CONCLUSIE VAN ADVOCAAT-GENERAAL
M. CAMPOS SÁNCHEZ-BORDONA
van 6 oktober 2022 (1)
Zaak C‑300/21
UI
tegen
Österreichische Post AG
[verzoek van het Oberste Gerichtshof (hoogste federale rechter in civiele en strafzaken, Oostenrijk) om een prejudiciële beslissing]
„Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Immateriële schade als gevolg van onrechtmatige verwerking van gegevens – Voorwaarden voor het recht op schadevergoeding – Schade boven een bepaalde drempel van zwaarwegendheid”
1. Krachtens verordening (EU) 2016/679(2) heeft eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de bepalingen ervan, het recht om van de verwerkingsverantwoordelijke of de verwerker een schadevergoeding te ontvangen.
2. De mogelijkheid om dit recht voor de rechter geldend te maken, bestond reeds in de vorige regeling (artikel 23 van richtlijn 95/46/EG)(3), maar er werd weinig gebruik van gemaakt(4). Tenzij ik mij vergis, heeft het Hof zich nooit specifiek over de uitlegging van dat artikel gebogen.
3. Onder de AVG hebben vorderingen tot schadevergoeding aan belang gewonnen.(5) Dat dergelijke vorderingen vaker worden ingesteld, is merkbaar bij de rechterlijke instanties van de lidstaten en blijkt uit de dienovereenkomstige verzoeken om een prejudiciële beslissing.(6) In de onderhavige zaak verzoekt het Oberste Gerichtshof (hoogste federale rechter in civiele en strafzaken, Oostenrijk) het Hof verduidelijkingen te verschaffen over enkele gemeenschappelijke kenmerken van de bij de AVG ingevoerde wettelijkeaansprakelijkheidsregeling.
I. Toepasselijke bepalingen – AVG
4. Relevant voor dit geschil zijn met name de overwegingen 75, 85 en 146 van de AVG.
5. Artikel 6 („Rechtmatigheid van de verwerking”) luidt als volgt:
„1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
[…]”
6. Artikel 79 („Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker”) bepaalt in lid 1:
„Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.”
7. Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) bepaalt in lid 1:
„Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.”
II. Feiten, hoofdgeding en prejudiciële vragen
8. Sinds 2017 verzamelde Österreichische Post AG, een onderneming die adreslijsten uitgeeft, informatie over de partijaffiniteiten van de Oostenrijkse bevolking. Met behulp van een algoritme heeft zij volgens bepaalde sociaal-demografische kenmerken „adressen van doelgroepen” gedefinieerd.
9. UI is een natuurlijke persoon ten aanzien van wie Österreichische Post een statistische extrapolatie heeft verricht om te bepalen tot welke mogelijke doelgroepen voor verkiezingsreclame van verschillende politieke partijen hij behoort. Uit deze extrapolatie bleek dat UI een hoge affiniteit had met één van de politieke partijen. Deze gegevens zijn niet aan derden doorgegeven.
10. UI, die geen toestemming had gegeven voor de verwerking van zijn persoonsgegevens, ergerde zich over het opslaan van gegevens over zijn sympathieën voor politieke partijen, en was erg boos en beledigd over de affiniteit die Österreichische Post hem concreet had toegeschreven.
11. UI heeft een vergoeding van 1 000 EUR voor immateriële schade (innerlijk onbehagen) gevorderd. Hij stelt dat de hem toegeschreven politieke affiniteit beledigend en beschamend is en bovendien schadelijk is voor zijn reputatie. Voorts heeft de handelwijze van Österreichische Post hem erg boos gemaakt en ervoor gezorgd dat hij zijn vertrouwen is verloren en dat hij zich voor schut gezet voelde.
12. De rechter in eerste aanleg heeft de vordering tot schadevergoeding van UI afgewezen.(7)
13. De rechter in tweede aanleg heeft het in eerste aanleg gewezen vonnis bekrachtigd. Die rechter heeft verklaard dat niet elke inbreuk op de AVG automatisch recht geeft op een vergoeding voor immateriële schade en dat:
– aangezien het Oostenrijkse recht als aanvulling op de AVG van toepassing is, alleen schade kan worden vergoed die verder gaat dan de door de schending van de rechten van verzoeker opgeroepen ergernis of emotionele schade („Gefühlsschaden”);
– moet worden vastgehouden aan het beginsel dat ten grondslag ligt aan het Oostenrijkse recht en op grond waarvan een louter gevoel van onbehagen of ongemak door eenieder zelf moet worden gedragen, aangezien daaruit geen recht op schadevergoeding kan voortvloeien. Met andere woorden, het recht op schadevergoeding vereist dat de gestelde schade enig „gewicht” heeft.
14. Tegen de uitspraak van de rechter in tweede aanleg is beroep in Revision ingesteld bij het Oberste Gerichtshof, dat het Hof verzoekt om een prejudiciële beslissing over de volgende vragen:
„1) Vereist de toekenning van schadevergoeding overeenkomstig artikel 82 [AVG] naast een inbreuk op de bepalingen van de AVG ook dat de eisende partij schade heeft geleden, of volstaat reeds de inbreuk op bepalingen van de AVG als zodanig voor de toekenning van schadevergoeding?
2) Bestaan er voor de berekening van de schadevergoeding naast de beginselen van doeltreffendheid en gelijkwaardigheid andere Unierechtelijke bepalingen?
3) Is de opvatting dat de toekenning van immateriële schade veronderstelt dat er sprake is van een effect of gevolg van de schending dat op zijn minst van enig belang is en verder gaat dan de door de inbreuk ontstane ergernis, verenigbaar met het Unierecht?”
III. Procedure
15. Het verzoek om een prejudiciële beslissing is op 12 mei 2021 ter griffie van het Hof ingekomen.
16. UI, Österreichische Post, de Oostenrijkse, de Tsjechische en de Ierse regering alsmede de Europese Commissie hebben schriftelijke opmerkingen ingediend. Het houden van een zitting is niet nodig geacht.
