CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:756

CONCLUSIE VAN ADVOCAAT-GENERAAL

M. CAMPOS SÁNCHEZ-BORDONA

van 6 oktober 2022 (1)

Zaak C‑300/21

tegen

Österreichische Post AG

[verzoek van het Oberste Gerichtshof (hoogste federale rechter in civiele en strafzaken, Oostenrijk) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Immateriële schade als gevolg van onrechtmatige verwerking van gegevens – Voorwaarden voor het recht op schadevergoeding – Schade boven een bepaalde drempel van zwaarwegendheid”

1. Krachtens verordening (EU) 2016/679(2) heeft eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de bepalingen ervan, het recht om van de verwerkingsverantwoordelijke of de verwerker een schadevergoeding te ontvangen.

2. De mogelijkheid om dit recht voor de rechter geldend te maken, bestond reeds in de vorige regeling (artikel 23 van richtlijn 95/46/EG)(3), maar er werd weinig gebruik van gemaakt(4). Tenzij ik mij vergis, heeft het Hof zich nooit specifiek over de uitlegging van dat artikel gebogen.

3. Onder de AVG hebben vorderingen tot schadevergoeding aan belang gewonnen.(5) Dat dergelijke vorderingen vaker worden ingesteld, is merkbaar bij de rechterlijke instanties van de lidstaten en blijkt uit de dienovereenkomstige verzoeken om een prejudiciële beslissing.(6) In de onderhavige zaak verzoekt het Oberste Gerichtshof (hoogste federale rechter in civiele en strafzaken, Oostenrijk) het Hof verduidelijkingen te verschaffen over enkele gemeenschappelijke kenmerken van de bij de AVG ingevoerde wettelijkeaansprakelijkheidsregeling.

I. Toepasselijke bepalingen – AVG

4. Relevant voor dit geschil zijn met name de overwegingen 75, 85 en 146 van de AVG.

5. Artikel 6 („Rechtmatigheid van de verwerking”) luidt als volgt:

„1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

[…]”

6. Artikel 79 („Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker”) bepaalt in lid 1:

„Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.”

7. Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) bepaalt in lid 1:

„Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.”

II. Feiten, hoofdgeding en prejudiciële vragen

8. Sinds 2017 verzamelde Österreichische Post AG, een onderneming die adreslijsten uitgeeft, informatie over de partijaffiniteiten van de Oostenrijkse bevolking. Met behulp van een algoritme heeft zij volgens bepaalde sociaal-demografische kenmerken „adressen van doelgroepen” gedefinieerd.

9. UI is een natuurlijke persoon ten aanzien van wie Österreichische Post een statistische extrapolatie heeft verricht om te bepalen tot welke mogelijke doelgroepen voor verkiezingsreclame van verschillende politieke partijen hij behoort. Uit deze extrapolatie bleek dat UI een hoge affiniteit had met één van de politieke partijen. Deze gegevens zijn niet aan derden doorgegeven.

10. UI, die geen toestemming had gegeven voor de verwerking van zijn persoonsgegevens, ergerde zich over het opslaan van gegevens over zijn sympathieën voor politieke partijen, en was erg boos en beledigd over de affiniteit die Österreichische Post hem concreet had toegeschreven.

11. UI heeft een vergoeding van 1 000 EUR voor immateriële schade (innerlijk onbehagen) gevorderd. Hij stelt dat de hem toegeschreven politieke affiniteit beledigend en beschamend is en bovendien schadelijk is voor zijn reputatie. Voorts heeft de handelwijze van Österreichische Post hem erg boos gemaakt en ervoor gezorgd dat hij zijn vertrouwen is verloren en dat hij zich voor schut gezet voelde.

12. De rechter in eerste aanleg heeft de vordering tot schadevergoeding van UI afgewezen.(7)

13. De rechter in tweede aanleg heeft het in eerste aanleg gewezen vonnis bekrachtigd. Die rechter heeft verklaard dat niet elke inbreuk op de AVG automatisch recht geeft op een vergoeding voor immateriële schade en dat:

– aangezien het Oostenrijkse recht als aanvulling op de AVG van toepassing is, alleen schade kan worden vergoed die verder gaat dan de door de schending van de rechten van verzoeker opgeroepen ergernis of emotionele schade („Gefühlsschaden”);

– moet worden vastgehouden aan het beginsel dat ten grondslag ligt aan het Oostenrijkse recht en op grond waarvan een louter gevoel van onbehagen of ongemak door eenieder zelf moet worden gedragen, aangezien daaruit geen recht op schadevergoeding kan voortvloeien. Met andere woorden, het recht op schadevergoeding vereist dat de gestelde schade enig „gewicht” heeft.

14. Tegen de uitspraak van de rechter in tweede aanleg is beroep in Revision ingesteld bij het Oberste Gerichtshof, dat het Hof verzoekt om een prejudiciële beslissing over de volgende vragen:

„1) Vereist de toekenning van schadevergoeding overeenkomstig artikel 82 [AVG] naast een inbreuk op de bepalingen van de AVG ook dat de eisende partij schade heeft geleden, of volstaat reeds de inbreuk op bepalingen van de AVG als zodanig voor de toekenning van schadevergoeding?

2) Bestaan er voor de berekening van de schadevergoeding naast de beginselen van doeltreffendheid en gelijkwaardigheid andere Unierechtelijke bepalingen?

3) Is de opvatting dat de toekenning van immateriële schade veronderstelt dat er sprake is van een effect of gevolg van de schending dat op zijn minst van enig belang is en verder gaat dan de door de inbreuk ontstane ergernis, verenigbaar met het Unierecht?”

III. Procedure

15. Het verzoek om een prejudiciële beslissing is op 12 mei 2021 ter griffie van het Hof ingekomen.

16. UI, Österreichische Post, de Oostenrijkse, de Tsjechische en de Ierse regering alsmede de Europese Commissie hebben schriftelijke opmerkingen ingediend. Het houden van een zitting is niet nodig geacht.

IV. Beoordeling

A. Opmerkingen vooraf

1. Ontvankelijkheid

17. UI betoogt dat de eerste prejudiciële vraag niet relevant is voor het geschil, aangezien zijn vordering niet „louter” was gebaseerd op de inbreuk op een regel van de AVG, maar ook op de gevolgen en effecten ervan.

18. De exceptie van niet-ontvankelijkheid moet worden afgewezen. Zelfs indien zou worden aangenomen dat de gegevensverwerking een schending van de AVG zonder schade voor UI inhield, zou UI toch recht kunnen hebben op schadevergoeding krachtens artikel 82 AVG indien, zoals de verwijzende rechter vraagt, zou worden bevestigd dat de enkele inbreuk op een regel betreffende de verwerking een dergelijk recht doet ontstaan.

19. Volgens UI zou het Hof ook de tweede prejudiciële vraag niet-ontvankelijk kunnen verklaren, omdat deze zeer open is geformuleerd en te beperkt is met betrekking tot de vereisten van het Unierecht, daar er geen specifiek vereiste wordt genoemd.

20. Deze exceptie, die weliswaar beter onderbouwd is dan de vorige, heeft evenmin kans van slagen. Een rechterlijke instantie heeft er een legitiem belang bij om te vernemen of zij, naast de beginselen van gelijkwaardigheid en doeltreffendheid, ook andere Unierechtelijke vereisten in acht moet nemen om de schade te beoordelen.

2. Afbakening van het voorwerp van deze conclusie

21. Artikel 82 AVG bestaat uit zes leden. De verwijzende rechter noemt geen lid in het bijzonder, maar verwijst impliciet naar lid 1. Evenmin geeft de verwijzende rechter de regel aan waarvan de schending zou leiden tot schadevergoeding.

22. Bij mijn conclusie ga ik uit van de volgende aannamen:

– De persoonsgegevens van UI zijn verwerkt zonder dat daarvoor zijn toestemming is verkregen zoals vereist in artikel 6, lid 1, onder a), AVG.

– Het recht op schadevergoeding komt toe aan eenieder die schade heeft geleden. In casu is UI, als geïdentificeerde natuurlijke persoon die door de verwerking gevolgen ondervindt, de „betrokkene”(8).

– De AVG voorziet in een vergoeding voor materiële en immateriële schade. De vordering van UI heeft slechts betrekking op immateriële schade en strekt tot verkrijging van een geldelijke vergoeding.

B. Eerste prejudiciële vraag

23. Kort samengevat wenst de verwijzende rechter met zijn eerste vraag te vernemen of de enkele schending van de bepalingen van de AVG een recht op schadevergoeding doet ontstaan, ongeacht of er schade is veroorzaakt.

24. Uit de verklaringen van de verwijzende rechter en de aan het Hof voorgelegde opmerkingen valt op te maken dat de vraag ook op een andere, iets ingewikkeldere manier, kan worden gelezen: vastgesteld zou moeten worden of schending van de bepalingen van de AVG noodzakelijkerwijs leidt tot schade die recht geeft op schadevergoeding, zonder dat de verwerende partij de mogelijkheid heeft om het tegendeel te bewijzen.

25. Tussen deze twee vraagstellingen bestaat er een zeker (theoretisch) verschil: bij de eerste is de schade geen vooronderstelling voor schadevergoeding, terwijl dat bij de tweede wel het geval is. In de praktijk verdwijnt in beide gevallen het vereiste dat de eisende partij de schade bewijst; evenmin hoeft de eisende partij het causale verband tussen de inbreuk en die schade aan te tonen.(9)

26. In elk geval dient mijns inziens geen van beide lezingen van de eerste vraag bevestigend te worden beantwoord. Hieronder zal ik beide lezingen afzonderlijk bespreken.

1. Schadevergoeding zonder schade?

27. De stelling dat er een recht op schadevergoeding bestaat, zelfs wanneer de inbreuk op de AVG de betrokkene geen schade berokkent, doet duidelijke problemen rijzen, te beginnen met de kwestie van de bewoordingen van artikel 82, lid 1, AVG.

28. Volgens deze bepaling wordt de schadevergoeding(10) juist toegekend omdat er daaraan voorafgaand schade is opgetreden. Daarom lijdt het geen twijfel dat de natuurlijke persoon schade of nadeel moet hebben geleden als gevolg van een inbreuk op de AVG.

