CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:72

DOMSTOLENS DOM (Tredje Afdeling)

25. januar 2024 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – fortolkning af artikel 5, 24, 32 og 82 – vurdering af gyldigheden af artikel 82 – afvisning af anmodningen om vurderingen af gyldigheden – ret til erstatning for skade forvoldt af behandling af sådanne oplysninger, der overtræder denne forordning – videregivelse af oplysninger til en uautoriseret tredjemand på grund af en fejl begået af den dataansvarliges medarbejdere – vurdering af, om de beskyttelsesforanstaltninger, som den dataansvarlige har gennemført, er passende – kompenserende funktion opfyldt ved retten til erstatning – betydning af overtrædelsens grovhed – nødvendigheden af at godtgøre, at der foreligger en skade forvoldt af den nævnte overtrædelse – begrebet »immateriel skade««

I sag C-687/21,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Amtsgericht Hagen (byretten i Hagen, Tyskland) ved afgørelse af 11. oktober 2021, indgået til Domstolen den 16. november 2021, i sagen

mod

MediaMarktSaturn Hagen-Iserlohn GmbH, tidligere Saturn Electro-Handelsgesellschaft mbH Hagen,

har

DOMSTOLEN (Tredje Afdeling),

sammensat af afdelingsformanden, K. Jürimäe, og dommerne N. Piçarra, M. Safjan, N. Jääskinen (refererende dommer) og M. Gavalec,

generaladvokat: M. Campos Sánchez-Bordona,

justitssekretær: A. Calot Escobar,

på grundlag af den skriftlige forhandling,

efter at der er afgivet indlæg af:

– BL ved Rechtsanwalt D. Pudelko,

– MediaMarktSaturn Hagen-Iserlohn GmbH, tidligere Saturn Electro-Handelsgesellschaft mbH Hagen, ved Rechtsanwalt B. Hackl,

– Irland ved Chief State Solicitor M. Browne og A. Joyce samt M. Lane, som befuldmægtigede, bistået af D. Fennelly, BL,

– Europa-Parlamentet ved O. Hrstková Šolcová og J.-C. Puffer, som befuldmægtigede,

– Europa-Kommissionen ved A. Bouchagiar, M. Heller og H. Kranenborg, som befuldmægtigede,

og idet Domstolen efter at have hørt generaladvokaten har besluttet, at sagen skal pådømmes uden forslag til afgørelse,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 2, stk. 1, artikel 4, nr. 7), artikel 5, stk. 1, litra f), artikel 6, stk. 1, artikel 24, artikel 32, stk. 1, litra b), artikel 32, stk. 2, og artikel 82 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«) og om vurderingen af gyldigheden af denne artikel 82.

2 Denne anmodning er blevet indgivet i forbindelse med en tvist mellem BL, en fysisk person, og MediaMarktSaturn Hagen-Iserlohn GmbH, tidligere Saturn Electro-Handelsgesellschaft mbH Hagen (herefter »Saturn«), vedrørende erstatning for den immaterielle skade, som den nævnte person hævder at have lidt som følge af videregivelsen til tredjemand af visse af dennes personoplysninger på grund af en fejl begået af dette selskabs medarbejdere.

Retsforskrifter

3 11., 74., 76., 83., 85. og 146. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»(11) For at sikre effektiv beskyttelse af personoplysninger i [Den Europæiske Union] er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, [...]

[...]

(74) Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder.

[...]

(76) Risikoens sandsynlighed og alvor for så vidt angår den registreredes rettigheder og frihedsrettigheder bør bestemmes med henvisning til behandlingens karakter, omfang, sammenhæng og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter indebærer en risiko eller en høj risiko.

[...]

(83) For at opretholde sikkerheden og hindre behandling i strid med denne forordning bør den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som f.eks. kryptering. Disse foranstaltninger bør under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.

[...]

(85) Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person. [...]

[...]