IV. Beoordeling
A. Opmerkingen vooraf
1. Ontvankelijkheid
17. UI betoogt dat de eerste prejudiciële vraag niet relevant is voor het geschil, aangezien zijn vordering niet „louter” was gebaseerd op de inbreuk op een regel van de AVG, maar ook op de gevolgen en effecten ervan.
18. De exceptie van niet-ontvankelijkheid moet worden afgewezen. Zelfs indien zou worden aangenomen dat de gegevensverwerking een schending van de AVG zonder schade voor UI inhield, zou UI toch recht kunnen hebben op schadevergoeding krachtens artikel 82 AVG indien, zoals de verwijzende rechter vraagt, zou worden bevestigd dat de enkele inbreuk op een regel betreffende de verwerking een dergelijk recht doet ontstaan.
19. Volgens UI zou het Hof ook de tweede prejudiciële vraag niet-ontvankelijk kunnen verklaren, omdat deze zeer open is geformuleerd en te beperkt is met betrekking tot de vereisten van het Unierecht, daar er geen specifiek vereiste wordt genoemd.
20. Deze exceptie, die weliswaar beter onderbouwd is dan de vorige, heeft evenmin kans van slagen. Een rechterlijke instantie heeft er een legitiem belang bij om te vernemen of zij, naast de beginselen van gelijkwaardigheid en doeltreffendheid, ook andere Unierechtelijke vereisten in acht moet nemen om de schade te beoordelen.
2. Afbakening van het voorwerp van deze conclusie
21. Artikel 82 AVG bestaat uit zes leden. De verwijzende rechter noemt geen lid in het bijzonder, maar verwijst impliciet naar lid 1. Evenmin geeft de verwijzende rechter de regel aan waarvan de schending zou leiden tot schadevergoeding.
22. Bij mijn conclusie ga ik uit van de volgende aannamen:
– De persoonsgegevens van UI zijn verwerkt zonder dat daarvoor zijn toestemming is verkregen zoals vereist in artikel 6, lid 1, onder a), AVG.
– Het recht op schadevergoeding komt toe aan eenieder die schade heeft geleden. In casu is UI, als geïdentificeerde natuurlijke persoon die door de verwerking gevolgen ondervindt, de „betrokkene”(8).
– De AVG voorziet in een vergoeding voor materiële en immateriële schade. De vordering van UI heeft slechts betrekking op immateriële schade en strekt tot verkrijging van een geldelijke vergoeding.
B. Eerste prejudiciële vraag
23. Kort samengevat wenst de verwijzende rechter met zijn eerste vraag te vernemen of de enkele schending van de bepalingen van de AVG een recht op schadevergoeding doet ontstaan, ongeacht of er schade is veroorzaakt.
24. Uit de verklaringen van de verwijzende rechter en de aan het Hof voorgelegde opmerkingen valt op te maken dat de vraag ook op een andere, iets ingewikkeldere manier, kan worden gelezen: vastgesteld zou moeten worden of schending van de bepalingen van de AVG noodzakelijkerwijs leidt tot schade die recht geeft op schadevergoeding, zonder dat de verwerende partij de mogelijkheid heeft om het tegendeel te bewijzen.
25. Tussen deze twee vraagstellingen bestaat er een zeker (theoretisch) verschil: bij de eerste is de schade geen vooronderstelling voor schadevergoeding, terwijl dat bij de tweede wel het geval is. In de praktijk verdwijnt in beide gevallen het vereiste dat de eisende partij de schade bewijst; evenmin hoeft de eisende partij het causale verband tussen de inbreuk en die schade aan te tonen.(9)
26. In elk geval dient mijns inziens geen van beide lezingen van de eerste vraag bevestigend te worden beantwoord. Hieronder zal ik beide lezingen afzonderlijk bespreken.
1. Schadevergoeding zonder schade?
27. De stelling dat er een recht op schadevergoeding bestaat, zelfs wanneer de inbreuk op de AVG de betrokkene geen schade berokkent, doet duidelijke problemen rijzen, te beginnen met de kwestie van de bewoordingen van artikel 82, lid 1, AVG.
28. Volgens deze bepaling wordt de schadevergoeding(10) juist toegekend omdat er daaraan voorafgaand schade is opgetreden. Daarom lijdt het geen twijfel dat de natuurlijke persoon schade of nadeel moet hebben geleden als gevolg van een inbreuk op de AVG.
29. De uitlegging waarbij het begrip „inbreuk” automatisch wordt verbonden aan het begrip „vergoeding” zonder dat er sprake is van schade, laat zich derhalve niet rijmen met de bewoordingen van artikel 82 AVG. Een dergelijke uitlegging strookt evenmin met de primaire doelstelling van de wettelijke aansprakelijkheid waarin de AVG voorziet, namelijk de betrokkene genoegdoening geven, en wel precies door middel van een „volledige en daadwerkelijke” vergoeding van de schade die hij heeft geleden.(11)
30. Indien er geen sprake van schade zou zijn, dan zou de schadevergoeding niet langer de functie van schadeloosstelling vervullen met betrekking tot de nadelige gevolgen die de inbreuk heeft veroorzaakt, maar een andere functie, die eerder overeenkomt met die van een sanctie.
31. Vast staat evenwel dat het rechtsstelsel van een lidstaat kan voorzien in de betaling van een punitieve schadevergoeding.(12) Hiermee wordt een veroordeling tot betaling van een aanzienlijk bedrag bedoeld, waarbij dat bedrag verder gaat dan louter de vergoeding van de schade.
32. Voor punitieve schadevergoedingen is het doorgaans noodzakelijk dat de schade vooraf is opgetreden. Met dit aspect als uitgangspunt is het niettemin zo dat de vermogensrechtelijke gevolgen van punitieve schadevergoedingen losstaan van het tot die schade in verhouding staande bedrag van de vergoeding.