29. De uitlegging waarbij het begrip „inbreuk” automatisch wordt verbonden aan het begrip „vergoeding” zonder dat er sprake is van schade, laat zich derhalve niet rijmen met de bewoordingen van artikel 82 AVG. Een dergelijke uitlegging strookt evenmin met de primaire doelstelling van de wettelijke aansprakelijkheid waarin de AVG voorziet, namelijk de betrokkene genoegdoening geven, en wel precies door middel van een „volledige en daadwerkelijke” vergoeding van de schade die hij heeft geleden.(11)

30. Indien er geen sprake van schade zou zijn, dan zou de schadevergoeding niet langer de functie van schadeloosstelling vervullen met betrekking tot de nadelige gevolgen die de inbreuk heeft veroorzaakt, maar een andere functie, die eerder overeenkomt met die van een sanctie.

31. Vast staat evenwel dat het rechtsstelsel van een lidstaat kan voorzien in de betaling van een punitieve schadevergoeding.(12) Hiermee wordt een veroordeling tot betaling van een aanzienlijk bedrag bedoeld, waarbij dat bedrag verder gaat dan louter de vergoeding van de schade.

32. Voor punitieve schadevergoedingen is het doorgaans noodzakelijk dat de schade vooraf is opgetreden. Met dit aspect als uitgangspunt is het niettemin zo dat de vermogensrechtelijke gevolgen van punitieve schadevergoedingen losstaan van het tot die schade in verhouding staande bedrag van de vergoeding.

33. Het is evenwel niet ondenkbaar dat bij de toekenning van een punitieve schadevergoeding de schade buiten beschouwing wordt gelaten of als irrelevant wordt beschouwd voor de genoegdoening van de eisende partij.

34. Het antwoord op de eerste prejudiciële vraag noopt mij ertoe te analyseren of dit soort schadevergoeding onder de AVG valt, temeer daar ernaar wordt verwezen in de verwijzingsbeslissing en in de opmerkingen van de partijen en interveniënten in de prejudiciële procedure.

2. Punitieve schadevergoeding?

a) Letterlijke uitlegging

35. Aan de klassieke functie van de wettelijke aansprakelijkheid kan nog een andere worden toegevoegd, die „punitief” of „exemplarisch” van aard is. Zoals ik reeds heb beschreven, komt het bedrag van de schadevergoeding in dat geval niet overeen met de geleden schade, maar wordt het vermeerderd of zelfs vermenigvuldigd.

36. In beginsel verzet het Unierecht zich niet tegen dergelijke schadevergoedingen in het geval van een inbreuk op de Unierechtelijke regels, mits deze kunnen worden toegekend bij soortgelijke vorderingen op grond van het nationale recht.(13)

37. Punitieve schadevergoedingen hebben afschrikking tot doel. Van hetzelfde doel kan sprake zijn wanneer de lidstaten, in geval van een inbreuk op een richtlijn, verplicht zijn maatregelen te nemen die „een reële afschrikkende werking” hebben.(14) In sommige richtlijnen is uitdrukkelijk bepaald dat een als sanctie bedoelde schadevergoeding een afschrikkende werking moet hebben.(15)

38. In andere teksten verklaart de wetgever daarentegen dat een richtlijn niet tot doel heeft „een verplichting te introduceren om te voorzien in een niet-compensatoire schadevergoeding”(16) of dat de lidstaten dergelijke schadevergoedingen bij omzetting van de richtlijn moeten vermijden(17). In het Unierecht is de rechtstreekse toekenning van punitieve schadevergoeding uitzonderlijk.(18)

39. In de AVG is nergens verklaard dat schadevergoedingen wegens materiële of immateriële schade een bestraffend karakter moeten hebben, dat de berekening van het schadevergoedingsbedrag dit karakter moet weergeven of dat die schadevergoeding afschrikkend moet zijn (een eigenschap die in de AVG daarentegen wel wordt toegekend aan straffen en administratieve geldboeten).(19) Naar de letter genomen kan er dus geen punitieve schadevergoeding worden toegekend op grond van de AVG.

b) Uitlegging in het licht van de ontstaansgeschiedenis van de bepaling

40. Artikel 82, lid 1, AVG gaat terug op artikel 23, lid 1, van richtlijn 95/46. Die richtlijn maakte deel uit van een stelsel dat voor zijn doeltreffendheid berustte op publieke en privaatrechtelijke handhaving(20), maar waarin (privaatrechtelijke) compensaties en (publieke) sancties niet met elkaar samenvielen(21). Het toezicht op de naleving van de regels was in de eerste plaats de verantwoordelijkheid van onafhankelijke toezichthoudende autoriteiten.(22)

41. De AVG neemt dit model over, maar versterkt de instrumenten om in geval van inbreuken of dreigende inbreuken de doeltreffendheid te garanderen van de opgenomen bepalingen, die thans gedetailleerder zijn, en van de voorziene maatregelen, die thans doortastender zijn:

– Ten eerste is er sprake van een uitbreiding van de functies van de toezichthoudende autoriteiten, die onder meer verantwoordelijk zijn voor het opleggen van de geharmoniseerde sancties die in de AVG zelf zijn vastgesteld.(23) Dit beklemtoont de component inzake publieke handhaving van de regels.

– Ten tweede is bepaald dat particulieren de rechten die zij aan de AVG ontlenen, kunnen verdedigen(24), hetzij door de toezichthoudende autoriteiten in te schakelen (artikel 77), hetzij door een beroep op de rechter te doen (artikelen 79 en 82). Voorts kunnen bepaalde entiteiten op grond van artikel 80 representatieve vorderingen instellen(25), hetgeen de bescherming van algemene belangen van particulieren bevordert(26).

42. De uitwerking van een uniforme regeling inzake de wettelijke aansprakelijkheid voor schade in de AVG was beperkt. Aspecten waarover in het kader van richtlijn 95/46 mogelijk twijfel bestond, zoals de aanmerking van immateriële schade als schade die in aanmerking komt voor vergoeding(27), werden spoedig verduidelijkt. De onderhandelingen waren toegespitst op andere aspecten van die regeling.(28)

43. In de totstandkomingsgeschiedenis van de verordening kon ik geen besprekingen vinden over een eventuele punitieve functie van de wettelijke aansprakelijkheid waarin de AVG voorziet. Aangezien er dienaangaande geen discussie heeft plaatsgevonden, kan hieruit dus niet worden afgeleid dat deze functie is opgenomen in artikel 82, temeer daar de opneming ervan in andere Unierechtelijke teksten wel is besproken.(29)

44. In deze omstandigheden is de vordering op grond van artikel 82, lid 1, AVG mijns inziens ontworpen en vastgesteld met het oog op de typische functies van de wettelijke aansprakelijkheid: de functie van schadevergoeding (voor de benadeelde) en, ondergeschikt daaraan, het voorkomen van toekomstige schade (door de inbreukmaker).

c) Contextuele uitlegging

45. Zoals ik reeds heb vermeld, maakt artikel 82 AVG deel uit van een stelsel ter waarborging van de doeltreffendheid van de regels waarbij het particulier initiatief een aanvulling vormt op de publieke handhaving. De schadevergoeding door verwerkingsverantwoordelijken of verwerkers draagt bij aan deze doeltreffendheid.

46. De verplichting tot schadevergoeding werkt (idealiter) als een stimulans om in de toekomst zorgvuldiger te handelen, zich aan de regels te houden en verdere schade te voorkomen. Op die manier draagt elk individu, door voor zichzelf schadevergoeding te vorderen, bij aan de algemene doeltreffendheid van de regels.

47. In dit kader zijn de compensatoire en de punitieve functie gescheiden:

– De punitieve functie wordt vervuld door middel van geldboeten die door toezichthoudende autoriteiten of rechterlijke instanties kunnen worden opgelegd (artikel 83, leden 1 en 9, AVG) en andere sancties die de lidstaten op grond van artikel 84 AVG vaststellen.(30)

– De compensatoire functie wordt vervuld door klachten van particulieren (artikel 77) en gerechtelijke procedures (artikel 79). Het is echter niet aan de toezichthoudende autoriteiten om te oordelen over het recht op schadevergoeding.

48. In lijn met de scheiding van de compensatoire en de punitieve sanctie:

– moet de autoriteit bij het opleggen van een geldboete en de bepaling van het bedrag ervan rekening houden met de in artikel 83 AVG opgesomde factoren, waarin niet wordt voorzien op het gebied van de wettelijke aansprakelijkheid en die in beginsel niet kunnen worden overgenomen bij de berekening van de schadevergoeding(31);

– hoeft, indien de omvang van de door de betrokkenen geleden schade een factor is ter bepaling van de hoogte van de geldboete(32), bij de berekening van het bedrag ervan geen rekening te worden gehouden met de schadevergoeding die zij eventueel hebben ontvangen(33).

49. Vanuit theoretisch oogpunt brengt een uitlegging waarbij de wettelijke aansprakelijkheid – zonder dat er sprake is van schade – een punitieve functie krijgt, het risico met zich mee dat de schadevergoedingsmechanismen gaan overlappen met de sanctiemechanismen.

50. In de praktijk kan het gemak waarmee door middel van schadevergoeding een „punitieve” winst kan worden verkregen, betrokkenen ertoe brengen deze weg te verkiezen boven die van artikel 77 AVG. Mocht dit brede ingang vinden, zou de toezichthoudende autoriteiten een instrument worden ontnomen (de klacht van de betrokkene) om van mogelijke inbreuken op de AVG kennis te nemen en deze dus te onderzoeken en te bestraffen. Dit zou ten koste gaan van meer geschikte instrumenten ter bescherming van het algemeen belang.

d) Teleologische uitlegging

51. De AVG heeft in wezen twee doelstellingen, die reeds in de titel worden genoemd: a) ten eerste „de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens”, en b) ten tweede ervoor zorgen dat deze bescherming zo gestalte krijgt dat „het vrije verkeer van die gegevens” binnen de Unie niet wordt verboden of beperkt.(34)

52. Om deze doelstellingen te verwezenlijken, vereist de AVG mijns inziens niet dat de schadevergoeding wordt gekoppeld aan de enkele inbreuk op de regel betreffende de verwerking en dat de wettelijke aansprakelijkheid een punitieve functie krijgt.

53. Wat de eerste doelstelling betreft, is het met het oog op de verwezenlijking ervan niet nodig om de werkingssfeer van artikel 82 AVG door middel van uitlegging uit te breiden tot gevallen waarin een regel is geschonden, maar geen schade is opgetreden. Deze uitbreiding zou daarentegen negatieve gevolgen kunnen hebben voor de tweede doelstelling.