(146) Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade, som en person måtte lide som følge af behandling, der overtræder denne forordning. Den dataansvarlige eller databehandleren bør være fritaget for erstatningsansvar, hvis den pågældende beviser ikke at være ansvarlig for den forvoldte skade. Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning. Dette berører ikke eventuelle erstatningskrav for skade som følge af overtrædelse af andre bestemmelser i EU-retten eller medlemsstaternes nationale ret. Behandling, der overtræder denne forordning, omfatter også behandling, der overtræder delegerede retsakter og gennemførelsesretsakter vedtaget i henhold til denne forordning og til medlemsstaternes nationale ret, der præciserer bestemmelserne i denne forordning. Registrerede bør have fuld erstatning for den skade, som de har lidt. [...]«

4 I databeskyttelsesforordningens kapitel I om »[g]enerelle bestemmelser« fastsætter artikel 2, der for sin del har overskriften »Materielt anvendelsesområde«, følgende i stk. 1:

»Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.«

5 Denne forordnings artikel 4 med overskriften »Definitioner« bestemmer følgende:

»I denne forordning forstås ved:

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); […]

[...]

7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; […]

[...]

10) »tredjemand«: en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger

[...]

12) »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet

[...]«

6 Databeskyttelsesforordningens kapitel II, der har overskriften »Principper«, indeholder forordningens artikel 5-11.

7 Forordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter følgende:

»1. Personoplysninger skal:

[...]

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

8 Den nævnte forordnings artikel 6 med overskriften »Lovlig behandling« definerer i stk. 1 de betingelser, der skal være opfyldt for at en behandling er lovlig.

9 Databeskyttelsesforordningens kapitel IV med overskriften »Dataansvarlig og databehandler« indeholder artikel 24-43.

10 I dette kapitel IV’s afdeling 1 med overskriften »Generelle forpligtelser« fastsætter denne artikel 24, der for sin del har overskriften »Den dataansvarliges ansvar«, følgende i stk. 1 og 2:

»1. Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2. Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.«

11 I nævnte kapitel IV’s afdeling 2 med overskriften »Personoplysningssikkerhed« bestemmer databeskyttelsesforordningens artikel 32, der for sin del har overskriften »Behandlingssikkerhed«, følgende i stk. 1, litra b), og stk. 2:

»1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

[...]

b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og ‑tjenester

[...]

2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.«

12 Databeskyttelsesforordningens kapitel VIII med overskriften »Retsmidler, ansvar og sanktioner« omfatter forordningens artikel 77-84.

13 Denne forordnings artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« har følgende ordlyd:

»1. Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2. Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. [...]

3. En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

[...]«

14 Databeskyttelsesforordningens artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« fastsætter følgende:

»1. Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.

2. [...] Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

a) overtrædelsens karakter, alvor og varighed under hensyntagen til pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt

b) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt

[...]

d) den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 25 og 32

[...]

k) om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.

3. Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

[...]«

15 Denne forordnings artikel 84 med overskriften »Sanktioner« bestemmer følgende i stk. 1:

»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.«

Tvisten i hovedsagen og de præjudicielle spørgsmål

16 Sagsøgeren i hovedsagen tog til Saturns forretning, hvor han erhvervede et elektrisk husholdningsapparat. Der blev med henblik herpå udarbejdet en købs- og kreditaftale af en af selskabets medarbejdere. Ved denne lejlighed lagrede denne medarbejder flere personoplysninger om denne kunde i Saturns edb-system, nemlig hans fornavn og efternavn, hans adresse, hans opholdssted, hans arbejdsgivers navn, hans indkomst og hans bankoplysninger.

17 De kontraktlige dokumenter, der indeholdt disse personoplysninger, blev printet ud og underskrevet af begge parter. Sagsøgeren i hovedsagen medbragte derefter dokumenterne til de medarbejdere hos Saturn, der arbejdede på vareudleveringsstedet. En anden kunde, som ubemærket havde mast sig frem foran sagsøgeren i hovedsagen, modtog derefter ved en fejl såvel det apparat, som sagsøgeren i hovedsagen havde bestilt, som de omhandlede dokumenter, og tog det hele med.

18 Da fejlen hurtigt blev opdaget, fik en af Saturns medarbejdere tilbageleveret apparatet og dokumenterne og returnerede dem derefter til sagsøgeren i hovedsagen inden for en halv time efter deres udlevering til den anden kunde. Virksomheden ønskede at yde sagsøgeren i hovedsagen erstatning for denne fejl ved vederlagsfrit at levere det pågældende apparat til hans bopæl, men den berørte fandt, at denne erstatning var utilstrækkelig.