33. Het is evenwel niet ondenkbaar dat bij de toekenning van een punitieve schadevergoeding de schade buiten beschouwing wordt gelaten of als irrelevant wordt beschouwd voor de genoegdoening van de eisende partij.
34. Het antwoord op de eerste prejudiciële vraag noopt mij ertoe te analyseren of dit soort schadevergoeding onder de AVG valt, temeer daar ernaar wordt verwezen in de verwijzingsbeslissing en in de opmerkingen van de partijen en interveniënten in de prejudiciële procedure.
2. Punitieve schadevergoeding?
a) Letterlijke uitlegging
35. Aan de klassieke functie van de wettelijke aansprakelijkheid kan nog een andere worden toegevoegd, die „punitief” of „exemplarisch” van aard is. Zoals ik reeds heb beschreven, komt het bedrag van de schadevergoeding in dat geval niet overeen met de geleden schade, maar wordt het vermeerderd of zelfs vermenigvuldigd.
36. In beginsel verzet het Unierecht zich niet tegen dergelijke schadevergoedingen in het geval van een inbreuk op de Unierechtelijke regels, mits deze kunnen worden toegekend bij soortgelijke vorderingen op grond van het nationale recht.(13)
37. Punitieve schadevergoedingen hebben afschrikking tot doel. Van hetzelfde doel kan sprake zijn wanneer de lidstaten, in geval van een inbreuk op een richtlijn, verplicht zijn maatregelen te nemen die „een reële afschrikkende werking” hebben.(14) In sommige richtlijnen is uitdrukkelijk bepaald dat een als sanctie bedoelde schadevergoeding een afschrikkende werking moet hebben.(15)
38. In andere teksten verklaart de wetgever daarentegen dat een richtlijn niet tot doel heeft „een verplichting te introduceren om te voorzien in een niet-compensatoire schadevergoeding”(16) of dat de lidstaten dergelijke schadevergoedingen bij omzetting van de richtlijn moeten vermijden(17). In het Unierecht is de rechtstreekse toekenning van punitieve schadevergoeding uitzonderlijk.(18)
39. In de AVG is nergens verklaard dat schadevergoedingen wegens materiële of immateriële schade een bestraffend karakter moeten hebben, dat de berekening van het schadevergoedingsbedrag dit karakter moet weergeven of dat die schadevergoeding afschrikkend moet zijn (een eigenschap die in de AVG daarentegen wel wordt toegekend aan straffen en administratieve geldboeten).(19) Naar de letter genomen kan er dus geen punitieve schadevergoeding worden toegekend op grond van de AVG.
b) Uitlegging in het licht van de ontstaansgeschiedenis van de bepaling
40. Artikel 82, lid 1, AVG gaat terug op artikel 23, lid 1, van richtlijn 95/46. Die richtlijn maakte deel uit van een stelsel dat voor zijn doeltreffendheid berustte op publieke en privaatrechtelijke handhaving(20), maar waarin (privaatrechtelijke) compensaties en (publieke) sancties niet met elkaar samenvielen(21). Het toezicht op de naleving van de regels was in de eerste plaats de verantwoordelijkheid van onafhankelijke toezichthoudende autoriteiten.(22)
41. De AVG neemt dit model over, maar versterkt de instrumenten om in geval van inbreuken of dreigende inbreuken de doeltreffendheid te garanderen van de opgenomen bepalingen, die thans gedetailleerder zijn, en van de voorziene maatregelen, die thans doortastender zijn:
– Ten eerste is er sprake van een uitbreiding van de functies van de toezichthoudende autoriteiten, die onder meer verantwoordelijk zijn voor het opleggen van de geharmoniseerde sancties die in de AVG zelf zijn vastgesteld.(23) Dit beklemtoont de component inzake publieke handhaving van de regels.
– Ten tweede is bepaald dat particulieren de rechten die zij aan de AVG ontlenen, kunnen verdedigen(24), hetzij door de toezichthoudende autoriteiten in te schakelen (artikel 77), hetzij door een beroep op de rechter te doen (artikelen 79 en 82). Voorts kunnen bepaalde entiteiten op grond van artikel 80 representatieve vorderingen instellen(25), hetgeen de bescherming van algemene belangen van particulieren bevordert(26).
42. De uitwerking van een uniforme regeling inzake de wettelijke aansprakelijkheid voor schade in de AVG was beperkt. Aspecten waarover in het kader van richtlijn 95/46 mogelijk twijfel bestond, zoals de aanmerking van immateriële schade als schade die in aanmerking komt voor vergoeding(27), werden spoedig verduidelijkt. De onderhandelingen waren toegespitst op andere aspecten van die regeling.(28)
43. In de totstandkomingsgeschiedenis van de verordening kon ik geen besprekingen vinden over een eventuele punitieve functie van de wettelijke aansprakelijkheid waarin de AVG voorziet. Aangezien er dienaangaande geen discussie heeft plaatsgevonden, kan hieruit dus niet worden afgeleid dat deze functie is opgenomen in artikel 82, temeer daar de opneming ervan in andere Unierechtelijke teksten wel is besproken.(29)
44. In deze omstandigheden is de vordering op grond van artikel 82, lid 1, AVG mijns inziens ontworpen en vastgesteld met het oog op de typische functies van de wettelijke aansprakelijkheid: de functie van schadevergoeding (voor de benadeelde) en, ondergeschikt daaraan, het voorkomen van toekomstige schade (door de inbreukmaker).
c) Contextuele uitlegging
45. Zoals ik reeds heb vermeld, maakt artikel 82 AVG deel uit van een stelsel ter waarborging van de doeltreffendheid van de regels waarbij het particulier initiatief een aanvulling vormt op de publieke handhaving. De schadevergoeding door verwerkingsverantwoordelijken of verwerkers draagt bij aan deze doeltreffendheid.
46. De verplichting tot schadevergoeding werkt (idealiter) als een stimulans om in de toekomst zorgvuldiger te handelen, zich aan de regels te houden en verdere schade te voorkomen. Op die manier draagt elk individu, door voor zichzelf schadevergoeding te vorderen, bij aan de algemene doeltreffendheid van de regels.