54. Zoals ik reeds heb aangegeven, voorziet de AVG in verschillende mechanismen ter waarborging van de naleving van de regels ervan, die naast elkaar bestaan en elkaar aanvullen. De lidstaten hoeven niet te kiezen (en kunnen dat trouwens ook niet) tussen de mechanismen van hoofdstuk VIII om de bescherming van gegevens te waarborgen. In het geval van een inbreuk die niet tot schade leidt, heeft de betrokkene nog steeds (ten minste) het recht om een klacht in te dienen bij een toezichthoudende autoriteit overeenkomstig artikel 77, lid 1, AVG.

55. Bovendien zou het vooruitzicht op het verkrijgen van een schadevergoeding zonder dat er sprake is van schade, waarschijnlijk leiden tot meer civielrechtelijke zaken, met vorderingen die misschien niet altijd gerechtvaardigd zijn(35), en aldus een rem kunnen zetten op de activiteiten in verband met gegevensverwerking(36).

3. Vermoeden van schade?

56. De partijen in het geding bepleiten in enkele opmerkingen een andere lezing van de eerste prejudiciële vraag dan die welke ik tot dusver heb besproken. Als ik hun standpunt goed begrijp(37), lijken zij te betogen dat er sprake is van een onbetwistbaar vermoeden van schade zodra de inbreuk op de regel heeft plaatsgevonden.

57. Verder zou een dergelijke inbreuk volgens hen noodzakelijkerwijs een verlies van controle over de gegevens met zich brengen, wat op zich schade zou opleveren die in aanmerking komt voor vergoeding op grond van artikel 82, lid 1, AVG.

58. In theorie is het bij dat vermoeden niet mogelijk om de schade buiten beschouwing te laten, wat in overeenstemming is met de typische structuur van de wettelijke aansprakelijkheid, alsook met de bewoordingen van de bepaling van de AVG. In de praktijk zou het hanteren van dat vermoeden echter, zowel voor de eiser als voor de verweerder, soortgelijke gevolgen hebben als wanneer de schadevergoeding als bedoeld in artikel 82, lid 1, AVG wordt gekoppeld aan de enkele inbreuk op de regel.

59. Wederom zal ik van de gebruikelijke uitleggingscriteria gebruikmaken om uiteen te zetten waarom deze uitlegging mij niet juist lijkt.

a) Letterlijke uitlegging

60. Wanneer de wetgever op andere gebieden van het Unierecht meende dat een inbreuk op een regel automatisch recht geeft op schadevergoeding, heeft hij dat zonder meer als zodanig vastgesteld.(38) Dit is niet het geval bij de AVG, waarin is voorzien in bewijsregels en in regels met rechtstreekse gevolgen op dit gebied(39), maar niet in een dergelijk automatisme, noch rechtstreeks noch middels een onweerlegbaar vermoeden.

61. De verwijzingen naar de controle over de gegevens (of het verlies van die controle) in de overwegingen 75(40) en 85(41) AVG lijken mij geen tegengewicht te vormen voor het ontbreken van dit automatisme. Afgezien van het feit dat overwegingen als zodanig geen normatieve waarde hebben, staat in geen van beide te lezen dat de inbreuk op een regel per se schade oplevert die in aanmerking komt voor vergoeding:

– In overweging 75 wordt het verhinderen van de controle over persoonsgegevens genoemd als een van de mogelijke risico’s van verwerking.

– In overweging 85 wordt verlies van controle genoemd als een van de gevolgen die kunnen voortvloeien uit een inbreuk in verband met persoonsgegevens.(42)

62. Het verlies van controle over gegevens hoeft niet onvermijdelijk tot schade te leiden. De uitdrukking kan worden opgevat als een zinspeling op schade naar aanleiding van een dergelijk verlies, voor zover die schade zich voordoet.(43)

b) Uitlegging in het licht van de ontstaansgeschiedenis

63. Ook de analyse van de ontstaansgeschiedenis biedt geen steun voor het bestaan van een dergelijk vermoeden, dat niet was opgenomen in richtlijn 95/46(44) en waarvan evenmin sprake was in de vóór de vaststelling van de AVG opgestelde documenten van de Commissie, het Europees Parlement of de Raad die ik onder de loep heb genomen.

c) Contextuele uitlegging

64. Het stelsel van de AVG bevat aanwijzingen om in twijfel te trekken dat het genoemde vermoeden daarin is opgenomen. Daarbij geldt de toestemming van de betrokkene als referentiepunt.(45) Deze toestemming is het middel waarmee de betrokkene controle over zijn gegevens uitoefent en staat als legitimering voor de gegevensverwerking op hetzelfde niveau als andere rechtsgronden (artikel 6 AVG).(46)

65. Het is denkbaar dat persoonsgegevens rechtmatig worden verwerkt zonder toestemming van de betrokkene en dus zonder de controle die de verlening of onthouding van die toestemming inhoudt. Het gewicht ervan binnen het systeem is dus niet absoluut.

66. Bovendien voorziet de AVG in andere mogelijkheden om deze controle uit te oefenen: zo is er onder meer het recht op gegevenswissing, dat de verwerkingsverantwoordelijke verplicht om de betrokken informatie „zonder onredelijke vertraging” te wissen.(47)

67. Voor de betrokkene van wie de gegevens worden verwerkt, fungeert dit recht als veiligheidsklep in de beschermingsregeling: het recht blijft (als grondregel) bestaan wanneer de verwerkingsverantwoordelijke geen toestemming van de betrokkene heeft verkregen, alsook wanneer geen andere grond de gegevensverwerking legitimeert, en dat recht is niet afhankelijk van de vraag of de verwerking schade veroorzaakt.(48)

d) Teleologische uitlegging

1) Vormt de controle van de betrokkene over zijn gegevens een doelstelling van de AVG?

68. De automatische gelijkstelling tussen een verwerking van persoonsgegevens waarvoor de toestemming van de betrokkene niet is verkregen en schade die in aanmerking komt voor vergoeding, veronderstelt dat die controle – waarvan de toestemming het middel voor de uitoefening ervan is – een waarde op zich is.

69. Toegegeven, op het eerste gezicht ontbreekt het dit standpunt niet aan steun. Zoals uit het voorstel van de Commissie blijkt, bestond een van de belangrijkste redenen voor de hervorming erin dat burgers controle over hun gegevens hebben.(49) In overweging 7 AVG staat te lezen dat „[n]atuurlijke personen […] controle over hun eigen persoonsgegevens [dienen] te hebben”.

70. Vast staat dat er, nog los van de discussies in de rechtsliteratuur dienaangaande, bij de uitlegging van dit begrip voorzichtigheid geboden is. De AVG bevat geen precieze definitie van „controle” (en ook elders heb ik er geen gevonden).(50) Het begrip heeft ten minste twee mogelijke betekenissen, die elkaar niet uitsluiten, namelijk „macht” of „zeggenschap”, en „toezicht”.

71. De formulering van overweging 7 AVG zorgt voor enige onzekerheid, aangezien deze van taalversie tot taalversie verschilt.(51) Gelet op de inhoud van de AVG ben ik van mening dat deze verordening de betrokkene het recht verleent om toezicht uit te oefenen op en in te grijpen in de activiteiten die anderen met betrekking tot de gegevens uitvoeren en fungeert als een instrument dat (samen met andere instrumenten) ten dienste staat van de gegevensbescherming.

72. De betrokkene draagt zelf bij aan en is verantwoordelijk voor de bescherming van de in de gegevens vervatte informatie op de wijze – omvang en voorwaarden – waarin de AVG voorziet. De reikwijdte van een individuele vordering is beperkt: de in de AVG opgesomde rechten kunnen alleen onder specifieke voorwaarden worden uitgeoefend.

73. De toestemming van de betrokkene, als ultieme uitdrukking van controle(52), is slechts één van de rechtsgronden voor rechtmatige verwerking, maar kan niet worden aangewend om te bevestigen dat de andere voor de verwerkingsverantwoordelijke en de verwerker geldende verplichtingen en voorwaarden niet zijn nageleefd.

74. Mijns inziens kan uit de AVG niet zo maar worden afgeleid dat het de bedoeling om is de betrokkene de controle over zijn persoonsgegevens te verlenen als een waarde op zich. Evenmin kan worden afgeleid dat de betrokkene de grootst mogelijke controle over die gegevens moet hebben.

75. Deze bevinding is niet verwonderlijk. Ten eerste ligt het niet voor de hand dat controle, in de zin van zeggenschap over gegevens, deel uitmaakt van de wezenlijke inhoud van het grondrecht op bescherming van persoonsgegevens.(53) Ten tweede is er allesbehalve eensgezindheid over de opvatting van dit recht als een recht op informationele zelfbeschikking: artikel 8 van het Handvest gebruikt deze termen niet.(54)

76. In dezelfde lijn is er in de definitieve tekst van de AVG ook geen overweging opgenomen volgens welke „[h]et recht op de bescherming van persoonsgegevens is gegrondvest op het recht van de betrokkene om controle uit te oefenen over de persoonsgegevens die bij de verwerking betrokken zijn”.(55)

77. De bovenstaande overwegingen, die wellicht te abstract zijn, brengen mij ertoe te stellen dat, wanneer de betrokkene niet instemt met een verwerking en deze verwerking zonder andere rechtmatige rechtsgrond wordt uitgevoerd, dit nog niet betekent dat hij een financiële compensatie moet ontvangen wegens het verlies van controle over zijn gegevens, alsof dit verlies op zich schade zou opleveren die voor vergoeding in aanmerking komt.(56) Of hij ook werkelijk schade heeft geleden, valt bovendien nog te bezien (en zal moeten worden bewezen).(57)

2) Contextuele benadering van de controle van de betrokkene

78. Tot slot lijkt het dienstig eraan te herinneren dat de bescherming van persoonsgegevens een van de doelstellingen van de AVG is, samen met de doelstelling om het vrije verkeer van die gegevens te bevorderen.(58)

79. Het versterken van de controle van de burger over zijn persoonsgegevens in de digitale omgeving is een van de erkende doelstellingen van de modernisering van de regeling voor de bescherming van persoonsgegevens, maar is geen opzichzelfstaande of geïsoleerde doelstelling.