19 Sagsøgeren i hovedsagen har anlagt sag ved Amtsgericht Hagen (byretten i Hagen, Tyskland), som er den forelæggende ret i den foreliggende sag, med påstand – bl.a. på grundlag af databeskyttelsesforordningens bestemmelser – om erstatning for den immaterielle skade, som han hævder at have lidt som følge af den fejl, som Saturns medarbejdere begik, og den deraf følgende risiko for tab af kontrol over hans personoplysninger.

20 Saturn har heroverfor for det første gjort gældende, at der ikke er sket en tilsidesættelse af databeskyttelsesforordningen, og at en sådan overtrædelse kun kan foreligge, hvis den overskrider en vis alvorstærskel, som ikke er nået i det foreliggende tilfælde. For det andet har dette selskab gjort gældende, at sagsøgeren i hovedsagen ikke har lidt nogen skade, eftersom det hverken er blevet konstateret eller gjort gældende, at den involverede tredjemand skulle have misbrugt den berørtes personoplysninger.

21 Den forelæggende ret er for det første i tvivl om gyldigheden af databeskyttelsesforordningens artikel 82, da denne artikel forekommer denne ret upræcis med hensyn til dens retsvirkninger i tilfælde af erstatning for en immateriel skade.

22 For det andet ønsker den forelæggende ret for det tilfælde, at Domstolen ikke erklærer denne artikel 82 ugyldig, oplyst, om udøvelsen af den ret til erstatning, der er fastsat i denne bestemmelse, forudsætter, at det godtgøres, at der ikke alene foreligger en tilsidesættelse af databeskyttelsesforordningen, men også en skade, navnlig en immateriel skade, som den person, der kræver erstatning, har lidt.

23 For det tredje ønsker den forelæggende ret afklaret, om den blotte omstændighed, at udprintede dokumenter, der indeholder personoplysninger, uden tilladelse er blevet videregivet til en tredjemand på grund af en fejl begået af den dataansvarliges medarbejdere, gør det muligt at fastslå, at der foreligger en tilsidesættelse af databeskyttelsesforordningen.

24 For det fjerde ønsker den forelæggende ret, idet den er af den opfattelse, at »det påhviler [den sagsøgte virksomhed] at føre bevis for, at den ikke har gjort sig skyldig«, oplyst, om der allerede foreligger en overtrædelse af databeskyttelsesforordningen – navnlig henset til den forpligtelse, som påhviler den dataansvarlige, til at gennemføre passende foranstaltninger for at sikre de behandlede oplysningers sikkerhed i henhold til denne forordnings artikel 2, 5, 6 og 24 – når det fastslås, at der er sket en sådan uagtsom udlevering af dokumenter.

25 For det femte er den forelæggende ret i tvivl om, hvorvidt det kan fastslås, at der foreligger en »immateriel skade« som omhandlet i databeskyttelsesforordningens artikel 82, selv når det synes, at den uautoriserede tredjemand ikke har fået kendskab til de omhandlede personoplysninger, inden de dokumenter, hvoraf disse fremgik, blev tilbageleveret, alene af den grund, at den person, hvis oplysninger er blevet videregivet således, føler en frygt for den risiko, som ifølge denne ret ikke kan udelukkes, for, at denne tredjemand videregiver oplysningerne til andre personer, eller at oplysningerne i fremtiden misbruges.

26 For det sjette er den nævnte ret i tvivl om den eventuelle betydning – i forbindelse med et søgsmål om erstatning for immateriel skade på grundlag af denne artikel 82 – af graden af grovhed, som en overtrædelse, der er begået under omstændigheder som de i hovedsagen omhandlede, udgør, henset til, at den dataansvarlige efter dennes opfattelse kunne have truffet mere effektive sikkerhedsforanstaltninger.

27 Endelig ønsker den forelæggende ret for det syvende at få kendskab til, hvilket formål der forfølges med erstatningen for en immateriel skade i henhold til databeskyttelsesforordningen, og om det kan lægges til grund, at sidstnævnte kan have karakter af en sanktion, der svarer til en konventionalbod.

28 På denne baggrund har Amtsgericht Hamburg (byretten i Hagen) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Er bestemmelsen om erstatningspligt i [databeskyttelsesforordningens] artikel 82 […] ugyldig, idet den ikke er tilstrækkelig bestemt for så vidt angår retsfølgerne ved immateriel skade?