47. In dit kader zijn de compensatoire en de punitieve functie gescheiden:
– De punitieve functie wordt vervuld door middel van geldboeten die door toezichthoudende autoriteiten of rechterlijke instanties kunnen worden opgelegd (artikel 83, leden 1 en 9, AVG) en andere sancties die de lidstaten op grond van artikel 84 AVG vaststellen.(30)
– De compensatoire functie wordt vervuld door klachten van particulieren (artikel 77) en gerechtelijke procedures (artikel 79). Het is echter niet aan de toezichthoudende autoriteiten om te oordelen over het recht op schadevergoeding.
48. In lijn met de scheiding van de compensatoire en de punitieve sanctie:
– moet de autoriteit bij het opleggen van een geldboete en de bepaling van het bedrag ervan rekening houden met de in artikel 83 AVG opgesomde factoren, waarin niet wordt voorzien op het gebied van de wettelijke aansprakelijkheid en die in beginsel niet kunnen worden overgenomen bij de berekening van de schadevergoeding(31);
– hoeft, indien de omvang van de door de betrokkenen geleden schade een factor is ter bepaling van de hoogte van de geldboete(32), bij de berekening van het bedrag ervan geen rekening te worden gehouden met de schadevergoeding die zij eventueel hebben ontvangen(33).
49. Vanuit theoretisch oogpunt brengt een uitlegging waarbij de wettelijke aansprakelijkheid – zonder dat er sprake is van schade – een punitieve functie krijgt, het risico met zich mee dat de schadevergoedingsmechanismen gaan overlappen met de sanctiemechanismen.
50. In de praktijk kan het gemak waarmee door middel van schadevergoeding een „punitieve” winst kan worden verkregen, betrokkenen ertoe brengen deze weg te verkiezen boven die van artikel 77 AVG. Mocht dit brede ingang vinden, zou de toezichthoudende autoriteiten een instrument worden ontnomen (de klacht van de betrokkene) om van mogelijke inbreuken op de AVG kennis te nemen en deze dus te onderzoeken en te bestraffen. Dit zou ten koste gaan van meer geschikte instrumenten ter bescherming van het algemeen belang.
d) Teleologische uitlegging
51. De AVG heeft in wezen twee doelstellingen, die reeds in de titel worden genoemd: a) ten eerste „de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens”, en b) ten tweede ervoor zorgen dat deze bescherming zo gestalte krijgt dat „het vrije verkeer van die gegevens” binnen de Unie niet wordt verboden of beperkt.(34)
52. Om deze doelstellingen te verwezenlijken, vereist de AVG mijns inziens niet dat de schadevergoeding wordt gekoppeld aan de enkele inbreuk op de regel betreffende de verwerking en dat de wettelijke aansprakelijkheid een punitieve functie krijgt.
53. Wat de eerste doelstelling betreft, is het met het oog op de verwezenlijking ervan niet nodig om de werkingssfeer van artikel 82 AVG door middel van uitlegging uit te breiden tot gevallen waarin een regel is geschonden, maar geen schade is opgetreden. Deze uitbreiding zou daarentegen negatieve gevolgen kunnen hebben voor de tweede doelstelling.
54. Zoals ik reeds heb aangegeven, voorziet de AVG in verschillende mechanismen ter waarborging van de naleving van de regels ervan, die naast elkaar bestaan en elkaar aanvullen. De lidstaten hoeven niet te kiezen (en kunnen dat trouwens ook niet) tussen de mechanismen van hoofdstuk VIII om de bescherming van gegevens te waarborgen. In het geval van een inbreuk die niet tot schade leidt, heeft de betrokkene nog steeds (ten minste) het recht om een klacht in te dienen bij een toezichthoudende autoriteit overeenkomstig artikel 77, lid 1, AVG.
55. Bovendien zou het vooruitzicht op het verkrijgen van een schadevergoeding zonder dat er sprake is van schade, waarschijnlijk leiden tot meer civielrechtelijke zaken, met vorderingen die misschien niet altijd gerechtvaardigd zijn(35), en aldus een rem kunnen zetten op de activiteiten in verband met gegevensverwerking(36).
3. Vermoeden van schade?
56. De partijen in het geding bepleiten in enkele opmerkingen een andere lezing van de eerste prejudiciële vraag dan die welke ik tot dusver heb besproken. Als ik hun standpunt goed begrijp(37), lijken zij te betogen dat er sprake is van een onbetwistbaar vermoeden van schade zodra de inbreuk op de regel heeft plaatsgevonden.
57. Verder zou een dergelijke inbreuk volgens hen noodzakelijkerwijs een verlies van controle over de gegevens met zich brengen, wat op zich schade zou opleveren die in aanmerking komt voor vergoeding op grond van artikel 82, lid 1, AVG.
58. In theorie is het bij dat vermoeden niet mogelijk om de schade buiten beschouwing te laten, wat in overeenstemming is met de typische structuur van de wettelijke aansprakelijkheid, alsook met de bewoordingen van de bepaling van de AVG. In de praktijk zou het hanteren van dat vermoeden echter, zowel voor de eiser als voor de verweerder, soortgelijke gevolgen hebben als wanneer de schadevergoeding als bedoeld in artikel 82, lid 1, AVG wordt gekoppeld aan de enkele inbreuk op de regel.
59. Wederom zal ik van de gebruikelijke uitleggingscriteria gebruikmaken om uiteen te zetten waarom deze uitlegging mij niet juist lijkt.
a) Letterlijke uitlegging
60. Wanneer de wetgever op andere gebieden van het Unierecht meende dat een inbreuk op een regel automatisch recht geeft op schadevergoeding, heeft hij dat zonder meer als zodanig vastgesteld.(38) Dit is niet het geval bij de AVG, waarin is voorzien in bewijsregels en in regels met rechtstreekse gevolgen op dit gebied(39), maar niet in een dergelijk automatisme, noch rechtstreeks noch middels een onweerlegbaar vermoeden.
