Language of document : ECLI:EU:C:2023:370

DOMSTOLENS DOM (tredje avdelningen)

den 4 maj 2023(*)

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 82.1 – Rätt till ersättning för den skada som orsakats av behandling som strider mot denna förordning – Villkor för rätt till ersättning – Enbart den omständigheten att en överträdelse har skett är inte tillräcklig – Skada orsakad av överträdelsen krävs – Ersättning för ideell skada till följd av sådan behandling – Oförenlighet med en nationell regel enligt vilken en förutsättning för ersättning för sådan skada är att en viss allvarlighetsgrad uppnåtts – Regler för nationella domstolars beräkning av skadestånd”

I mål C‑300/21,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Oberster Gerichtshof (Högsta domstolen, Österrike) genom beslut av den 15 april 2021, som inkom till domstolen den 12 maj 2021, i målet

UI

mot

Österreichische Post AG,

meddelar

DOMSTOLEN (tredje avdelningen)

sammansatt av avdelningsordföranden K. Jürimäe samt domarna M. Safjan,
N. Piçarra, N. Jääskinen (referent) och M. Gavalec,

generaladvokat: M. Campos Sánchez-Bordona,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

–        UI, genom sig själv, i egenskap av Rechtsanwalt,

–        Österreichische Post AG, genom R. Marko, Rechtsanwalt,

–        Österrikes regering, genom A. Posch, J. Schmoll och G. Kunnert, samtliga i egenskap av ombud,

–        Tjeckiens regering, genom O. Serdula, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,

–        Irland, genom M. Browne, A. Joyce, M. Lane och M. Tierney, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL,

–        Europeiska kommissionen, genom A. Bouchagiar, M. Heller och
H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 6 oktober 2022 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 82) (nedan kallad dataskyddsförordningen), jämförd med principerna om likvärdighet och effektivitet.

2        Begäran har framställts i ett mål mellan UI och Österreichische Post AG. Målet rör UI:s begäran om ersättning för den ideella skada som han påstår sig ha lidit till följd av att Österreichische Post AG hade behandlat uppgifter om politisk tillhörighet hos personer bosatta i Österrike, i synnerhet honom själv, trots att han inte hade samtyckt till en sådan behandling.

 Tillämpliga bestämmelser

3        I skälen 10, 75, 85 och 146 i dataskyddsförordningen anges följande:

”(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. …

(75)      Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, …

(85)      En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. …

(146) Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser. Berörda personer bör få full och effektiv ersättning för den skada de lidit. …”

4        I artikel 1 i dataskyddsförordningen, med rubriken ”Syfte”, föreskrivs följande i punkterna 1 och 2:

”1.      I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

2.      Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.”

5        I artikel 4 i förordningen, med rubriken ”Definitioner”, föreskrivs följande i punkt 1:

”I denna förordning avses med

1.      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …”

6        Kapitel VIII i dataskyddsförordningen, med rubriken ”Rättsmedel, ansvar och sanktioner”, innehåller artiklarna 77–84.

7        Artikel 77 i förordningen avser ”(r)ätt att lämna in klagomål till en tillsynsmyndighet”, medan artikel 78 avser ”(r)ätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut”.

8        I artikel 82 i dataskyddsförordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande i punkterna 1 och 2:

”1.      Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.      Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. …”

9        I artikel 83 i förordningen, med rubriken ”Allmänna villkor för påförande av administrativa sanktionsavgifter”, föreskrivs följande i punkt 1:

”Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande.”

10      I artikel 84 i förordningen, med rubriken ”Sanktioner”, föreskrivs följande i punkt 1:

”Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.”

 Målet vid den nationella domstolen och tolkningsfrågorna

11      Från och med år 2017 samlade Österreichische Post, ett bolag bildat enligt österrikisk rätt som ägnar sig åt försäljning av adresslistor, in uppgifter om den österrikiska befolkningens politiska tillhörighet. Med hjälp av en algoritm tog företaget fram ”adresser till målgrupper” utifrån sociodemografiska egenskaper. De uppgifter som genererats på detta sätt såldes till olika organisationer för att göra det möjligt för dem att skicka ut riktad reklam.

12      Österreichische Post behandlade inom ramen för sin verksamhet uppgifter som, genom statistisk extrapolering, föranledde bolaget att anta att UI hade en hög sannolik benägenhet att rösta på ett visst österrikiskt politiskt parti. Dessa uppgifter vidarebefordrades inte till tredje part, men UI, som inte hade lämnat något samtycke till behandlingen av hans personuppgifter, kände sig förnärmad över den höga sannolika benägenhet att rösta på ett visst parti som Österreichische Post tillskrivit honom. Den omständigheten att uppgifter om hans påstådda politiska åskådning hade lagrats hos Österreichische Post hade väckt stor förargelse hos honom och undergrävt hans tillit men även medfört att han kände sig förödmjukad. Det framgår av beslutet om hänskjutande att någon annan skada än denna tillfälliga känslomässiga påverkan inte har konstaterats.

