeld dat de verwerking moest worden verricht op grond van het recht van de Unie of van de lidstaten. Daarbij stond het aan de lidstaten om in de nodige waarborgen voor de bescherming van de gerechtvaardigde belangen van de betrokkene te voorzien. De inhoud van artikel 81 is overgenomen in artikel 9, lid 2, onder h), en lid 4, zoals blijkt uit document nr. 14270/14, Voorzitterschap van de Raad aan de Groep gegevensbescherming, van 16 oktober 2014.

19      Zie arrest van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens) (C‑136/17, EU:C:2019:773, punt 44): „[...] [D]e specifieke vereisten [...] voor de verwerkingen betreffende de [...] bijzondere categorieën gegevens [hebben als] doelstelling [...] het waarborgen van een versterkte bescherming tegen dergelijke verwerkingen die, wegens de bijzondere gevoeligheid van deze gegevens een, zoals tevens uit overweging 33 van [richtlijn 95/46] en overweging 51 van deze verordening naar voren komt, een bijzonder ernstige inbreuk kunnen vormen op de grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens, die door de artikelen 7 en 8 van het Handvest zijn gewaarborgd.”

20      Het grondrecht op bescherming van persoonsgegevens heeft niet automatisch voorrang op enig ander grondrecht, zelfs niet wanneer het om de bijzondere categorieën uit artikel 9, lid 1, AVG gaat: arrest van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens) (C‑136/17, EU:C:2019:773, punten 66‑68).

21      Artikel 9, lid 3, AVG.

22      Artikel 88 AVG biedt de lidstaten de mogelijkheid om „nadere regels [vast te stellen] ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding”. Voor de uitlegging daarvan verwijs ik naar het arrest van 30 maart 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270).

23      Zo lijkt de verwijzende rechter het te zien. Zelf verwijs ik naar voetnoot 15.

24      De Commissie heeft mijns inziens gelijk dat „in lid 2 [van artikel 9 AVG] niet is voorzien in een specifieke hiërarchie of een mogelijke afhankelijkheidsrelatie tussen de uitzonderingen, die op gelijke voet naast elkaar bestaan” (punt 13 van haar schriftelijke opmerkingen).

25      Anders dan in richtlijn 95/46 wordt niet geëist dat de gegevens worden verwerkt „door een gezondheidswerker die onderworpen is aan het [...] beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt” (cursivering van mij). Wel is vereist dat de verwerking wordt verricht door personen voor wie een geheimhoudingsplicht geldt.

26      Met betrekking tot gegevens „die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden” staat in overweging 51 AVG te lezen dat „[n]aast de specifieke voorschriften voor die verwerking [...] de algemene beginselen en andere regels van deze verordening [dienen] te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking”.

27      Arrest van 16 januari 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punt 57 en aldaar aangehaalde rechtspraak). Zie wat gevoelige gegevens betreft arresten van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens) (C‑136/17, EU:C:2019:773, punt 64), en 22 juni 2021, Latvijas Republikas Saeima (Strafpunten) (C‑439/19, EU:C:2021:504, punten 96, 99, 100 en 102).

28      Verwijzingsbeslissing, punten 25‑27. Hij verwijst naar de oprichting van twee van elkaar onafhankelijke cellen voor „bijzondere gevallen” en van afzonderlijke IT-afdelingen wanneer het gaat om adviezen over werknemers van IT-diensten (zoals ZQ). Het einddoel zou zijn dat geen enkele werknemer van de MDK de facto toegang heeft tot de gezondheidsgegevens van een collega of op de hoogte is van het bestaan van een controle op diens arbeidsgeschiktheid.

29      Artikel 8, lid 3. Zoals ik reeds heb uiteengezet, is de kring van personen die tot verwerking gemachtigd zijn bij de AVG uitgebreid.