61. De verwijzingen naar de controle over de gegevens (of het verlies van die controle) in de overwegingen 75(40) en 85(41) AVG lijken mij geen tegengewicht te vormen voor het ontbreken van dit automatisme. Afgezien van het feit dat overwegingen als zodanig geen normatieve waarde hebben, staat in geen van beide te lezen dat de inbreuk op een regel per se schade oplevert die in aanmerking komt voor vergoeding:
– In overweging 75 wordt het verhinderen van de controle over persoonsgegevens genoemd als een van de mogelijke risico’s van verwerking.
– In overweging 85 wordt verlies van controle genoemd als een van de gevolgen die kunnen voortvloeien uit een inbreuk in verband met persoonsgegevens.(42)
62. Het verlies van controle over gegevens hoeft niet onvermijdelijk tot schade te leiden. De uitdrukking kan worden opgevat als een zinspeling op schade naar aanleiding van een dergelijk verlies, voor zover die schade zich voordoet.(43)
b) Uitlegging in het licht van de ontstaansgeschiedenis
63. Ook de analyse van de ontstaansgeschiedenis biedt geen steun voor het bestaan van een dergelijk vermoeden, dat niet was opgenomen in richtlijn 95/46(44) en waarvan evenmin sprake was in de vóór de vaststelling van de AVG opgestelde documenten van de Commissie, het Europees Parlement of de Raad die ik onder de loep heb genomen.
c) Contextuele uitlegging
64. Het stelsel van de AVG bevat aanwijzingen om in twijfel te trekken dat het genoemde vermoeden daarin is opgenomen. Daarbij geldt de toestemming van de betrokkene als referentiepunt.(45) Deze toestemming is het middel waarmee de betrokkene controle over zijn gegevens uitoefent en staat als legitimering voor de gegevensverwerking op hetzelfde niveau als andere rechtsgronden (artikel 6 AVG).(46)
65. Het is denkbaar dat persoonsgegevens rechtmatig worden verwerkt zonder toestemming van de betrokkene en dus zonder de controle die de verlening of onthouding van die toestemming inhoudt. Het gewicht ervan binnen het systeem is dus niet absoluut.
66. Bovendien voorziet de AVG in andere mogelijkheden om deze controle uit te oefenen: zo is er onder meer het recht op gegevenswissing, dat de verwerkingsverantwoordelijke verplicht om de betrokken informatie „zonder onredelijke vertraging” te wissen.(47)
67. Voor de betrokkene van wie de gegevens worden verwerkt, fungeert dit recht als veiligheidsklep in de beschermingsregeling: het recht blijft (als grondregel) bestaan wanneer de verwerkingsverantwoordelijke geen toestemming van de betrokkene heeft verkregen, alsook wanneer geen andere grond de gegevensverwerking legitimeert, en dat recht is niet afhankelijk van de vraag of de verwerking schade veroorzaakt.(48)
d) Teleologische uitlegging
1) Vormt de controle van de betrokkene over zijn gegevens een doelstelling van de AVG?
68. De automatische gelijkstelling tussen een verwerking van persoonsgegevens waarvoor de toestemming van de betrokkene niet is verkregen en schade die in aanmerking komt voor vergoeding, veronderstelt dat die controle – waarvan de toestemming het middel voor de uitoefening ervan is – een waarde op zich is.
69. Toegegeven, op het eerste gezicht ontbreekt het dit standpunt niet aan steun. Zoals uit het voorstel van de Commissie blijkt, bestond een van de belangrijkste redenen voor de hervorming erin dat burgers controle over hun gegevens hebben.(49) In overweging 7 AVG staat te lezen dat „[n]atuurlijke personen […] controle over hun eigen persoonsgegevens [dienen] te hebben”.
70. Vast staat dat er, nog los van de discussies in de rechtsliteratuur dienaangaande, bij de uitlegging van dit begrip voorzichtigheid geboden is. De AVG bevat geen precieze definitie van „controle” (en ook elders heb ik er geen gevonden).(50) Het begrip heeft ten minste twee mogelijke betekenissen, die elkaar niet uitsluiten, namelijk „macht” of „zeggenschap”, en „toezicht”.
71. De formulering van overweging 7 AVG zorgt voor enige onzekerheid, aangezien deze van taalversie tot taalversie verschilt.(51) Gelet op de inhoud van de AVG ben ik van mening dat deze verordening de betrokkene het recht verleent om toezicht uit te oefenen op en in te grijpen in de activiteiten die anderen met betrekking tot de gegevens uitvoeren en fungeert als een instrument dat (samen met andere instrumenten) ten dienste staat van de gegevensbescherming.
72. De betrokkene draagt zelf bij aan en is verantwoordelijk voor de bescherming van de in de gegevens vervatte informatie op de wijze – omvang en voorwaarden – waarin de AVG voorziet. De reikwijdte van een individuele vordering is beperkt: de in de AVG opgesomde rechten kunnen alleen onder specifieke voorwaarden worden uitgeoefend.
73. De toestemming van de betrokkene, als ultieme uitdrukking van controle(52), is slechts één van de rechtsgronden voor rechtmatige verwerking, maar kan niet worden aangewend om te bevestigen dat de andere voor de verwerkingsverantwoordelijke en de verwerker geldende verplichtingen en voorwaarden niet zijn nageleefd.
74. Mijns inziens kan uit de AVG niet zo maar worden afgeleid dat het de bedoeling om is de betrokkene de controle over zijn persoonsgegevens te verlenen als een waarde op zich. Evenmin kan worden afgeleid dat de betrokkene de grootst mogelijke controle over die gegevens moet hebben.