80. In de mededeling bij het voorstel voor de AVG heeft de Commissie een hoog niveau van gegevensbescherming in verband gebracht met het vertrouwen in onlinediensten, zodat het potentieel van de digitale economie kan worden ontsloten ten gunste van „de economische groei en het concurrentievermogen van het bedrijfsleven in de EU”. Door de vernieuwing (en grotere harmonisatie) van de regels van de Unie wordt „de internemarktdimensie van gegevensbescherming versterkt”.(59)

81. Aangezien (al dan niet persoonsgebonden) gegevens van grote waarde zijn voor de economische en sociale vooruitgang in Europa, is de AVG er niet op gericht de controle van het individu over de hem betreffende informatie te vergroten door zich zonder meer te schikken naar zijn voorkeuren, maar bestaat het doel er veeleer in om het recht op bescherming van persoonsgegevens van elke betrokkene te verzoenen met de belangen van derden en van de samenleving.(60)

82. De AVG is mijns inziens niet bedoeld om de verwerking van persoonsgegevens systematisch te beperken, maar om die verwerking onder strikte voorwaarden legitimiteit te verlenen. Deze doelstelling wordt bovenal gediend door bij de betrokkene het vertrouwen te scheppen dat de verwerking zal plaatsvinden in een veilige context(61), waaraan hijzelf bijdraagt. Op deze manier wordt de betrokkene aangemoedigd vrijwillig in te stemmen met de toegang tot en het gebruik van zijn gegevens bij onder meer online handelstransacties.

C. Tweede prejudiciële vraag

83. De verwijzende rechter wenst te vernemen „of er voor de berekening van de schadevergoeding naast de beginselen van doeltreffendheid en gelijkwaardigheid andere Unierechtelijke bepalingen [bestaan]”.

84. In feite lijkt het gelijkwaardigheidsbeginsel hier geen relevante rol te spelen: de geharmoniseerde regeling van de AVG is rechtstreeks van toepassing op dit gebied en artikel 82 AVG is van toepassing op alle immateriële schade als gevolg van een inbreuk, ongeacht waar deze schade uit voortkomt.

85. Hetzelfde geldt voor het doeltreffendheidsbeginsel. Een andere kwestie is dat de schadevergoeding, in overeenstemming met wat in overweging 146 AVG wordt bepleit (betrokkenen moeten volledig en daadwerkelijk worden vergoed voor de geleden schade), inhoudelijk invulling moet krijgen.

86. Artikel 82 AVG bevat geen ander vereiste dan dat een inbreuk op de regels van de AVG tot gevolg heeft dat een persoon materiële of immateriële schade lijdt. Wat specifiek de berekening van het bedrag van de vergoeding voor die schade betreft, biedt het geen richtsnoeren voor de nationale rechterlijke instanties.

87. Overeenkomstig de twee hierboven vermelde bijwoorden (volledig en daadwerkelijk) zal de schadevergoeding in de eerste plaats afhangen van de vordering die de eisende partij in kwestie instelt.

88. Indien die vordering zou strekken tot toekenning van punitieve schadevergoeding(62), zou het antwoord op de eerste prejudiciële vraag voldoende zijn: dit soort schadevergoedingen komt in de AVG niet voor. In de AVG vervult de wettelijke aansprakelijkheid een „privaatrechtelijke” compensatoire functie, terwijl geldboeten en straffen de publieke functie van afschrikking en, in voorkomend geval, bestraffing hebben.

89. Het kan niet worden uitgesloten dat de gevraagde vergoeding voor immateriële schade andere dan louter geldelijke bestanddelen omvat, bijvoorbeeld de erkenning dat de inbreuk heeft plaatsgevonden, waardoor aan de eisende partij een zekere morele genoegdoening wordt verschaft. Hoewel het arrest van 15 april 2021(63) betrekking heeft op een ander gebied dan gegevensbescherming, zou het naar analogie toch kunnen worden gebruikt bij de beoordeling van de betreffende vordering.

90. In rechtsstelsels die in deze mogelijkheid voorzien, kan op grond van de wettelijkeaansprakelijkheidsregeling een schadevergoeding worden toegekend in de vorm van de erkenning van een recht (betaling van een symbolische schadevergoeding) of de neutralisering van een onrechtmatig voordeel (teruggave van de wederrechtelijk verkregen winst).

91. Aan de eerstgenoemde vorm van schadevergoeding ligt het idee ten grondslag om de continuïteit te waarborgen en het recht te verwezenlijken („Rechtsfortsetzungsfunktion”) door middel van een zuiver symbolische schadevergoeding, aangevuld met de verklaring dat de verwerende partij een onrechtmatige daad heeft gepleegd en inbreuk heeft gemaakt op de rechten van de eisende partij. Deze mogelijkheid is niet opgenomen in artikel 82 AVG en ook in de totstandkomingsgeschiedenis van de verordening valt er geen spoor van te bekennen, wat niet verwonderlijk is daar deze mogelijkheid niet gebruikelijk is in de rechtsstelsels van de lidstaten(64) en niet onomstreden is waar zij wel bestaat(65).

92. Het stelsel en de doelstellingen van de AVG beletten de lidstaten waar dit rechtsmiddel bestaat evenwel niet om het, in het kader van de in artikel 79 AVG vastgestelde beroepsmogelijkheden, ter beschikking te stellen van de benadeelden van een inbreuk op een regel, wanneer er helemaal geen sprake is van schade. Wanneer de eisende partij daarentegen aanvoert geldelijke schade te hebben geleden, wordt de situatie geregeld door artikel 82 AVG en mag de moeilijkheid om de schade te bewijzen niet leiden tot een symbolische schadevergoeding.(66)

93. Schadevergoedingen die bestaan in de teruggave van het bedrag dat voortvloeit uit de inbreuk op een recht, kunnen tot doel hebben de inbreukmaker de verkregen winst te ontnemen. Buiten het gebied van de intellectuele eigendom(67) is deze doelstelling niet gebruikelijk in het schadevergoedingsrecht, dat eerder is gericht op het verlies van de benadeelde partij dan op de winst van de inbreukpleger.(68) Deze doelstelling is niet overgenomen in de bepalingen van de AVG.

94. Bovenstaande overwegingen dienen om het werk van de verwijzende rechter te vergemakkelijken, gelet op de ruime strekking van zijn tweede prejudiciële vraag. Daarbij ben ik er mij echter van bewust dat zij mogelijk niet erg nuttig zijn voor de toe- of afwijzing van een vordering waarin de betrokkene een strikt geldelijke vergoeding voor immateriële schade vordert.

D. Derde prejudiciële vraag

95. De verwijzende rechter wenst te vernemen of in de AVG voor de vaststelling van immateriële schade wordt verondersteld dat er sprake is van een „effect of gevolg van de schending dat op zijn minst van enig belang is en verder gaat dan de door de inbreuk ontstane ergernis”.

96. Als criterium voor schade die in aanmerking komt voor vergoeding wordt in het verzoek om een prejudiciële beslissing rekening gehouden met de intensiteit van de ervaring van de benadeelde. De verwijzende rechter vraagt daarentegen niet (althans niet rechtstreeks) of bepaalde emoties of gevoelens van die persoon al dan niet relevant zijn voor de toepassing van artikel 82, lid 1, AVG.(69)

97. De vraag is dus aan de orde of de lidstaten de vergoeding van immateriële schade afhankelijk mogen stellen van de omvang van de gevolgen van de inbreuk op de regel en alleen rekening mogen houden met de gevolgen die een bepaalde drempel van zwaarwegendheid overschrijden. Bij de vraag gaat het dus niet om voor vergoeding in aanmerking komende schadeposten(70) of om het bedrag van de schadevergoeding, maar om het bestaan van een benedengrens met betrekking tot de reactie van de benadeelde, onder welke grens hij geen schadevergoeding zou ontvangen.

98. Artikel 82 AVG biedt geen rechtstreeks antwoord op deze vraag. Ook de overwegingen 75 en 85 bieden mijns inziens geen uitkomst. Beide overwegingen bevatten een opsomming van voorbeelden van schade die eindigt met een open formulering die de schade die in aanmerking komt voor vergoeding lijkt te beperken tot „aanzienlijke” schade.

99. Volgens mij zijn deze overwegingen echter niet nuttig om de twijfel van de verwijzende rechter weg te nemen:

– De eerste overweging heeft betrekking op de vaststelling en evaluatie van de risico’s van gegevensverwerking, en het nemen van maatregelen om deze risico’s te voorkomen of te verminderen. Voorst worden de ongewenste gevolgen van elke verwerking vermeld en wordt de nadruk („met name”) op sommige gevolgen gelegd, hoogstwaarschijnlijk omdat die zwaarwegender zijn.

– De tweede overweging heeft betrekking op inbreuken in verband met persoonsgegevens en er wordt gewaarschuwd dat de gevolgen van dergelijke inbreuken aanzienlijk kunnen zijn.

100. Ook de in overweging 146 AVG gehanteerde formulering (de verwerkingsverantwoordelijke en de verwerker moeten „alle schade” vergoeden)(71) bevat geen criteria om deze vraag te beantwoorden.

101. De opneming van deze overweging in de tekst van de AVG heeft ervoor gezorgd dat de AVG ook uitdrukkelijk immateriële schade omvat en dat aldus het stilzwijgen op dit punt in richtlijn 95/46 werd doorbroken.(72) Daarmee is echter nog niet specifiek ingegaan op de vraag die thans aan het Hof is voorgelegd.

102. In overweging 146 AVG staat te lezen dat „[h]et begrip ,schade’ […] ruim [moet] worden uitgelegd in het licht van de rechtspraak van het Hof, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening”.

103. Ik ben niet zeker of deze aanwijzing veel nut heeft in de context van gegevensbescherming, aangezien het Hof zich nog niet over deze kwestie had uitgesproken toen de AVG werd vastgesteld.(73) Indien het de bedoeling was te verwijzen naar arresten over de wettelijke aansprakelijkheid die in andere richtlijnen of verordeningen is geregeld, dan zou het wenselijk zijn geweest om dit naar analogie te doen.

104. In feite heeft het Hof geen algemene definitie van „schade” uitgewerkt die zonder onderscheid op elk gebied kan worden toegepast.(74) Voor wat hier van belang is (immateriële schade), kan uit zijn rechtspraak worden afgeleid dat:

– wanneer het doel (of een van de doelen) van de uit te leggen bepaling bestaat in de bescherming van het individu, of van een bepaalde categorie individuen(75), het begrip „schade” ruim moet worden opgevat;

– de schadevergoeding zich in overeenstemming met dit criterium uitstrekt tot immateriële schade, ook al wordt dit soort schade niet in de uitgelegde bepaling genoemd.(76)

105. Gelet op de rechtspraak van het Hof kan er weliswaar voor worden gepleit dat er in het Unierecht op de aangegeven wijze sprake is van het beginsel dat immateriële schade wordt vergoed, maar mijns inziens kan daaruit geen regel worden afgeleid volgens welke alle immateriële schade, ongeacht de ernst ervan, in aanmerking komt voor vergoeding.