30      Lid 4 is in artikel 9 AVG opgenomen naar aanleiding van een voorstel van Duitsland: document nr. 6834/15, Voorzitterschap aan de Raad, van 9 maart 2015.

31      De verwijzende rechter beschouwt de MDK als verwerkingsverantwoordelijke (punt 16 van de verwijzingsbeslissing). De verwerker zal ik hierna dus niet vermelden, tenzij dat op een gegeven moment dienstig is. In beginsel kunnen de overwegingen die voor de verwerkingsverantwoordelijke gelden, worden doorgetrokken naar de verwerker.

32      De verwijzende rechter vreest met name dat een eventuele beveiligingsinbreuk ertoe zou leiden dat collega’s van ZQ kennis zouden nemen van zijn gezondheidstoestand en op basis daarvan zouden kunnen speculeren over zijn productiviteit. Hij voegt daaraan toe dat de informatie over het enkele bestaan van een medisch advies betreffende arbeidsongeschiktheid gevoelige informatie is, aangezien daaruit zou kunnen worden afgeleid dat deze arbeidsongeschiktheid wordt geveinsd (punt 26 van de verwijzingsbeslissing).

33      Zie punt 10.

34      Punt 27 van de verwijzingsbeslissing.

35      Zie in dat verband voetnoot 27. Zie met betrekking tot het verband tussen artikel 6 en artikel 9 AVG ook zaak C‑252/21, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk). Conclusie van advocaat-generaal Rantos van 20 september 2022 (C‑252/21, EU:C:2022:704).

36      Arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten) (EU:C:2021:504, punten 96, 99, 100 en 102).

37      Inhoudelijk gaat artikel 10 AVG terug op artikel 8 van richtlijn 95/46. In dat artikel waren alle bijzondere categorieën van gegevens gegroepeerd, al werd een onderscheid gemaakt met de verwerking van gegevens over overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen, die in lid 5 aan bod kwamen. De formele scheiding in de AVG betekent niet dat persoonsgegevens over strafrechtelijke veroordelingen of overtredingen niet langer als „gevoelig” worden beschouwd.

38      Document nr. 17072/4/14 Rev 4, Raad aan Comité van permanente vertegenwoordigers, van 4 maart 2015, voetnoot 60.

39      Over de rechtmatigheid van de verwerking, zoals in de definitieve versie.

40      Document nr. 17072/4/14 Rev 4, Raad aan Comité van permanente vertegenwoordigers, van 4 maart 2015, artikel 9, lid 2: „Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with [...]”, en voetnoot 60.

41      Vanaf document nr. 6834/15, Voorzitterschap aan Raad, van 9 maart 2015.

42      Waarmee weliswaar niet de twijfels van alle delegaties werden weggenomen. Zie bijvoorbeeld document nr. 7466/15, Voorzitterschap aan de delegaties, van 26 maart 2015, voetnoot 38.

43      Richtsnoer nr. 3/2020 inzake de verwerking van gezondheidsgegevens voor wetenschappelijk onderzoek in het kader van de COVID-19-uitbraak, april 2020, paragraaf 15.

44      „Advice paper on special categories of data”, Ares(2011)444105 – 20.4.2011, blz. 5.

45      Dit is ook het standpunt dat de Commissie publiekelijk heeft ingenomen: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, 10 oktober 2016, blz. 2, en Minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, 20 februari 2018, blz. 2.

46      Het standpunt dat de bepalingen cumulatief of complementair zijn, wordt onder meer gesteund door Petri, T., „Art. 9”, in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, punt 26, die evenwel erkent dat dit standpunt niet unaniem wordt gedeeld. Het Handboek Europese gegevensbeschermingswetgeving van het Bureau van de Europese Unie voor de grondrechten, 2018, punt 4.1.1, suggereert het tegendeel.

47      Respectievelijk: uitdrukkelijke toestemming van de betrokkene, verwerking die noodzakelijk is ter bescherming van de vitale belangen van een persoon die fysiek of juridisch niet in staat is zijn toestemming te geven en verwerking die noodzakelijk is om redenen van algemeen belang.