75. Deze bevinding is niet verwonderlijk. Ten eerste ligt het niet voor de hand dat controle, in de zin van zeggenschap over gegevens, deel uitmaakt van de wezenlijke inhoud van het grondrecht op bescherming van persoonsgegevens.(53) Ten tweede is er allesbehalve eensgezindheid over de opvatting van dit recht als een recht op informationele zelfbeschikking: artikel 8 van het Handvest gebruikt deze termen niet.(54)
76. In dezelfde lijn is er in de definitieve tekst van de AVG ook geen overweging opgenomen volgens welke „[h]et recht op de bescherming van persoonsgegevens is gegrondvest op het recht van de betrokkene om controle uit te oefenen over de persoonsgegevens die bij de verwerking betrokken zijn”.(55)
77. De bovenstaande overwegingen, die wellicht te abstract zijn, brengen mij ertoe te stellen dat, wanneer de betrokkene niet instemt met een verwerking en deze verwerking zonder andere rechtmatige rechtsgrond wordt uitgevoerd, dit nog niet betekent dat hij een financiële compensatie moet ontvangen wegens het verlies van controle over zijn gegevens, alsof dit verlies op zich schade zou opleveren die voor vergoeding in aanmerking komt.(56) Of hij ook werkelijk schade heeft geleden, valt bovendien nog te bezien (en zal moeten worden bewezen).(57)
2) Contextuele benadering van de controle van de betrokkene
78. Tot slot lijkt het dienstig eraan te herinneren dat de bescherming van persoonsgegevens een van de doelstellingen van de AVG is, samen met de doelstelling om het vrije verkeer van die gegevens te bevorderen.(58)
79. Het versterken van de controle van de burger over zijn persoonsgegevens in de digitale omgeving is een van de erkende doelstellingen van de modernisering van de regeling voor de bescherming van persoonsgegevens, maar is geen opzichzelfstaande of geïsoleerde doelstelling.
80. In de mededeling bij het voorstel voor de AVG heeft de Commissie een hoog niveau van gegevensbescherming in verband gebracht met het vertrouwen in onlinediensten, zodat het potentieel van de digitale economie kan worden ontsloten ten gunste van „de economische groei en het concurrentievermogen van het bedrijfsleven in de EU”. Door de vernieuwing (en grotere harmonisatie) van de regels van de Unie wordt „de internemarktdimensie van gegevensbescherming versterkt”.(59)
81. Aangezien (al dan niet persoonsgebonden) gegevens van grote waarde zijn voor de economische en sociale vooruitgang in Europa, is de AVG er niet op gericht de controle van het individu over de hem betreffende informatie te vergroten door zich zonder meer te schikken naar zijn voorkeuren, maar bestaat het doel er veeleer in om het recht op bescherming van persoonsgegevens van elke betrokkene te verzoenen met de belangen van derden en van de samenleving.(60)
82. De AVG is mijns inziens niet bedoeld om de verwerking van persoonsgegevens systematisch te beperken, maar om die verwerking onder strikte voorwaarden legitimiteit te verlenen. Deze doelstelling wordt bovenal gediend door bij de betrokkene het vertrouwen te scheppen dat de verwerking zal plaatsvinden in een veilige context(61), waaraan hijzelf bijdraagt. Op deze manier wordt de betrokkene aangemoedigd vrijwillig in te stemmen met de toegang tot en het gebruik van zijn gegevens bij onder meer online handelstransacties.
C. Tweede prejudiciële vraag
83. De verwijzende rechter wenst te vernemen „of er voor de berekening van de schadevergoeding naast de beginselen van doeltreffendheid en gelijkwaardigheid andere Unierechtelijke bepalingen [bestaan]”.
84. In feite lijkt het gelijkwaardigheidsbeginsel hier geen relevante rol te spelen: de geharmoniseerde regeling van de AVG is rechtstreeks van toepassing op dit gebied en artikel 82 AVG is van toepassing op alle immateriële schade als gevolg van een inbreuk, ongeacht waar deze schade uit voortkomt.
85. Hetzelfde geldt voor het doeltreffendheidsbeginsel. Een andere kwestie is dat de schadevergoeding, in overeenstemming met wat in overweging 146 AVG wordt bepleit (betrokkenen moeten volledig en daadwerkelijk worden vergoed voor de geleden schade), inhoudelijk invulling moet krijgen.
86. Artikel 82 AVG bevat geen ander vereiste dan dat een inbreuk op de regels van de AVG tot gevolg heeft dat een persoon materiële of immateriële schade lijdt. Wat specifiek de berekening van het bedrag van de vergoeding voor die schade betreft, biedt het geen richtsnoeren voor de nationale rechterlijke instanties.
87. Overeenkomstig de twee hierboven vermelde bijwoorden (volledig en daadwerkelijk) zal de schadevergoeding in de eerste plaats afhangen van de vordering die de eisende partij in kwestie instelt.
88. Indien die vordering zou strekken tot toekenning van punitieve schadevergoeding(62), zou het antwoord op de eerste prejudiciële vraag voldoende zijn: dit soort schadevergoedingen komt in de AVG niet voor. In de AVG vervult de wettelijke aansprakelijkheid een „privaatrechtelijke” compensatoire functie, terwijl geldboeten en straffen de publieke functie van afschrikking en, in voorkomend geval, bestraffing hebben.
89. Het kan niet worden uitgesloten dat de gevraagde vergoeding voor immateriële schade andere dan louter geldelijke bestanddelen omvat, bijvoorbeeld de erkenning dat de inbreuk heeft plaatsgevonden, waardoor aan de eisende partij een zekere morele genoegdoening wordt verschaft. Hoewel het arrest van 15 april 2021(63) betrekking heeft op een ander gebied dan gegevensbescherming, zou het naar analogie toch kunnen worden gebruikt bij de beoordeling van de betreffende vordering.
90. In rechtsstelsels die in deze mogelijkheid voorzien, kan op grond van de wettelijkeaansprakelijkheidsregeling een schadevergoeding worden toegekend in de vorm van de erkenning van een recht (betaling van een symbolische schadevergoeding) of de neutralisering van een onrechtmatig voordeel (teruggave van de wederrechtelijk verkregen winst).