106. Het Hof heeft erkend dat een nationale regeling waarbij er voor de berekening van de schadevergoeding in geval van immateriële schade die voortvloeit uit letselschade door een ongeval, een onderscheid wordt gemaakt afhankelijk van de oorzaak van het ongeval, verenigbaar is met de Europese regels.(77)

107. Het Hof heeft ook beoordeeld welke omstandigheden overeenkomstig de toepasselijke bepaling in elk afzonderlijk geval immateriële schade kunnen veroorzaken(78), maar heeft zich (als ik mij niet vergis) niet uitdrukkelijk uitgesproken over het vereiste inzake de ernst van die schade(79).

108. In dit stadium ben ik van mening dat de derde prejudiciële vraag bevestigend moet worden beantwoord.

109. Ter ondersteuning van mijn standpunt herinner ik eraan dat de waarborging van het grondrecht op bescherming van persoonsgegevens niet het enige doel van de AVG is(80) en dat het in deze verordening opgenomen stelsel van waarborgen verschillende soorten mechanismen omvat(81).

110. In dit verband is een relevant aanknopingspunt het aan het Hof gesuggereerde onderscheid tussen immateriële schade die in aanmerking komt voor vergoeding, en andere ongemakken die voortvloeien uit de niet-nakoming van de wet maar die wegens hun geringe belang niet noodzakelijkerwijs recht op schadevergoeding zouden geven.

111. Een dergelijk onderscheid wordt in de nationale rechtsstelsels beschouwd als een onvermijdelijk uitvloeisel van het samenleven.(82) Het Hof is zich bewust van dit verschil en erkent dat ook door moeilijkheden en ongemakken als een zelfstandige categorie – die van de categorie schade losstaat – aan te merken op gebieden waarop het van oordeel is dat die moeilijkheden en ongemakken moeten worden vergoed.(83) Niets staat eraan in de weg dat dit onderscheid ook met betrekking tot de AVG wordt gehanteerd.

112. Bovendien lijkt het recht op schadevergoeding uit hoofde van artikel 82, lid 1, AVG mij niet het passende instrument om tegen inbreuken bij de verwerking van persoonsgegevens op te treden indien deze bij de betrokkene alleen maar boosheid of ergernis opwekken.

113. Normaliter zal elke inbreuk op een regel inzake de bescherming van persoonsgegevens leiden tot een negatieve reactie van de betrokkene. Schadevergoeding die louter voortvloeit uit een gevoel van onbehagen over het feit dat een ander de wet niet eerbiedigt, wordt gemakkelijk verward met schadevergoeding zonder schade, die ik hierboven reeds van de hand heb gewezen.

114. Uit praktisch oogpunt is het niet doelmatig om ook louter ergernis op te nemen onder immateriële schade die in aanmerking komt voor vergoeding, gelet op de kenmerkende ongemakken en moeilijkheden voor de eisende partij bij het instellen van een vordering(84) en voor de verwerende partij bij het voorbereiden van haar verweer(85).

115. Dat er geen recht op schadevergoeding voor zwakke en voorbijgaande gevoelens of emoties(86) wordt toegekend waar het gaat om de inbreuk op verwerkingsregels, betekent nog niet dat de betrokkene volledig in de steek wordt gelaten. Zoals ik naar aanleiding van de eerste vraag heb aangegeven, heeft deze op grond van het stelsel van de AVG andere beroepsmogelijkheden.

116. Mijns inziens lijdt het geen twijfel dat de scheidslijn tussen louter ergernis (geen vergoeding mogelijk) en reële immateriële schade (wel vergoeding mogelijk) dun is, en ik ben mij er tevens van bewust hoe ingewikkeld het is om beide categorieën in abstracto af te bakenen en concreet toe te passen op een geschil. Deze moeilijke taak komt toe aan de rechters van de lidstaten, die in hun uitspraken waarschijnlijk niet voorbij zullen kunnen gaan aan de immer aanwezige maatschappelijke perceptie omtrent de aanvaardbare tolerantie op dit gebied wanneer de subjectieve gevolgen van een inbreuk op een regel beneden een bepaalde de-minimisdrempel blijven.(87)

V. Conclusie

117. Gelet op een en ander geef ik het Hof in overweging om de prejudiciële vraag van het Oberste Gerichtshof te beantwoorden als volgt:

„Artikel 82 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet als volgt worden uitgelegd:

Voor de erkenning van het recht op vergoeding van de schade die een persoon stelt te hebben geleden als gevolg van een schending van die verordening, is de enkele inbreuk op de desbetreffende regel op zich niet voldoende indien die inbreuk niet gepaard gaat met daaruit voortvloeiende materiële of immateriële schade.

De in verordening 2016/679 geregelde vergoeding van immateriële schade strekt zich niet uit tot de loutere ergernis die de benadeelde kan ondervinden als gevolg van de inbreuk op de bepalingen van die verordening. Het staat aan de nationale rechter om in elk concreet geval op basis van de kenmerken van het subjectieve gevoel van onbehagen te bepalen wanneer een dergelijk gevoel als immateriële schade kan worden aangemerkt.”

1 Oorspronkelijke taal: Spaans.

2 Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1) (hierna: „AVG”).

3 Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

4 Volgens het verslag van het Bureau van de Europese Unie voor de grondrechten (FRA), Access to data protection remedies in the EU Member States, Bureau voor publicaties van de Europese Unie, 2013, punten 3 en 4.

5 De wettelijke erkenning van dit recht is, in hoge mate, een bijzonder kenmerk van de beschermingsregeling van de Unie. Bij de analyse van de geldigheid van rechtsinstrumenten betreffende de doorgifte van persoonsgegevens aan derde landen wordt specifiek rekening gehouden met de vraag of er al dan niet een regeling met dezelfde doelstelling bestaat. Zie punten 226 en 227 van advies 1/15 (PNR-overeenkomst EU-Canada) van 26 juli 2017 (EU:C:2017:592), alsook arresten van 16 juli 2020, Facebook Ierland en Schrems (C‑311/18, EU:C:2020:559), en 21 juni 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6 Op het moment van schrijven van deze conclusie zijn er nog zeven andere verzoeken om een prejudiciële beslissing over dit onderwerp in behandeling (zaken C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22, C‑189/22 en C-456/22). Tegelijkertijd is aan de Commissie verzoekschriften van het Europees Parlement verzocht „de overwegingen van de AVG, in het bijzonder met betrekking tot immateriële schade, te verduidelijken teneinde verdere onjuiste beoordelingen door Duitse rechters te voorkomen” (verzoekschrift nr. 0386/2021).

7 De rechter in eerste aanleg heeft het verzoek tot staken van de gedraging daarentegen toegewezen, welke toewijzing in hoger beroep werd bekrachtigd. Het door Österreichische Post ingestelde beroep in Revision tegen het bevel tot staking is verworpen.

8 Deze term wordt hier gebruikt in de zin van artikel 4, punt 1, AVG.

9 In sommige gevallen zal de betrokkene niet eens hoeven te bewijzen dat hij geen toestemming heeft gegeven, aangezien krachtens artikel 7, lid 1, AVG geldt dat „[w]anneer de verwerking berust op toestemming, […] de verwerkingsverantwoordelijke [moet] kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens”. Wel kan van de eisende partij worden verlangd dat zij elementen aandraagt aan de hand waarvan de schade kan worden gekwantificeerd.

10 In de Spaanse en de Portugese versie worden respectievelijk „indemnización” en „indemnização” gebruikt voor dit begrip. Zeer expressief is ook „Schadenersatz” in de Duitse versie. In het Frans wordt niet „indemnisation” maar „réparation” gebruikt, en in het Engels staat er „compensation”. Mijns inziens is het resultaat in elk van deze taalversies – alsmede in andere overeenkomstige taalversies – identiek: schade blijft een onontbeerlijk bestanddeel van de wettelijke aansprakelijkheid.

11 Overweging 146 AVG. Een schadevergoeding beoogt het evenwicht te herstellen van de rechtssituatie die door de inbreuk op het recht in negatieve zin is gewijzigd (geschaad).

12 Punitieve schadevergoedingen (punitive damages) zijn kenmerkend voor de common law. In andere rechtsstelsels worden dergelijke schadevergoedingen gebruikt in geval van gedragingen waarbij sprake is van specifieke opzet of ernstige nalatigheid. Zij worden soms gekoppeld aan de beoordeling van immateriële schade na een aantasting van de lichamelijke integriteit of van de persoonlijke levenssfeer.

13 Arrest van 13 juli 2006, Manfredi e.a. (C‑295/04–C‑298/04, EU:C:2006:461, punt 92): „Wat de toekenning van schadevergoeding betreft en de eventuele mogelijkheid om punitieve schadevergoeding toe te kennen, dient bij gebreke van communautaire bepalingen ter zake de nationale rechtsorde van elke lidstaat de criteria te bevatten ter bepaling van de omvang van de schadevergoeding, mits het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel in acht worden genomen.” Cursivering van mij.

14 Arrest van 11 oktober 2007, Paquay (C‑460/06, EU:C:2007:601, punten 44 e.v.), betreffende artikel 6 van richtlijn 76/207/EEG van de Raad van 9 februari 1976 betreffende de tenuitvoerlegging van het beginsel van gelijke behandeling van mannen en vrouwen ten aanzien van de toegang tot het arbeidsproces, de beroepsopleiding en de promotiekansen en ten aanzien van de arbeidsvoorwaarden (PB 1976, L 39, blz. 40).

15 Artikel 28 van richtlijn 2004/109/EG van het Europees Parlement en de Raad van 15 december 2004 betreffende de transparantievereisten die gelden voor informatie over uitgevende instellingen waarvan effecten tot de handel op een gereglementeerde markt zijn toegelaten en tot wijziging van richtlijn 2001/34/EG (PB 2004, L 390, blz. 38) en artikel 25 van richtlijn 2006/54/EG van het Europees Parlement en de Raad van 5 juli 2006 betreffende de toepassing van het beginsel van gelijke kansen en gelijke behandeling van mannen en vrouwen in arbeid en beroep (PB 2006, L 204, blz. 23).