48      Punten 30 en 31 van de verwijzingsbeslissing.

49      Bijvoorbeeld of de toestemming van de betrokkene, als rechtsgrond voor de in artikel 9, lid 2, onder h), bedoelde machtiging, de in dat artikel verlangde uitdrukkelijke toestemming moet zijn, dan wel of toestemming in de zin van artikel 6, lid 1, onder a), volstaat.

50      Een andere, beperktere vraag is of het volgens de redenering van de verwijzende rechter met betrekking tot artikel 6, lid 1, nodig is om de betekenis van de voorwaarden in dat lid, in het bijzonder die onder c) en e), te verduidelijken. In dat opzicht verwijs ik naar de rechtspraak van het Hof: in verband met de bepalingen van richtlijn 95/46, arresten van 16 december 2008, Huber (C‑524/06, EU:C:2008:724, punt 62), en 30 mei 2013, Worten (C‑342/12, EU:C:2013:355, punt 37); in verband met de AVG, arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punten 66 e.v.).

51      De verwijzende rechter is geneigd te oordelen dat de door de MDK verrichte verwerking een inbreuk op de artikelen 9 en 6 AVG vormt. In punt 32 van de verwijzingsbeslissing verklaart hij dat de inbreuk als zodanig het recht op schadevergoeding doet ontstaan; in punt 33 benadrukt hij dat de inbreuk automatisch tot schade leidt („de inbreuk op de AVG [leidt] op zich [...] reeds tot te vergoeden immateriële schade”). Om de redenen die ik in mijn conclusie in zaak C‑300/21 heb uiteengezet, deel ik dit standpunt niet.

52      Punten 78‑80 van de opmerkingen van de MDK. Volgens de MDK heeft de betrokkene de schade die hij heeft geleden, zelf veroorzaakt door het dossier niet op te vragen en zijn recht van inzage op grond van artikel 15 AVG niet uit te oefenen en in plaats daarvan een beroep te doen op de diensten van een collega van zijn eenheid, wat ertoe heeft geleid dat de betrokken gegevens werden geraadpleegd. Zie in dezelfde zin het arrest in hoger beroep LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19, punt 4.3.4.3.

53      De werknemer, die op dezelfde afdeling als de betrokkene was aangesteld, heeft de gegevens geraadpleegd buiten de omstandigheden waarvoor hij gemachtigd was, dat wil zeggen voor andere doeleinden dan de uitvoering van de in zijn arbeidsovereenkomst omschreven werkzaamheden.

54      Hierna gebruik ik de term „verwerkingsbeheerder” als synoniem voor „verwerkingsverantwoordelijke”.

55      Afgezien van diegenen die betogen dat het gaat om een aspect dat niet is geregeld, lopen de meningen uiteen tussen de voorstanders van een objectieve aansprakelijkheidsregeling en die van schuldaansprakelijkheid met omkering van de bewijslast. In werkelijkheid past de AVG volgens mij net als andere sectorale (wettelijke) aansprakelijkheidsregelingen niet volledig binnen een van beide grote theoretische paradigma’s, waarvan de grenzen evenmin erg duidelijk zijn afgebakend. Gelet op de bewoordingen van de AVG kan deze verordening in beide regelingen worden ingepast, met nuances die de modellen uiteindelijk in elkaar doen overlopen: ze past in de eerste regeling vanwege de hoge zorgvuldigheidsnorm die moet worden aangetoond om de toerekening van aansprakelijkheid te weerleggen; ze past in de tweede doordat zorgvuldigheids-/nalatigheidstoetsen zijn opgenomen in de gronden voor vrijstelling of bij de vaststelling van een inbreuk, naargelang van de aard van de betrokken regel.