91. Aan de eerstgenoemde vorm van schadevergoeding ligt het idee ten grondslag om de continuïteit te waarborgen en het recht te verwezenlijken („Rechtsfortsetzungsfunktion”) door middel van een zuiver symbolische schadevergoeding, aangevuld met de verklaring dat de verwerende partij een onrechtmatige daad heeft gepleegd en inbreuk heeft gemaakt op de rechten van de eisende partij. Deze mogelijkheid is niet opgenomen in artikel 82 AVG en ook in de totstandkomingsgeschiedenis van de verordening valt er geen spoor van te bekennen, wat niet verwonderlijk is daar deze mogelijkheid niet gebruikelijk is in de rechtsstelsels van de lidstaten(64) en niet onomstreden is waar zij wel bestaat(65).
92. Het stelsel en de doelstellingen van de AVG beletten de lidstaten waar dit rechtsmiddel bestaat evenwel niet om het, in het kader van de in artikel 79 AVG vastgestelde beroepsmogelijkheden, ter beschikking te stellen van de benadeelden van een inbreuk op een regel, wanneer er helemaal geen sprake is van schade. Wanneer de eisende partij daarentegen aanvoert geldelijke schade te hebben geleden, wordt de situatie geregeld door artikel 82 AVG en mag de moeilijkheid om de schade te bewijzen niet leiden tot een symbolische schadevergoeding.(66)
93. Schadevergoedingen die bestaan in de teruggave van het bedrag dat voortvloeit uit de inbreuk op een recht, kunnen tot doel hebben de inbreukmaker de verkregen winst te ontnemen. Buiten het gebied van de intellectuele eigendom(67) is deze doelstelling niet gebruikelijk in het schadevergoedingsrecht, dat eerder is gericht op het verlies van de benadeelde partij dan op de winst van de inbreukpleger.(68) Deze doelstelling is niet overgenomen in de bepalingen van de AVG.
94. Bovenstaande overwegingen dienen om het werk van de verwijzende rechter te vergemakkelijken, gelet op de ruime strekking van zijn tweede prejudiciële vraag. Daarbij ben ik er mij echter van bewust dat zij mogelijk niet erg nuttig zijn voor de toe- of afwijzing van een vordering waarin de betrokkene een strikt geldelijke vergoeding voor immateriële schade vordert.
D. Derde prejudiciële vraag
95. De verwijzende rechter wenst te vernemen of in de AVG voor de vaststelling van immateriële schade wordt verondersteld dat er sprake is van een „effect of gevolg van de schending dat op zijn minst van enig belang is en verder gaat dan de door de inbreuk ontstane ergernis”.
96. Als criterium voor schade die in aanmerking komt voor vergoeding wordt in het verzoek om een prejudiciële beslissing rekening gehouden met de intensiteit van de ervaring van de benadeelde. De verwijzende rechter vraagt daarentegen niet (althans niet rechtstreeks) of bepaalde emoties of gevoelens van die persoon al dan niet relevant zijn voor de toepassing van artikel 82, lid 1, AVG.(69)
97. De vraag is dus aan de orde of de lidstaten de vergoeding van immateriële schade afhankelijk mogen stellen van de omvang van de gevolgen van de inbreuk op de regel en alleen rekening mogen houden met de gevolgen die een bepaalde drempel van zwaarwegendheid overschrijden. Bij de vraag gaat het dus niet om voor vergoeding in aanmerking komende schadeposten(70) of om het bedrag van de schadevergoeding, maar om het bestaan van een benedengrens met betrekking tot de reactie van de benadeelde, onder welke grens hij geen schadevergoeding zou ontvangen.
98. Artikel 82 AVG biedt geen rechtstreeks antwoord op deze vraag. Ook de overwegingen 75 en 85 bieden mijns inziens geen uitkomst. Beide overwegingen bevatten een opsomming van voorbeelden van schade die eindigt met een open formulering die de schade die in aanmerking komt voor vergoeding lijkt te beperken tot „aanzienlijke” schade.
99. Volgens mij zijn deze overwegingen echter niet nuttig om de twijfel van de verwijzende rechter weg te nemen:
– De eerste overweging heeft betrekking op de vaststelling en evaluatie van de risico’s van gegevensverwerking, en het nemen van maatregelen om deze risico’s te voorkomen of te verminderen. Voorst worden de ongewenste gevolgen van elke verwerking vermeld en wordt de nadruk („met name”) op sommige gevolgen gelegd, hoogstwaarschijnlijk omdat die zwaarwegender zijn.
– De tweede overweging heeft betrekking op inbreuken in verband met persoonsgegevens en er wordt gewaarschuwd dat de gevolgen van dergelijke inbreuken aanzienlijk kunnen zijn.
100. Ook de in overweging 146 AVG gehanteerde formulering (de verwerkingsverantwoordelijke en de verwerker moeten „alle schade” vergoeden)(71) bevat geen criteria om deze vraag te beantwoorden.
101. De opneming van deze overweging in de tekst van de AVG heeft ervoor gezorgd dat de AVG ook uitdrukkelijk immateriële schade omvat en dat aldus het stilzwijgen op dit punt in richtlijn 95/46 werd doorbroken.(72) Daarmee is echter nog niet specifiek ingegaan op de vraag die thans aan het Hof is voorgelegd.
102. In overweging 146 AVG staat te lezen dat „[h]et begrip ,schade’ […] ruim [moet] worden uitgelegd in het licht van de rechtspraak van het Hof, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening”.
103. Ik ben niet zeker of deze aanwijzing veel nut heeft in de context van gegevensbescherming, aangezien het Hof zich nog niet over deze kwestie had uitgesproken toen de AVG werd vastgesteld.(73) Indien het de bedoeling was te verwijzen naar arresten over de wettelijke aansprakelijkheid die in andere richtlijnen of verordeningen is geregeld, dan zou het wenselijk zijn geweest om dit naar analogie te doen.