2) Er det en forudsætning for at opnå ret til erstatning, at der ikke blot er sket en [uautoriseret] videregivelse af de oplysninger, der skal beskyttes, til en uvedkommende tredjemand, men [at] skadelidte også har påvist, at der er indtrådt en immateriel skade?

3) Er det tilstrækkeligt til at konstatere, at der er sket en tilsidesættelse af [databeskyttelsesforordningen], at den [registreredes] personoplysninger (navn, adresse, erhverv, indkomst, arbejdsgiver) ved en fejl fra medarbejdere i den handlende virksomhed fejlagtigt videregives til tredjemand i trykt form, på papir, nærmere bestemt på et papirdokument?

4) Er der tale om en ulovlig viderebehandling gennem hændelig videregivelse til (fremlæggelse for) en tredjemand, når virksomheden gennem sine medarbejdere ved en fejl har videregivet de oplysninger, der ellers lagres i virksomhedens edb-system, til en [tredjemand i trykt form, på papir, nærmere bestemt på et papirdokument][...] (jf. [databeskyttelsesforordningens] artikel 2, stk. 1, artikel 5, stk. 1, litra f), artikel 6, stk. 1, og artikel 24 [...])?

5) Er der tale om en immateriel skade som omhandlet i [databeskyttelsesforordningens] artikel 82 […], selv hvis den tredjemand, der har modtaget dokumentet med personoplysningerne, ikke havde fået kendskab til disse, inden [det nævnte dokument] blev leveret tilbage, eller er ubehaget for den, hvis personoplysninger ulovligt blev videregivet, nok til, at der opstår en immateriel skade som omhandlet i [databeskyttelsesforordningens] artikel 82 […], idet enhver [uautoriseret] videregivelse af personoplysninger medfører, at det ikke er muligt at udelukke, at oplysningerne alligevel spredes til et ukendt antal personer eller endog kan misbruges?

6) Hvor alvorlig er overtrædelsen, når […] videregivelse til tredjemand [ved en fejl] kan forhindres gennem bedre kontrol med de assisterende medarbejdere i virksomheden og/eller bedre organisering af datasikkerheden, f.eks. idet vareudlevering og dokumentation for de indgåede aftaler, først og fremmest finansieringsaftalen, varetages hver for sig, idet der udstedes et særskilt udleveringspapir, eller udleveringsinformationen videregives virksomhedsinternt til medarbejderne i vareudleveringen – uden at inddrage kunden, der har fået udleveret papirdokumenterne, herunder det papir, der berettiger til at få udleveret varen [jf. [databeskyttelsesforordningens] artikel 32, stk. 1, litra b), og artikel 32, stk. 2, samt artikel 4, nr. 7)[…][?]]

7) Skal der ved erstatning for immateriel skade forstås tilkendelse af en straf på samme måde som ved en konventionalbod?«

Om de præjudicielle spørgsmål

Det første spørgsmål

29 Med det første spørgsmål ønsker den forelæggende ret oplyst, om databeskyttelsesforordningens artikel 82 er ugyldig, idet den ikke er tilstrækkelig bestemt for så vidt angår retsfølgerne ved immateriel skade.

30 Europa-Parlamentet har gjort gældende, at dette spørgsmål ikke kan antages til realitetsbehandling, idet den forelæggende ret – der har rejst en særlig kompleks problematik, nemlig vurderingen af gyldigheden af en EU-retlig bestemmelse – ikke har opfyldt kravene i artikel 94, litra c), i Domstolens procesreglement.

31 I henhold til procesreglementets artikel 94, litra c), skal anmodningen om præjudiciel afgørelse, ud over de spørgsmål, som forelægges Domstolen til præjudiciel afgørelse, bl.a. indeholde en fremstilling af grundene til, at den forelæggende ret finder, at der er tvivl om fortolkningen eller gyldigheden af visse EU-retlige bestemmelser.