16 Waarmee een punitieve schadevergoeding wordt bedoeld. Zie overweging 26 van richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB 2004, L 157, blz. 45). In dat geval is de vaststelling van een punitieve maatregel niet verboden, maar ook niet verplicht: arrest van 25 januari 2017, Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, punt 28).

17 Artikel 3, lid 3, van richtlijn 2014/104/EU van het Europees Parlement en de Raad van 26 november 2014 betreffende bepaalde regels voor schadevorderingen volgens nationaal recht wegens inbreuken op de bepalingen van het mededingingsrecht van de lidstaten en van de Europese Unie (PB 2014, L 349, blz. 1), alsook overwegingen 10 en 42 van richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van richtlijn 2009/22/EG (PB 2020, L 409, blz. 1), die ook betrekking heeft op gegevensbescherming.

18 Artikel 18, lid 2, van verordening (EG) nr. 1768/95 van de Commissie van 24 juli 1995 houdende vaststelling, overeenkomstig artikel 14, lid 3, van verordening (EG) nr. 2100/94 van de Raad inzake het communautaire kwekersrecht, van uitvoeringsbepalingen betreffende de afwijking ten gunste van landbouwers (PB 1995, L 173, blz. 14) wordt vaak als voorbeeld genoemd: de in die bepaling bedoelde inbreukmaker is „ter vergoeding aan de houder van alle andere […] ontstane schade […] gehouden tot betaling van ten minste een forfaitaire som, berekend op basis van het viervoud van het gemiddelde bedrag dat in rekening wordt gebracht”.

19 Zie punt 47.

20 De begrippen „publieke handhaving” en „privaatrechtelijke handhaving” worden in deze conclusie in dezelfde betekenis als in richtlijn 2014/104 gebruikt.

21 In overweging 55 van richtlijn 95/46 werd verwezen naar de inhoud van hoofdstuk III („Beroep op de rechter, aansprakelijkheid en sancties”) van die richtlijn. Deze drie aspecten werden respectievelijk behandeld in de artikelen 22, 23 en 24. Hoofdstuk VI was gewijd aan de toezichthoudende autoriteiten.

22 Het Hof heeft de centrale rol van deze autoriteiten in het stelsel bevestigd: bijvoorbeeld in zijn arrest van 9 maart 2010, Commissie/Duitsland (C‑518/07, EU:C:2010:125, punt 23). Deze autoriteiten worden tevens genoemd in artikel 8, lid 3, van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”) en artikel 16, lid 2, in fine, VWEU.

23 In Estland en Denemarken geldt een speciale regeling, als bedoeld in overweging 151 AVG.

24 Hoewel in de AVG niet, zoals in overweging 3 van richtlijn 2014/104, rechtstreeks wordt verwezen naar de relevantie van privaatrechtelijke handhaving van de regels.

25 De instelling van collectieve vorderingen was al vóór de AVG mogelijk: arrest van 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629). Overeenkomstig artikel 80, lid 1, AVG kan voor schadevergoedingszaken geen beroep worden gedaan op entiteiten die de betrokkenen verdedigen, tenzij het lidstatelijke recht daarin voorziet en de betrokkene daartoe de vereiste opdracht geeft. Deze situatie kan veranderen ten gevolge van richtlijn 2020/1828.

26 Zoals advocaat-generaal De La Tour in zijn conclusie in de zaak Meta Platforms Ireland (C‑319/20, EU:C:2021:979) heeft aangegeven, is de vordering op grond van artikel 80 AVG geschikt om zowel particuliere als algemene belangen te beschermen. In die zaak ging het om een verbodsactie.

27 Dit speelde vooral in lidstaten die afwijzend stonden tegenover de toekenning van vergoedingen voor immateriële schade zonder wettelijke bepaling ter zake.

28 Zoals passieve legitimatie, gronden voor vrijstelling van aansprakelijkheid en de aansprakelijkheidsregeling voor gezamenlijke verwerkingsverantwoordelijken en gezamenlijk opererende verwerkers. In een document van de Raad van de Europese Unie stelt de Belgische delegatie de volgende kwestie aan de orde: „whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage”. Het antwoord van de Commissie luidde dat de schade moet worden bewezen; zie voor het eerst in nota van het voorzitterschap nr. 17831/13 van 16 december 2013, voetnoot 541. Nergens blijkt dat deze kwestie verder is besproken.

29 Hierbij verwijs ik naar de discussies die voorafgingen aan de vaststelling van de richtlijnen 2004/48 en 2014/104. Een uitlegging waarbij artikel 82 AVG wordt uitgebreid tot punitieve schadevergoedingen zou aanzienlijke gevolgen hebben voor de lidstaten: zij zouden zich bijvoorbeeld moeten buigen over de vraag wie de als sanctie fungerende schadevergoeding moet ontvangen, hoe deze moet worden berekend zodat zij aan de doelstelling beantwoordt, of hoe deze moet worden gekoppeld aan administratieve geldboeten en straffen, teneinde te voorkomen dat de bestraffing te zwaar wordt.

30 Deze „andere sancties”, van strafrechtelijke of bestuursrechtelijke aard, zijn niet geharmoniseerd. Evenals geldboeten moeten zij „doeltreffend, evenredig en afschrikkend” zijn (artikel 84, lid 1, in fine).

31 Mijns inziens is het niet uitgesloten dat sommige factoren in abstracto wel relevant kunnen zijn in het kader van de wettelijke aansprakelijkheid [ik denk bijvoorbeeld aan „de opzettelijke of nalatige aard van de inbreuk” in artikel 83, lid 2, onder b), AVG] of tot uiting kunnen komen in de schadevergoeding [bijvoorbeeld „de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft” in artikel 83, lid 2, onder g), AVG]. Maar zelfs in deze gevallen zou de overdracht van elke factor van het ene gebied naar het andere niet automatisch verlopen.

32 Artikel 83, lid 2, onder a), AVG.

33 Noch als parameter voor de berekening, noch om deze van het bedrag af te trekken.

34 Artikel 1 AVG en overwegingen 6, 9 en 170. In overweging 9 wordt eraan herinnerd dat dit de doelstellingen van richtlijn 95/46 waren en wordt aangegeven dat zij overeind blijven. Doorgaans wordt erop gewezen dat in richtlijn 95/46 de doelstelling van het vrije verkeer van persoonsgegevens prevaleerde boven die van de bescherming, terwijl in de AVG het omgekeerde het geval is. Dit zou kunnen worden verklaard door de formele erkenning van het recht op bescherming van persoonsgegevens in artikel 8 van het Handvest, dat in de nieuwe verordening moest worden overgenomen. Artikel 1 AVG is echter duidelijk over de bedoeling om de bescherming van persoonsgegevens in overeenstemming te brengen met het vrije verkeer van die gegevens. Dit betekent natuurlijk dat ervoor moet worden gezorgd dat het beschermingsniveau in alle lidstaten gelijkwaardig is en dat belemmeringen als gevolg van de versnippering van de regelgeving moeten worden vermeden, maar ook dat de terughoudendheid van particulieren om persoonsgegevens te delen of te verstrekken met het oog op de verwerking ervan, moet worden weggenomen door bij hen het vertrouwen te doen ontstaan dat hun persoonsgegevens worden beschermd.

35 In punt 53 van haar opmerkingen stelt de Ierse regering: „very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage” (cursivering van mij). In Duitsland wordt in de rechtsleer gewaarschuwd voor het risico van misbruik van vorderingen en wordt erop gewezen dat de totstandkoming van een „datenschutzrechtliche Klageindustrie” moet worden voorkomen: Wybitul, T., Neu, L., en Strauch, M., „Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen”, Zeitschrift für Datenschutz, 2018, blz. 202 e.v., met name blz. 206, alsook Paal, B. P., en Kritzer, I., „Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell”, Neue Juristische Wochenschrift, 2022, blz. 2433 e.v.

36 Er kan niet worden uitgesloten dat een succesvolle civielrechtelijke aansprakelijkheidsvordering zonder dat er sprake is van schade een „aanzuigend effect” of multiplicatoreffect heeft. Dit zou de kans vergroten dat marktdeelnemers niet alleen met mogelijke bestuursrechtelijke of strafrechtelijke sancties te maken krijgen, maar ook met collectieve vorderingen, of met talloze individuele vorderingen (waarbij er, al naargelang het geval, in mindere of meerdere mate sprake is van misbruik).

37 De partijen suggereren dit standpunt slechts, maar gaan er niet dieper op in. Zo wordt niet gespecificeerd of het om een onweerlegbaar dan wel een weerlegbaar vermoeden zou gaan. De eerste mogelijkheid strookt het best met de vraag van de verwijzende rechter, zodat ik mij daartoe zal beperken.

38 Zie artikel 7 van verordening (EG) nr. 261/2004 van het Europees Parlement en de Raad van 11 februari 2004 tot vaststelling van gemeenschappelijke regels inzake compensatie en bijstand aan luchtreizigers bij instapweigering en annulering of langdurige vertraging van vluchten en tot intrekking van verordening (EEG) nr. 295/91 (PB 2004, L 46, blz. 1) en artikel 19 van verordening (EU) nr. 1177/2010 van het Europees Parlement en de Raad van 24 november 2010 betreffende de rechten van passagiers die over zee of binnenwateren reizen en houdende wijziging van verordening (EG) nr. 2006/2004 (PB 2010, L 334, blz. 1).

39 Zonder hier nader op in te gaan, zie artikel 82, leden 3 en 4, AVG.

40 „[W]anneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen”.

41 „Een inbreuk in verband met persoonsgegevens kan […] voor natuurlijke personen [resulteren] in […] verlies van controle over hun persoonsgegevens”.

42 De in die overweging genoemde gevolgen treden niet automatisch in. Overeenkomstig artikel 34 AVG moet de verwerkingsverantwoordelijke in elk afzonderlijk geval beoordelen of het nodig is om de betrokkene van de inbreuk in kennis te stellen.

43 Emotionele gevolgen in verband met het verlies van controle over gegevens, zoals angst voor of bezorgdheid over wat er met de gegevens zou kunnen gebeuren, resulteren uit het verlies, maar zijn er niet identiek aan.

44 Sommige lidstaten hebben een vermoeden van schade ingevoerd op gebieden die nauw verband houden met gegevensbescherming. Zo is in Spanje in artikel 9, lid 3, van organieke wet 1/1982 van 5 mei 1982 betreffende de civielrechtelijke bescherming van het recht op eer, de eerbiediging van het privéleven en het familie- en gezinsleven en het imago van het individu (BOE nr. 115 van 14 mei 1982, blz. 12546‑12548) bepaald dat „het bestaan van schade wordt vermoed wanneer de onrechtmatige inmenging [in de door die wet gewaarborgde rechten] wordt erkend”.