56      In lid 2, dat als keerzijde van lid 1 kan worden gelezen in de zin dat de aansprakelijkheid wordt beschouwd vanuit het oogpunt van de verwerkingsverantwoordelijke en de verwerker, is evenmin sprake van een schuldvereiste.

57      In de Spaanse versie komt de term „imputable” wel voor in artikel 47, lid 2, onder f), AVG, waarin, met betrekking tot de informatie die vereist is voor de goedkeuring van bindende bedrijfsvoorschriften, wordt verwezen naar de ontheffing van aansprakelijkheid binnen groeperingen van ondernemingen met vestigingen binnen en buiten de Unie. In de Duitse versie is een omschrijving gebruikt („dem betreffenden Mitglied nicht zur Last gelegt werden kann”).

58      Zie artikel 82, lid 3, artikel 68, lid 4, of artikel 75, lid 6.

59      Artikel 83, lid 2, onder b), en lid 3. Over de uitlegging daarvan heb ik mijn standpunt uiteengezet in de conclusie in zaak C‑807/21, Deutsche Wohnen (EU:C:2023:360).

60      Zie onder meer document nr. 17831/13, Voorzitterschap van de Raad aan de Groep gegevensbescherming, van 16 december 2013, voetnoot 542.

61      Amendement nr. 2819, ingediend door S. Ilchev, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), document PE501.927v04‑00, Amendments (9): „Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence”. Cursivering van mij.

62      Zie de begeleidende tekst bij de wetgevingsresolutie van 12 maart 2014 over het voorstel van de Commissie (PB 2017, C 378, blz. 399).

63      Document nr. 9083/15, Voorzitterschap aan de JBZ-leden van de Groep gegevensbescherming, van 27 mei 2015. Het verschil tussen de opties betreft artikel 77, leden 3 tot en met 6. Lid 1, waarin het beginsel van de aansprakelijkheid van de verwerkingsverantwoordelijke en de verwerker is vastgelegd, en lid 2, waarin de materiële draagwijdte van de aansprakelijkheid van beiden wordt aangegeven en de aansprakelijkheid van de verwerker wordt beperkt, liepen gelijk.

64      Ibidem, punt 5.

65      „[...] [E]ach non-compliant controller and/or processor involved in the processing are held liable for the entire amount of the damage”.

66      Of, in het geval van de verwerker, wanneer hij de opdracht van de verwerkingsverantwoordelijke overeenkomstig de AVG niet nakomt.

67      Waarbij die partijen later op de andere partijen het deel van de schadevergoeding kunnen verhalen dat overeenkomt met hun aandeel in de aansprakelijkheid voor de schade: artikel 77, lid 6, in de eerste optie.

68      Document nr. 9083/15, Voorzitterschap aan de JBZ-leden van de Groep gegevensbescherming, van 27 mei 2015, punt 7. De delegatie van het Verenigd Koninkrijk had openlijk voor schuldaansprakelijkheid gepleit. In het licht van haar argumenten is aan de anderen een vraag in die zin gesteld (document nr. 7722/15, Voorzitterschap aan de Groep gegevensbescherming, van 13 april 2015, punten 10 en 11). De uiteindelijk voorgestelde optie lijkt aan te sluiten bij het door de Duitse delegatie geformuleerde compromis (document nr. 8150/1/15 Rev 1 van 6 mei 2015), waarin een onderscheid werd gemaakt tussen enerzijds de betrekking tussen de verwerkingsverantwoordelijke/verwerker en de betrokkene en anderzijds de betrekking tussen de verwerkingsverantwoordelijke en de verwerker onderling en waarvoor toerekening op basis van opzet of schuld werd voorgesteld: „liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation”. Ten aanzien van de betrokkene zou de afwezigheid van nalatigheid vrijstelling van aansprakelijkheid mogelijk maken.

69      Ibidem, punt 6, waarin staat: „In other words, the mere fact that an entity was involved in a non-compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages”.