32 I denne henseende er fremstillingen af begrundelsen for den præjudicielle forelæggelse nødvendig for at sætte ikke blot Domstolen i stand til at give brugbare svar, men også for at sætte medlemsstaternes regeringer samt andre berørte parter i stand til at indgive indlæg i henhold til artikel 23 i statutten for Den Europæiske Unions Domstol. Det er nærmere bestemt i lyset af de ugyldighedsgrunde, der er anført i forelæggelsesafgørelsen, at Domstolen skal undersøge gyldigheden af en EU-retlig bestemmelse, således at manglen på enhver angivelse af de præcise grunde, der har ført den forelæggende ret til at rejse spørgsmålet herom, medfører, at spørgsmålene om den nævnte gyldighed må afvises (jf. i denne retning dom af 15.6.2017, T.KUP, C-349/16, EU:C:2017:469, præmis 16-18, og af 22.6.2023, Vitol, C-268/22, EU:C:2023:508, præmis 52-55).

33 I den foreliggende sag har den forelæggende ret ikke fremlagt nogen præcise oplysninger, der gør det muligt for Domstolen at undersøge gyldigheden af databeskyttelsesforordningens artikel 82.

34 Det første spørgsmål skal derfor afvises.

Det tredje og det fjerde spørgsmål

35 Med det tredje og det fjerde spørgsmål, som skal behandles samlet og først, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 5, 24, 32 og 82, sammenholdt med hinanden, skal fortolkes således, at den omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand – i forbindelse med et erstatningssøgsmål på grundlag af denne artikel 82 – i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den pågældende dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32.

36 Databeskyttelsesforordningens artikel 24 fastsætter en generel forpligtelse for den dataansvarlige til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen af personoplysninger er i overensstemmelse med denne forordning (dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 24).

37 Databeskyttelsesforordningens artikel 32 præciserer for sit vedkommende den dataansvarliges og en eventuel databehandlers forpligtelser med hensyn til sikkerheden omkring denne behandling. Denne artikels stk. 1 bestemmer således, at den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er knyttet til den nævnte behandling, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål. Det fremgår ligeledes af den nævnte artikels stk. 2, at der ved vurderingen af, hvilket sikkerhedsniveau der er passende, navnlig skal tages hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 26 og 27).

38 Det fremgår således af ordlyden af databeskyttelsesforordningens artikel 24 og 32, at spørgsmålet om, hvorvidt de foranstaltninger, der er blevet gennemført af den dataansvarlige, er passende, skal vurderes konkret, under hensyntagen til de forskellige kriterier, der er der er omhandlet i disse artikler, og til de behov for databeskyttelse, der specifikt er forbundet med den pågældende behandling, samt til de risici, som denne behandling indebærer, og dette så meget desto mere som den nævnte dataansvarlige skal kunne påvise, at de nævnte foranstaltninger er i overensstemmelse med denne forordning, hvilken mulighed den dataansvarlige ville blive frataget, hvis en uafkræftelig formodning blev anerkendt (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 30-32).

39 Denne ordlydsfortolkning understøttes af en læsning af artikel 24 og 32, sammenholdt med artikel 5, stk. 2, og artikel 82 i den nævnte forordning, i lyset af 74., 76. og 83. betragtning dertil, hvoraf det navnlig følger, at den dataansvarlige er forpligtet til at begrænse risiciene for brud på persondatasikkerheden og ikke at forhindre enhver overtrædelse heraf (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 33-38).

40 Domstolen har følgelig fortolket databeskyttelsesforordningens artikel 24 og 32 således, at en uautoriseret videregivelse af, eller en uautoriseret adgang til, personoplysninger foretaget af »tredjemand« som omhandlet i denne forordnings artikel 4, nr. 10), ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den omhandlede dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32 (dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 39).

41 I det foreliggende tilfælde kan omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand, indikere, at de tekniske og organisatoriske foranstaltninger, som den pågældende dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32. En sådan omstændighed kan navnlig skyldes forsømmelighed eller fejl i den dataansvarliges organisation, som ikke tager konkret hensyn til de risici, der er forbundet med behandlingen af de omhandlede oplysninger.