104. In feite heeft het Hof geen algemene definitie van „schade” uitgewerkt die zonder onderscheid op elk gebied kan worden toegepast.(74) Voor wat hier van belang is (immateriële schade), kan uit zijn rechtspraak worden afgeleid dat:
– wanneer het doel (of een van de doelen) van de uit te leggen bepaling bestaat in de bescherming van het individu, of van een bepaalde categorie individuen(75), het begrip „schade” ruim moet worden opgevat;
– de schadevergoeding zich in overeenstemming met dit criterium uitstrekt tot immateriële schade, ook al wordt dit soort schade niet in de uitgelegde bepaling genoemd.(76)
105. Gelet op de rechtspraak van het Hof kan er weliswaar voor worden gepleit dat er in het Unierecht op de aangegeven wijze sprake is van het beginsel dat immateriële schade wordt vergoed, maar mijns inziens kan daaruit geen regel worden afgeleid volgens welke alle immateriële schade, ongeacht de ernst ervan, in aanmerking komt voor vergoeding.
106. Het Hof heeft erkend dat een nationale regeling waarbij er voor de berekening van de schadevergoeding in geval van immateriële schade die voortvloeit uit letselschade door een ongeval, een onderscheid wordt gemaakt afhankelijk van de oorzaak van het ongeval, verenigbaar is met de Europese regels.(77)
107. Het Hof heeft ook beoordeeld welke omstandigheden overeenkomstig de toepasselijke bepaling in elk afzonderlijk geval immateriële schade kunnen veroorzaken(78), maar heeft zich (als ik mij niet vergis) niet uitdrukkelijk uitgesproken over het vereiste inzake de ernst van die schade(79).
108. In dit stadium ben ik van mening dat de derde prejudiciële vraag bevestigend moet worden beantwoord.
109. Ter ondersteuning van mijn standpunt herinner ik eraan dat de waarborging van het grondrecht op bescherming van persoonsgegevens niet het enige doel van de AVG is(80) en dat het in deze verordening opgenomen stelsel van waarborgen verschillende soorten mechanismen omvat(81).
110. In dit verband is een relevant aanknopingspunt het aan het Hof gesuggereerde onderscheid tussen immateriële schade die in aanmerking komt voor vergoeding, en andere ongemakken die voortvloeien uit de niet-nakoming van de wet maar die wegens hun geringe belang niet noodzakelijkerwijs recht op schadevergoeding zouden geven.
111. Een dergelijk onderscheid wordt in de nationale rechtsstelsels beschouwd als een onvermijdelijk uitvloeisel van het samenleven.(82) Het Hof is zich bewust van dit verschil en erkent dat ook door moeilijkheden en ongemakken als een zelfstandige categorie – die van de categorie schade losstaat – aan te merken op gebieden waarop het van oordeel is dat die moeilijkheden en ongemakken moeten worden vergoed.(83) Niets staat eraan in de weg dat dit onderscheid ook met betrekking tot de AVG wordt gehanteerd.
112. Bovendien lijkt het recht op schadevergoeding uit hoofde van artikel 82, lid 1, AVG mij niet het passende instrument om tegen inbreuken bij de verwerking van persoonsgegevens op te treden indien deze bij de betrokkene alleen maar boosheid of ergernis opwekken.
113. Normaliter zal elke inbreuk op een regel inzake de bescherming van persoonsgegevens leiden tot een negatieve reactie van de betrokkene. Schadevergoeding die louter voortvloeit uit een gevoel van onbehagen over het feit dat een ander de wet niet eerbiedigt, wordt gemakkelijk verward met schadevergoeding zonder schade, die ik hierboven reeds van de hand heb gewezen.
114. Uit praktisch oogpunt is het niet doelmatig om ook louter ergernis op te nemen onder immateriële schade die in aanmerking komt voor vergoeding, gelet op de kenmerkende ongemakken en moeilijkheden voor de eisende partij bij het instellen van een vordering(84) en voor de verwerende partij bij het voorbereiden van haar verweer(85).
115. Dat er geen recht op schadevergoeding voor zwakke en voorbijgaande gevoelens of emoties(86) wordt toegekend waar het gaat om de inbreuk op verwerkingsregels, betekent nog niet dat de betrokkene volledig in de steek wordt gelaten. Zoals ik naar aanleiding van de eerste vraag heb aangegeven, heeft deze op grond van het stelsel van de AVG andere beroepsmogelijkheden.
116. Mijns inziens lijdt het geen twijfel dat de scheidslijn tussen louter ergernis (geen vergoeding mogelijk) en reële immateriële schade (wel vergoeding mogelijk) dun is, en ik ben mij er tevens van bewust hoe ingewikkeld het is om beide categorieën in abstracto af te bakenen en concreet toe te passen op een geschil. Deze moeilijke taak komt toe aan de rechters van de lidstaten, die in hun uitspraken waarschijnlijk niet voorbij zullen kunnen gaan aan de immer aanwezige maatschappelijke perceptie omtrent de aanvaardbare tolerantie op dit gebied wanneer de subjectieve gevolgen van een inbreuk op een regel beneden een bepaalde de-minimisdrempel blijven.(87)
V. Conclusie
117. Gelet op een en ander geef ik het Hof in overweging om de prejudiciële vraag van het Oberste Gerichtshof te beantwoorden als volgt:
„Artikel 82 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet als volgt worden uitgelegd:
Voor de erkenning van het recht op vergoeding van de schade die een persoon stelt te hebben geleden als gevolg van een schending van die verordening, is de enkele inbreuk op de desbetreffende regel op zich niet voldoende indien die inbreuk niet gepaard gaat met daaruit voortvloeiende materiële of immateriële schade.
De in verordening 2016/679 geregelde vergoeding van immateriële schade strekt zich niet uit tot de loutere ergernis die de benadeelde kan ondervinden als gevolg van de inbreuk op de bepalingen van die verordening. Het staat aan de nationale rechter om in elk concreet geval op basis van de kenmerken van het subjectieve gevoel van onbehagen te bepalen wanneer een dergelijk gevoel als immateriële schade kan worden aangemerkt.”