70      Artikel 77, lid 4a, zou volgens deze optie luiden als volgt: „If a data subject is not able to bring a claim for compensation against the controller [...]”.

71      Document nr. 9565/15, Voorzitterschap aan de Raad, van 11 juni 2015.

72      Cursivering van mij. Parallel aan deze toevoeging worden de voorbeelden van vrijstellingsgronden in overweging 118 geschrapt: zie de punten 104 e.v.

73      Overweging 10 AVG.

74      Zie mijn conclusie in zaak C‑300/21. Zoals ik daar heb aangegeven, wil de wetgever de privaatrechtelijke handhaving van de regels inzake de bescherming van persoonsgegevens stimuleren. Met dat doel zijn bij hoofdstuk VIII van de AVG instrumenten ter beschikking gesteld aan de betrokkene. De vergoeding uit hoofde van de wettelijke aansprakelijkheid is daar één van, maar heeft geen punitieve functie.

75      Dit was een van de argumenten in het voorstel van de Commissie om verder te gaan dan richtlijn 95/46.

76      Overwegingen 77 e.v. AVG.

77      Een nuancering is op haar plaats: de aansprakelijkheid heeft een preventieve functie, voor zover zij van invloed is op de beslissing van de actor met betrekking tot de omvang van de activiteiten die hij moet verrichten. De uitlegging die ik voorstel, maakt het mogelijk artikel 82 AVG te verbinden aan verwerkingsbeginselen zoals doelbinding, minimale gegevensverwerking en juistheid [artikel 5, lid 1, onder b), c) en d), AVG].

78      Door van nalatigheid een toerekeningscriterium te maken.

79      Zie voetnoot 52.

80      Standpunt van de verwijzende rechter (zie voetnoot 51). Volgens hem zou het gedrag van de betrokkene, die om raadpleging van zijn gegevens heeft verzocht, niet van belang mogen zijn voor de toerekening van de aansprakelijkheid. Dat gedrag zou wel van invloed kunnen zijn bij de berekening van de schadevergoeding.

81      Standpunt van de MDK en van de rechter in tweede aanleg (zie voetnoot 52). In werkelijkheid zou kunnen worden gesteld dat het bestanddeel „schade” in dit scenario ontbreekt: volenti non fit iniuria.

82      Punt 40 van de verwijzingsbeslissing.

83      Anders dan in andere sectoren (bijvoorbeeld die van de aansprakelijkheid voor producten met gebreken) neemt de opsomming van de gronden voor vrijstelling in de AVG niet de vorm aan van een uitputtende lijst.

84      „De voor de verwerking verantwoordelijke kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.”

85      De verwerkingsverantwoordelijke „[kan] van zijn aansprakelijkheid [...] worden vrijgesteld indien hij bewijst dat het schadeveroorzakende feit hem niet kan worden toegerekend, met name wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht”. Cursivering van mij.

86      Overweging 118 van het voorstel van de Commissie.

87      Overweging 118 van de begeleidende tekst bij de wetgevingsresolutie van het Parlement van 12 maart 2014 over het voorstel van de Commissie.

88      Zie de punten 84 e.v. De voorbeelden komen voor in de documenten betreffende de onderhandelingen in de Raad, maar niet meer in de compromistekst, document nr. 9565/15 van 11 juni 2015.

89      Zie in hoofdzaak document nr. 9083/15, Voorzitterschap aan de JBZ-leden van de Groep gegevensbescherming, van 27 mei 2015.

90      Uit de context (de bijzondere aandacht voor het geval waarin er meerdere actoren betrokken zijn bij de verwerking) mag worden afgeleid dat het in dat verband een mogelijkheid zou zijn dat de verantwoordelijke aantoont dat de schade uitsluitend het gevolg is van het optreden van de verwerker, of omgekeerd.

91      Dit geldt evenmin voor overmacht, de andere grond die uitdrukkelijk werd genoemd in overweging 55 van richtlijn 95/46 (zie punt 105).