42 I denne henseende skal det fremhæves, at det følger af databeskyttelsesforordningens artikel 5, 24 og 32, sammenholdt med 74. betragtning hertil, at i forbindelse med et erstatningssøgsmål på grundlag af denne forordnings artikel 82 påhviler bevisbyrden for, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for disse oplysninger som omhandlet i den nævnte forordnings artikel 5, stk. 1, litra f), og artikel 32, den pågældende dataansvarlige. En sådan fordeling af bevisbyrden kan ikke alene tilskynde de ansvarlige for behandlingen af disse data til at vedtage de sikkerhedsforanstaltninger, der kræves i henhold til databeskyttelsesforordningen, men også sikre den effektive virkning af den ret til erstatning, der er fastsat i denne forordnings artikel 82, og respektere EU-lovgivers hensigter, der er nævnt i 11. betragtning hertil (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 49-56).

43 Domstolen har derfor fortolket princippet om den dataansvarliges ansvar, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 2, og konkretiseret i denne forordnings artikel 24 således, at den dataansvarlige i forbindelse med et erstatningssøgsmål på grundlag af denne forordnings artikel 82 bærer bevisbyrden for, at de sikkerhedsforanstaltninger, som vedkommende har gennemført i henhold til den nævnte forordnings artikel 32, er passende (dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 57).

44 En ret, ved hvilken der er anlagt et sådant søgsmål om erstatning for skade på grundlag af databeskyttelsesforordningens artikel 82, kan således ikke udelukkende tage hensyn til den omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand, med henblik på at afgøre, om der foreligger en tilsidesættelse af en forpligtelse, der er fastsat i denne forordning. Denne ret skal nemlig ligeledes tage hensyn til alle de beviser, som den dataansvarlige har fremlagt for at godtgøre, at de tekniske og organisatoriske foranstaltninger, som denne har truffet for at opfylde sine forpligtelser i henhold til den nævnte forordnings artikel 24 og 32, er passende.

45 Henset til ovenstående betragtninger skal det tredje og det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 5, 24, 32 og 82, sammenholdt med hinanden, skal fortolkes således, at den omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand – i forbindelse med et erstatningssøgsmål på grundlag af denne artikel 82 – ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den pågældende dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32.

Det syvende spørgsmål

46 Med det syvende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82 skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, navnlig i tilfælde af immateriel skade, opfylder en straffende funktion.

47 I denne henseende har Domstolen udtalt, at databeskyttelsesforordningens artikel 82 ikke har en straffende, men en kompenserende funktion i modsætning til andre af forordningens bestemmelser, der ligeledes findes i dens kapitel VIII, nemlig artikel 83 og 84, som for deres vedkommende i det væsentlige har et strafformål, idet de giver mulighed for henholdsvis at pålægge administrative bøder og andre sanktioner. Forholdet mellem reglerne i artikel 82 og i artikel 83 og 84 viser, at disse to kategorier af bestemmelser er forskellige, men også komplementære med hensyn til tilskyndelse til at overholde databeskyttelsesforordningen, idet det bemærkes, at retten for enhver til at kræve erstatning for en skade styrker den operationelle karakter af de beskyttelsesregler, der er fastsat ved denne forordning, og kan virke afskrækkende på gentagelse af ulovlig adfærd (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 38 og 40, og af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 85).

48 Domstolen har præciseret, at eftersom den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, ikke har en sådan afskrækkende eller ligefrem straffende funktion, kan grovheden af den overtrædelse af forordningen, der har forvoldt den pågældende skade, ikke påvirke størrelsen af den erstatning, der tildeles i henhold til denne bestemmelse, heller ikke når der er tale om en skade, der ikke er materiel, men immateriel, således at erstatningsbeløbet ikke kan fastsættes på et niveau, der overstiger fuld erstatning for denne skade (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 86 og 87).

49 Det følger af det ovenstående, at det ikke er nødvendigt at tage stilling til den sammenhæng, som den forelæggende ret har henvist til, mellem formålet med retten til erstatning, der er fastsat i denne artikel 82, stk. 1, og den straffende funktion af en konventionalbod.

50 Følgelig skal det syvende spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, navnlig i tilfælde af immateriel skade, opfylder en kompenserende funktion, og ikke en straffende funktion, da en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der konkret er lidt på grund af overtrædelsen af denne forordning.

Det sjette spørgsmål

51 Med det sjette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82 skal fortolkes således, at denne artikel kræver, at der med henblik på erstatning for en skade på grundlag af denne bestemmelse tages hensyn til graden af grovhed af den dataansvarliges overtrædelse af denne forordning.