45 Opgemerkt zij dat in dit geschil de onrechtmatigheid van de gedraging juist verband houdt met het ontbreken van toestemming van de betrokkene. De argumenten betreffende de plaats die het recht op schadevergoeding inneemt onder de waarborgen voor de naleving van de regels van de AVG, zijn hier evenzeer relevant.

46 Het betreft echter slechts één grond voor rechtmatige verwerking en alle in de AVG genoemde gronden hebben dezelfde rechtsgeldigheid. Zie advies 06/2014 van de Groep gegevensbescherming artikel 29 over het begrip „gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van richtlijn 95/46, vastgesteld op 9 april 2014, blz. 10. De verwerkingsverantwoordelijke kan de grond voor de verwerking niet wijzigen zodra deze verwerking is aangevat: Europees Comité voor gegevensbescherming, richtsnoeren 5/2020 inzake toestemming overeenkomstig verordening 2016/679, punten 121‑123.

47 Artikel 17, lid 1, AVG. Dit betekent echter niet dat er geen recht is op vergoeding van schade die eventueel is veroorzaakt door de verwerking die tot het moment van wissing heeft plaatsgevonden.

48 Arrest van 13 mei 2014, Google Spain en Google (C‑131/12, EU:C:2014:317, punt 4 van het dictum).

49 Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), [COM(2012) 011 final], blz. 2 en overweging 6 van de voorgestelde tekst. Zie tevens punt 2 van de mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s „Privacywaarborging in het online tijdperk. Een Europees gegevensbeschermingskader voor de 21e eeuw” [COM(2012) 9 final].

50 Mij lijkt dit stilzwijgen geen toeval. Afgezien van de conceptuele beschouwingen over de eigendom van persoonsgegevens, rijst de vraag of moet worden aangenomen dat de controle over hun gegevens erop neerkomt dat natuurlijke personen beschikken over een recht op eigendom wat de hen betreffende informatie betreft (hetgeen waarschijnlijk niet verenigbaar zou zijn met de belangen van derden en de samenleving als geheel). De aanbeveling om een recht op eigendom van persoonsgegevens te erkennen, staat in het advies van het Europees Economisch en Sociaal Comité over het „Voorstel voor een verordening van het Europees Parlement en de Raad betreffende Europese datagovernance (datagovernanceverordening)”, COM(2020) 767 final (PB 2021, C 286, blz. 38), punt 4.18: „Het EESC beveelt […] aan om een Europees recht op eigendom van digitale gegevens te erkennen, zodat burgers (werknemers, consumenten, ondernemers) in staat worden gesteld het gebruik van hun gegevens te controleren en te beheren of dat gebruik te verbieden” (cursivering van mij). Voor de tegenovergestelde zienswijze (gegevens zijn geen goed) zie voetnoot 53, in fine.

51 In de Spaanse overweging staat er: „Las personas físicas deben tener el control de sus propios datos personales” (cursivering van mij). In het Engels luidt deze overweging: „Natural persons should have control of their own personal data” (en niet „the control”). In andere taalversies, zoals het Portugees, staat er: „As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais.” Overeenkomstig artikel 4 AVG heeft de controle over persoonsgegevens betrekking op de in die gegevens vervatte informatie. De controle over het gebruik van de gegevens heeft veeleer betrekking op de verwerking ervan.

52 In de praktijk blijft de toestemming beperkt tot de aanvaarding of weigering van het voorstel van de verwerkingsverantwoordelijke.

53 Volgens mij kan niet worden uitgesloten dat het rechtsstelsel zich zodanig ontwikkelt dat eigendomsrechten worden erkend voor de betrokkene. Mij lijkt het twijfelachtig dat dit tot een maximalisering van de individuele controle zal leiden: een dominante eigendomspositie van de betrokkene over persoonsgegevens zou weleens niet goed kunnen samengaan met de ontwikkeling van de economie en met innovatie; de verenigbaarheid ervan met de dimensie van grondrecht zou betwistbaar zijn. Zie overweging 24 van richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten (PB 2019, L 136, blz. 1): „Hoewel deze richtlijn volledig onderkent dat de bescherming van persoonsgegevens een grondrecht is en dat persoonsgegevens dan ook niet kunnen worden beschouwd als een goed […].” Cursivering van mij.

54 Formuleringen zoals die welke voor artikel 19 zijn voorgesteld in de nota van het presidium, Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 REV 1, van 11 mei 2000, hebben het niet gehaald: „Toute personne a le droit de décider elle-même de la divulgation et de l’utilisation de ses données personnelles.” Hetzelfde geldt voor de formulering van dezelfde bepaling in de nota van het presidium, Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00, van 4 juni 2000: „Toute personne a le droit de décider elle-même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant.” Op nationaal niveau heeft het idee van informationele zelfbeschikking in sommige lidstaten ingang gevonden, zoals in Duitsland na de uitspraak van het Bundesverfassungsgericht (federaal grondwettelijk hof, Duitsland) van 15 december 1983, 1 BvR 209/83. Zie in Spanje bijvoorbeeld arrest 292/2000 van het Tribunal Constitucional (grondwettelijk hof, Spanje) van 30 november 2000 (BOE van 4 januari 2001). Of dit het geval is in de Unie weet ik niet zeker, maar de conclusie van advocaat-generaal Szpunar in de zaak Orange Romania (C‑61/19, EU:C:2020:158, punt 37) tendeert – onder verwijzing naar de Duitse rechtsleer – wel in die richting: „In het Unierecht inzake gegevensbescherming wordt in beginsel uitgegaan van een onafhankelijk genomen besluit van een individu dat in staat is keuzen te maken met betrekking tot het gebruik en de verwerking van zijn of haar gegevens.”

55 Ontwerpverslag over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) [COM(2012) 11 – C7‑0025/2012-2012/0011(COD)], PE501.927v04‑00, 16 januari 2013, amendement 29.

56 Hierbij suggereer ik niet dat de inbreuk op de regel onbestraft moet blijven: volgens mij is een schadevergoeding niet het juiste instrument indien er geen schade is opgetreden.

57 Hoewel het op zich geen doelstelling is van de AVG om een individu controle te verlenen over zijn persoonsgegevens, sluit ik niet uit dat het verlies van controle als leidraad kan dienen voor de vaststelling van immateriële schade, in die zin dat rekening wordt gehouden met hoe er wordt gereageerd ten aanzien van dat verlies.

58 Zie punt 51 van deze conclusie. Het vrije verkeer van gegevens is de enige doelstelling met betrekking tot de niet-persoonsgebonden gegevens: artikel 1 van verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB 2018, L 303, blz. 59).

59 Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s „Privacywaarborging in het online tijdperk – Een Europees gegevensbeschermingskader voor de 21e eeuw” [COM(2012) 9 final], punt 1. Zie tevens op blz. 5: „bezorgdheid omtrent hun privacy [houdt] mensen heel vaak tegen om goederen en diensten online te kopen”.

60 In overweging 2 AVG staat te lezen: „[…] Deze verordening beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen.” Uit overweging 4 volgt dat „[h]et recht op bescherming van persoonsgegevens […] geen absolute gelding [heeft], maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en […] conform het evenredigheidsbeginsel tegen andere grondrechten [moet] worden afgewogen”. Zie in dezelfde geest arrest van 24 september 2019, Google (Territoriale reikwijdte van de verwijdering van links) (C‑507/17, EU:C:2019:772, punt 60, met verdere verwijzingen).

61 Deze doelstelling is ook aanwezig in het regelgevingskader ter versterking van de interne markt voor gegevens. In die zin wordt in punt 1 van de mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s „Een Europese datastrategie”, COM(2020) 66 final, verklaard: „In een samenleving waarin iedereen steeds meer data genereert is het belangrijk hoe die data worden verzameld en gebruikt. Het belang van de burger moet daarbij altijd op de eerste plaats komen, in overeenstemming met de Europese waarden, grondrechten en regels. De burger zal datagestuurde innovaties alleen vertrouwen als hij ervan op aan kan dat persoonsgegevens in de EU alleen maar worden gedeeld volgens de strenge privacyregels van de EU.”

62 De verwijzende rechter lijkt te vrezen (punt 5 van de motivering van de vragen) dat de schadevergoeding uiteindelijk een punitief karakter krijgt doordat de AVG reeds in hoge geldboeten voorziet, waardoor met het oog op doeltreffendheid niet ook nog een hoge vergoeding voor immateriële schade vereist zou zijn.

63 Zaak C‑30/19, Braathens Regional Aviation (EU:C:2021:269, punt 49): „[D]e betaling van een geldbedrag [volstaat] in dit verband niet om te voldoen aan de aanspraken van een persoon die door middel van een vergoeding voor de geleden immateriële schade bovenal de erkenning wenst te verkrijgen dat hij is gediscrimineerd, zodat deze betaling niet kan worden geacht een voor dat doel toereikende herstellende functie te hebben.” Die zaak betrof richtlijn 2000/43/EG van de Raad van 29 juni 2000 houdende toepassing van het beginsel van gelijke behandeling van personen ongeacht ras of etnische afstamming (PB 2000, L 180, blz. 22).

64 Zie Magnus, U., „Comparative Report on the Law of Damages”, in Unification of Tort Law: Damages, Kluwer Law International, 2001, blz. 187, punten 14 en 15.

65 Doorgaans in de common law-stelsels, met name in de Verenigde Staten, waar de vordering tot een symbolische schadevergoeding het laatste rechtsmiddel voor de verdediging van grondwettelijke rechten is. Voor een samenvatting van de besprekingen over het nut van dergelijke schadevorderingen in dat land, zie Grealish, M-B., „A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion”, in Fordham L. Rev., deel 87, blz. 733, en onlangs het arrest van het Amerikaanse Hooggerechtshof van 8 maart 2021 in Uzuegbunam tegen Preczewski. Ook in het Verenigd Koninkrijk worden nominal damages niet zonder meer aanvaard: aangenomen wordt dat het belang van toekenning van een symbolische schadevergoeding in de praktijk afhangt van de vraag of de begunstigde met het oog op de toewijzing van de proceskosten wordt beschouwd als de in het gelijk gestelde partij, hetgeen sinds het arrest Anglo-Cyprian Trade Agencies Ltd/Paphos Wine Industries Ltd [1951] 1 All ER 873 niet automatisch het geval is.