92      Uiteraard wil ik niet vooruitlopen op de kwestie van de betrokkenheid van derden. Dienaangaande verwijs ik naar de conclusie van advocaat-generaal Pitruzzella van 27 april 2023 in de zaak Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).

93      Teneinde de twijfels weg te nemen die bestonden toen richtlijn 95/46 nog van kracht was, is in de AVG gespecificeerd dat het ook gaat om immateriële schade. In overweging 146 wordt verwezen naar „alle schade” en wordt onderstreept dat het begrip „schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof. De precieze draagwijdte van de aanduiding is nog vatbaar voor discussie.

94      In het artikel is niet aangegeven of voor de berekening van de schade in elk afzonderlijk geval gebruik moet worden gemaakt van schalen of dat de voorkeur moet uitgaan naar forfaitaire bedragen, dan wel of andere berekeningssystemen moeten worden gebruikt.

95      Het kan dan bijvoorbeeld gaan om: a) de door de verwijzende rechter geopperde factor; b) de aanwezigheid van schuld van de betrokkene, zoals de MDK in punt 80 van zijn opmerkingen aanvoert; c) andere factoren, zoals de invoering van kwantitatieve maxima voor de schadevergoeding, teneinde gegevensverwerkingsverrichtingen of economische activiteiten die daarvan afhankelijk zijn, niet zonder reden te ontmoedigen.

96      Zie de punten 87 e.v.

97      In richtlijn 95/46 werd hierover niets bepaald. In de ontstaansgeschiedenis van de AVG heb ik geen aanwijzingen gevonden van enige discussie hieromtrent.

98      Verordening (EG) nr. 2100/94 van 27 juli 1994 inzake het communautaire kwekersrecht (PB 1994, L 227, blz. 1), artikel 94, lid 2; of richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB 2004, L 157, blz. 45), artikel 13, overweging 26.

99      Artikel 83, lid 2, onder b), en overweging 148 AVG. In dit kader wordt rekening gehouden met het evenredigheidscriterium, niet alleen met betrekking tot het feit, maar ook met betrekking tot de vraag of de geldboete een onevenredige last vormt voor een natuurlijke persoon. De Ierse regering stelt in punt 54 van haar opmerkingen voor om dit criterium te gebruiken voor de wettelijke aansprakelijkheid. Opnieuw ontbreekt het tekstuele argument om dit als een integraal bestanddeel van artikel 82 te beschouwen; dat wordt evenmin ondersteund door de ontstaansgeschiedenis, het doel van de regeling of haar functie binnen het geheel.

100      De daadwerkelijke vergoeding moet van dien aard zijn dat zij haar functie van bescherming van het recht op gegevensbescherming kan vervullen.

101      Beiden zijn wettelijk aansprakelijk overeenkomstig artikel 82, leden 2 en 3, AVG. Zij zijn aansprakelijk voor de gehele schade, ongeacht de mate waarin zij tot de schade hebben bijgedragen.

102      Volgens mij is niet uitgesloten dat er andere omstandigheden kunnen zijn die een verlaging van het bedrag rechtvaardigen: ik denk bijvoorbeeld aan de afweging, in individuele gevallen, tussen het recht op schadevergoeding (en, via dat recht, het recht op gegevensbescherming) en andere belangen of rechten van dezelfde rang. In de AVG dient het adjectief volledig tevens om te waarborgen dat een bepaalde soort schade (immateriële schade) wordt gedekt, om te vermijden dat de vergoeding beperkt blijft tot geleden verlies (zoals het Hof op andere gebieden heeft aangegeven, moeten er ook andere begrippen onder vallen), en om te garanderen dat de omstandigheid dat er meerdere actoren bij een verwerking betrokken zijn, de toegang tot vergoeding niet bemoeilijkt, maar integendeel vergemakkelijkt.