52 I denne henseende følger det af databeskyttelsesforordningens artikel 82 dels, at det bl.a. er en betingelse for, at den dataansvarlige kan ifalde ansvar, at denne har pådraget sig skyld, hvilket formodes at være tilfældet, medmindre den dataansvarlige beviser, at den pågældende ikke er skyld i den begivenhed, der medførte skaden, dels at denne artikel 82 ikke kræver, at der tages hensyn til graden af grovheden af denne skyld ved fastsættelsen af størrelsen af den erstatning, der tildeles for en immateriel skade på grundlag af denne bestemmelse (dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 103).

53 Hvad angår vurderingen af den erstatning, der eventuelt skal betales i henhold til databeskyttelsesforordningens artikel 82, skal de nationale retter, eftersom denne forordning ikke indeholder en bestemmelse, der har et sådant formål, med henblik på denne vurdering anvende den enkelte medlemsstats nationale regler vedrørende den økonomiske erstatnings omfang, for så vidt som dette sker under overholdelse af de EU-retlige principper om ækvivalens og effektivitet (jf. i den retning dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 83 og 101 og den deri nævnte retspraksis).

54 Domstolen har endvidere præciseret, at henset til den kompenserende funktion af retten til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, kræver denne bestemmelse ikke, at der tages hensyn til graden af grovhed af overtrædelsen af denne forordning, som den dataansvarlige formodes at have begået, ved fastsættelsen af størrelsen af den erstatning, der tilkendes som erstatning for en immateriel skade på grundlag af den nævnte bestemmelse, men kræver, at dette beløb fastsættes således, at det fuldstændigt kompenserer den skade, der konkret er lidt på grund af overtrædelsen af den nævnte forordning (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 84-87 og 102 og den deri nævnte retspraksis).

55 Henset til ovenstående betragtninger skal det sjette spørgsmål besvares med, at databeskyttelsesforordningens artikel 82 skal fortolkes således, at denne artikel ikke kræver, at der med henblik på erstatning for en skade på grundlag af denne bestemmelse tages hensyn til graden af grovhed af den dataansvarliges overtrædelse.

Det andet spørgsmål

56 Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den person, der fremsætter et erstatningskrav i henhold til denne bestemmelse, er forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende materiel eller immateriel skade.

57 I denne henseende bemærkes, at databeskyttelsesforordningens artikel 82, stk. 1, fastsætter, at »[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren«.

58 Det fremgår af ordlyden af denne bestemmelse, at den blotte overtrædelse af databeskyttelsesforordningen ikke er tilstrækkelig til at give ret til erstatning. En af betingelserne for ret til erstatning som fastsat i denne artikel 82, stk. 1, er nemlig, at der foreligger »skade«, eller at der er »forvold[t] skade«, ligesom denne forordning skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative. (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 32 og 42, domme af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 77, og Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 14, og dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 82).

59 Hvad særligt angår immateriel skade har Domstolen også udtalt, at databeskyttelsesforordningens artikel 82, stk. 1, er til hinder for en national regel eller praksis, hvorefter erstatning for en immateriel skade som omhandlet i denne bestemmelse er betinget af, at den skade, som den registrerede, som defineret i denne forordnings artikel 4, nr. 1), har lidt, har en vis grad af grovhed (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 51, og domme af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 78, og Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 16).

60 Domstolen har præciseret, at en registreret, der er berørt af en overtrædelse af databeskyttelsesforordningen, som har skabt skadevirkninger for den pågældende, imidlertid skal godtgøre, at disse virkninger udgør en immateriel skade som omhandlet i forordningens artikel 82, eftersom den blotte overtrædelse af denne forordnings bestemmelser ikke er tilstrækkelig til at give ret til erstatning (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 42 og 50, og domme af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 84, og Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 21 og 23).

61 Henset til ovenstående betragtninger skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den person, der fremsætter et erstatningskrav i henhold til denne bestemmelse, er forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende materiel eller immateriel skade.