66 Het Hof heeft in het kader van (het toenmalige) artikel 215 EEG-Verdrag de eisende partij gevraagd bewijs te leveren voor de schade, zelfs wanneer, gelet op de moeilijkheid om deze schade te bewijzen, een symbolische schadevergoeding wordt gevorderd: arrest van 21 mei 1976, Roquette Frères/Commissie (26/74, EU:C:1976:69, punten 23 en 24).

67 In de context van de intellectuele eigendom dient de schadevergoeding, als reactie op de inbreuk op de regel, om het eigenlijke wezenlijke doel ter zake te bereiken, namelijk de bescherming van de financiële integriteit van het recht. Artikel 13, lid 1, onder a), van richtlijn 2004/48 verwijst naar „de onrechtmatige winst die de inbreukmaker heeft genoten” als een van de factoren waarmee de rechterlijke instanties rekening moeten houden bij de vaststelling van de schadevergoeding.

68 Een soortgelijke bepaling is opgenomen in artikel 94, lid 2, van verordening (EG) nr. 2100/94 van de Raad van 27 juli 1994 inzake het communautaire kwekersrecht (PB 1994, L 227, blz. 1): „In geval van lichte onachtzaamheid mag de vordering tot schadevergoeding in evenredige mate verminderd worden, doch niet tot een lager bedrag dan overeenkomt met het voordeel dat voor de overtreder uit de inbreuk is ontstaan.”

69 Het feit dat emoties of gevoelens niet onder woorden kunnen worden gebracht, vooral wanneer zij betrekking hebben op risico’s omtrent wat er in de toekomst met de gegevens zou kunnen gebeuren, heeft ertoe geleid dat zij niet als schade worden beschouwd omdat zij niet concreet genoeg zijn of een hypothetisch karakter hebben.

70 Dus om chefs de préjudice of heads of damages.

71 Volgens deze overweging moeten de betrokkenen een „volledige en daadwerkelijke” schadevergoeding ontvangen. Mijns inziens zijn deze bewoordingen niet relevant voor de derde prejudiciële vraag, aangezien zij geen betrekking hebben op de categorieën van schade die in aanmerking komt voor vergoeding, maar op de berekening van de schadevergoeding (een stap die logischerwijs volgt op, en niet mag worden verward met, de vaststelling van wat in aanmerking komt voor vergoeding). Gelet op de ontstaansgeschiedenis van de AVG zorgt de nadruk op „volledige en daadwerkelijke” schadevergoeding ervoor dat de betrokkenheid van verschillende verwerkingsverantwoordelijken of verwerkers niet resulteert in slechts een gedeeltelijke vergoeding voor de betrokkene. Daarom is in artikel 82, lid 4, AVG het volgende bepaald: „[E]lke verwerkingsverantwoordelijke of verwerker [wordt] voor de gehele schade aansprakelijk gehouden teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed.”

72 In artikel 23 van richtlijn 95/46 was niet gespecificeerd welke schade voor vergoeding in aanmerking kwam, hetgeen aanleiding gaf tot een debat over de vraag welke schade onder de richtlijn viel. De aan de AVG voorafgaande onderhandelingen waren erop gericht de twijfels over de opneming van immateriële schade weg te nemen. In overweging 118 van het in voetnoot 49 genoemde voorstel van de Commissie werd verwezen naar de vergoeding van de schade. In de daaropvolgende fasen van de medewetgevingsprocedure werd gesproken over „de al dan niet geldelijke schade”, wat plaats zou maken voor de formulering „de al dan niet financiële schade” en uiteindelijk zou leiden tot de huidige uitdrukking „materiële of immateriële schade”.

73 Het Hof heeft zich niet over deze kwestie gebogen met betrekking tot artikel 23 van richtlijn 95/46 en evenmin, tot dusver, met betrekking tot artikel 82 AVG. Tenzij ik mij vergis, geldt hetzelfde met betrekking tot artikel 56 van richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89), alsook met betrekking tot artikel 19 van het ingetrokken kaderbesluit.

74 Het heeft ook niet aangegeven dat een bepaalde methode van uitlegging – autonoom of onder verwijzing naar de nationale rechtsstelsels – de voorkeur verdient: dit hangt af van welk onderwerp er aan de orde is. Vergelijk de arresten van 10 mei 2001, Veedfald (C‑203/99, EU:C:2001:258, punt 27), over producten met gebreken; 6 mei 2010, Walz (C‑63/09, EU:C:2010:251, punt 21), over de aansprakelijkheid van luchtvervoerders, en 10 juni 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, punten 37 e.v.), over de wettelijke aansprakelijkheid voor ongevallen ten gevolge van de deelneming aan het verkeer van motorrijtuigen. Uit de documenten met betrekking tot de onderhandelingen over de AVG blijkt dat de lidstaten twijfelden of de begrippen schade en schadevergoeding in (het toenmalige) artikel 77 al dan niet autonoom moesten zijn, en blijkt verder dat er verschillende standpunten bestonden. De Commissie was er voorstander van de kwestie aan het Hof over te laten. Zie de Raad, nota van het voorzitterschap nr. 17831/13 van 16 december 2013, voetnoot 539.

75 Bijvoorbeeld consumenten van producten of slachtoffers van verkeersongevallen.

76 Zie, op het gebied van pakketreizen, arrest van 12 maart 2002, Leitner (C‑168/00, EU:C:2002:163), alsmede, op het gebied van de wettelijke aansprakelijkheid waartoe deelneming aan het verkeer van motorrijtuigen aanleiding kan geven, de arresten van 24 oktober 2013, Haasová (C‑22/12, EU:C:2013:692, punten 47‑50); 24 oktober 2013, Drozdovs (C‑277/12, EU:C:2013:685, punt 40), en 23 januari 2014, Petillo (C‑371/12, EU:C:2014:26, punt 35).

77 Arrest van 23 januari 2014, Petillo (C‑371/12, EU:C:2014:26, dictum), waaruit blijkt dat het Unierecht zich niet verzet tegen „een nationale wettelijke regeling […] die een bijzonder stelsel inhoudt voor de vergoeding van immateriële schade die voortvloeit uit lichte verwondingen ten gevolge van verkeersongevallen op de weg en waarin de vergoeding van deze schade is beperkt ten opzichte van de vergoeding die kan worden toegewezen voor identieke schade die voortvloeit uit andere oorzaken dan [verkeers]ongevallen”.

78 Zie bijvoorbeeld de arresten van 12 maart 2002, Leitner (C‑168/00, EU:C:2002:163), over gederfd vakantiegenot, en 6 mei 2010, Walz (C‑63/09, EU:C:2010:251), over het verlies van bagage in het kader van pakketreizen.

79 In het arrest van 17 maart 2016, Liffers (C‑99/15, EU:C:2016:173, punt 17), over de uitlegging van richtlijn 2004/48, werd onderstreept dat immateriële schade, „mits die schade is bewezen”, deel uitmaakt van de werkelijk geleden schade. Logischerwijs veronderstelt het bewijs dat de schade reëel is; dit benadert het concept betreffende de ernst van de inbreuk, maar valt er niet mee samen.

80 Zie punt 51 van deze conclusie.

81 Zie punten 45 e.v. van deze conclusie.

82 Zie recentelijk op het gebied van gegevensbescherming, in Italië Tribunale di Palermo, sez. I civile (rechter in eerste aanleg, civiele kamer nr. 1, Palermo, Italië), vonnis nr. 5261 van 5 oktober 2017, alsook Cass Civ. Sez 6 (hoogste rechter in civiele en strafzaken, kamer nr. 6, Italië), beschikking nr. 17383/2020. In Duitsland onder meer Amtsgericht Diez (rechter in eerste aanleg Diez, Duitsland), 7 november 2018 – 8 C 130/18; Landgericht Karlsruhe (rechter in eerste aanleg Karlsruhe, Duitsland), 2 augustus 2019 – 8 O 26/19, en Amtsgericht Frankfurt am Main (rechter in eerste aanleg Frankfurt am Main, Duitsland), 10 juli 2020 – 385 C 155/19 (70). In Oostenrijk, Oberster Gerichtshof, 6 Ob 56/21k.

83 Zie arrest van 23 oktober 2012, Nelson e.a. (C‑581/10 en C‑629/10, EU:C:2012:657, punt 51), over het onderscheid tussen „schade” in de zin van artikel 19 van het op 28 mei 1999 te Montreal gesloten Verdrag tot het brengen van eenheid in enige bepalingen inzake het internationale luchtvervoer en „ongemak” in de zin van verordening nr. 261/2004, dat kan worden vergoed op grond van artikel 7 van die verordening, gelet op het arrest van 19 november 2009, Sturgeon e.a. (C‑402/07 en C‑432/07, EU:C:2009:716). In deze sector heeft de wetgever, net als in het geval van het passagiersvervoer over zee en over binnenwateren, dat onder verordening nr. 1177/2010 valt, een abstracte categorie kunnen vaststellen omdat de aan die moeilijkheden ten grondslag liggende factor en de essentie van de moeilijkheden voor alle benadeelden identiek zijn. Volgens mij is een dergelijke gevolgtrekking niet mogelijk op het gebied van gegevensbescherming.

84 Het typische mechanisme voor de uitoefening van het recht uit hoofde van artikel 82 AVG is de gang naar de gewone rechter. Het doeltreffendheidsbeginsel kan uiteraard grenzen stellen aan de toepassing van nationale regels op aspecten zoals proceskosten of bewijsmateriaal. De moeilijkheid om te erkennen dat ook ongemak op zich in aanmerking komt voor vergoeding, is echter niet alleen te wijten aan de wanverhouding tussen de geldelijke waarde ervan en de kosten van een rechtszaak (nog afgezien van het feit dat de kosten van de rechtspleging niet alleen door de partijen worden gedragen). Gezien het stilzwijgen van de AVG lijkt het mij niet gerechtvaardigd om van de lidstaten te verlangen dat zij een ad-hocprocedure uitwerken.

85 Ter herinnering: overeenkomstig artikel 82, lid 3, AVG wordt de verwerkingsverantwoordelijke of de verwerker alleen van aansprakelijkheid vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

86 Met deze overwegingen wil ik niet vooruitlopen op de vraag of de situatie van UI in casu onder de ene of de andere categorie valt, daar dit ter beoordeling van de verwijzende rechter staat.

87 Hetzelfde geldt voor het bedrag van de vergoeding.