Det femte spørgsmål

62 Med det femte spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at i det tilfælde, hvor et dokument, der indeholder personoplysninger, er blevet udleveret til en uautoriseret tredjemand, som bevisligt ikke har fået kendskab til disse oplysninger, kan en »immateriel skade« som omhandlet i denne bestemmelse udgøres af den blotte omstændighed, at den registrerede frygter, at der efter denne videregivelse, som har gjort det muligt at lave en kopi af det nævnte dokument, inden det er blevet returneret, vil ske en udbredelse eller endog misbrug af den pågældendes oplysninger i fremtiden.

63 Det skal præciseres, at den forelæggende ret har anført, at det dokument, hvoraf de omhandlede oplysninger fremgik, i det foreliggende tilfælde blev tilbageleveret til sagsøgeren i hovedsagen inden for en halv time efter udleveringen til en uautoriseret tredjemand, og at denne ikke fik kendskab til disse oplysninger, før dokumentet blev returneret, men at den nævnte sagsøger har gjort gældende, at denne udlevering gav denne tredjemand mulighed for at tage kopier af dokumentet, inden det blev tilbageleveret, og at udleveringen således har givet ham anledning til en frygt for, at de nævnte oplysninger vil blive misbrugt i fremtiden.

64 Da der i databeskyttelsesforordningens artikel 82, stk. 1, ikke er nogen henvisning til medlemsstaternes nationale ret, skal begrebet »immateriel skade« i denne bestemmelses forstand undergives en selvstændig og ensartet fortolkning, der er særlig for EU-retten (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 30 og 44, og af 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 15).

65 Domstolen har fastslået, at det ikke alene fremgår af ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragtning til denne forordning, som opfordrer til at anlægge en bred fortolkning af begrebet »immateriel skade« som omhandlet i denne førstnævnte bestemmelse, men ligeledes af formålet, der består i at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger, som er omhandlet i den nævnte forordning, at den frygt, som en registreret nærer for, at dennes personoplysninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af denne forordning, i sig selv kan udgøre en »immateriel skade« som omhandlet i denne artikel 82, stk. 1 (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 79-86).

66 Domstolen har i øvrigt – ligeledes støttet på både ordlyds-, system- og formålsbetragtninger – fastslået, at tabet af kontrol med personoplysninger i et kort tidsrum kan påføre den registrerede en »immateriel skade« som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1, der giver ret til erstatning, forudsat at den nævnte registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være, idet Domstolen har udtalt, at den blotte tilsidesættelse af bestemmelserne i denne forordning ikke er tilstrækkelig til at give ret til erstatning på dette grundlag (jf. i denne retning dom af 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 18-23).

67 Desuden skal det i det foreliggende tilfælde bemærkes, at det både er i overensstemmelse med ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, og med det beskyttelsesformål, der forfølges med denne forordning, at begrebet »immateriel skade« omfatter en situation, hvor den registrerede har en velbegrundet frygt for, at visse af vedkommendes personoplysninger i fremtiden vil blive udbredt eller misbrugt af tredjemand – hvilket det tilkommer den nationale ret at efterprøve – som følge af den omstændighed, at et dokument, der indeholder de nævnte oplysninger, er blevet udleveret til en uautoriseret tredjemand, der var i stand til at tage kopier heraf, inden det blev tilbageleveret.

68 Det forholder sig imidlertid ikke desto mindre således, at det tilkommer sagsøgeren i et erstatningssøgsmål på grundlag af databeskyttelsesforordningens artikel 82 at godtgøre, at der foreligger en sådan skade. Navnlig kan en rent hypotetisk risiko for misbrug fra en uautoriseret tredjemands side ikke give anledning til erstatning. Dette er tilfældet, når ingen tredjemand har fået kendskab til de omhandlede personoplysninger.

69 Det femte spørgsmål skal derfor besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at i det tilfælde, hvor et dokument, der indeholder personoplysninger, er blevet udleveret til en uautoriseret tredjemand, som bevisligt ikke har fået kendskab til disse oplysninger, kan en »immateriel skade« som omhandlet i denne bestemmelse ikke udgøres af den blotte omstændighed, at den registrerede frygter, at der efter denne videregivelse, som har gjort det muligt at lave en kopi af det nævnte dokument, inden det er blevet returneret, vil ske en udbredelse eller endog misbrug af den pågældendes oplysninger i fremtiden.

Sagsomkostninger

70 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

1) Artikel 5, 24, 32 og 82 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med hinanden,