13      I detta sammanhang väckte klaganden i det nationella målet talan vid Landesgericht für Zivilrechtssachen Wien (Regionala domstolen för tvistemål i Wien, Österrike). Han yrkade dels att Österreichische Post skulle föreläggas att upphöra med behandlingen av de ifrågavarande personuppgifterna, dels att Österreichische Post skulle förpliktas att betala 1 000 euro till honom som ersättning för den ideella skada som han påstod sig ha lidit. Genom beslut av den 14 juli 2020 biföll nämnda domstol yrkandet om förbudsföreläggande, men ogillade yrkandet om ersättning.

14      Efter överklagande fastställde Oberlandesgericht Wien (Regionala överdomstolen i Wien, Österrike), genom dom av den 9 december 2020, det avgörande som meddelats i första instans. När det gäller ersättningsyrkandet hänvisade den domstolen till skälen 75, 85 och 146 i dataskyddsförordningen och bedömde att medlemsstaternas nationella bestämmelser om skadestånd kompletterar bestämmelserna i denna förordning, förutsatt att förordningen inte innehåller några särskilda regler. Den uppgav i detta avseende att enligt österrikisk rätt medför ett åsidosättande av bestämmelserna om skydd av personuppgifter inte automatiskt att ideell skada ska anses föreligga. Åsidosättandet ger endast rätt till ersättning när en sådan skada uppnår en viss ”allvarlighetsgrad”. Detta var emellertid inte fallet vad beträffar de negativa känslor som klaganden i det nationella målet har åberopat.

15      De båda parterna i det nationella målet överklagade denna dom till Oberster Gerichtshof (Högsta domstolen, Österrike), som genom mellandom av den 15 april 2021 ogillade Österreichische Posts överklagande av förläggandet att upphöra med verksamheten. Den domstolen har således endast att pröva det UI:s överklagande av avslaget på hans yrkande om ersättning.

16      Till stöd för sin begäran om förhandsavgörande har den hänskjutande domstolen angett att det framgår av skäl 146 i dataskyddsförordningen att det genom artikel 82 i denna förordning har införts ett eget ansvarssystem för skydd av personuppgifter, vilket har ersatt de system som gäller i medlemsstaterna. De begrepp som förekommer i denna artikel 82, i synnerhet begreppet skada i punkt 1 i denna artikel, ska således tolkas självständigt. Villkoren för att ansvar ska aktualiseras ska definieras mot bakgrund av unionsrättens krav och inte utifrån bestämmelserna i nationell rätt.

17      För det första vad gäller rätten till ersättning vid ett åsidosättande av skyddet för personuppgifter, anser den hänskjutande domstolen, mot bakgrund av sjätte meningen i skäl 146 i dataskyddsförordningen, att en förutsättning för att ersättning ska utgå enligt artikel 82 i denna förordning är att den registrerade faktiskt har lidit materiell eller ideell skada. För att en sådan ersättning ska kunna beviljas krävs det att det finns bevis för en konkret skada vilka skiljer sig från bevisen för själva överträdelsen, vilka inte i sig visar att det föreligger en ideell skada. I skäl 75 i förordningen nämns enbart möjligheten att en ideell skada kan uppkomma till följd av de överträdelser som räknas upp där. Även om det i skäl 85 i förordningen visserligen anges att det finns en risk för ”förlust av kontrollen” över de egna personuppgifterna, är denna risk emellertid inte fastställd i förevarande fall, eftersom personuppgifterna inte har överförts till tredje part.

18      För det andra vad gäller beräkningen av den ersättning som kan beviljas enligt artikel 82 i dataskyddsförordningen, anser den hänskjutande domstolen att principen om unionsrättens effektivitet måste ha en begränsad inverkan. I förordningen föreskrivs nämligen redan stränga sanktioner för överträdelser av unionsrätten. Det är således inte nödvändigt att dessutom utdöma ett högt skadestånd för att säkerställa dess ändamålsenliga verkan. Enligt den hänskjutande domstolen ska ersättningen för denna skada vara proportionerlig, effektiv och avskräckande, så att det skadestånd som beviljas kan tjäna som kompensation, men inte vara av bestraffande karaktär, vilket är ett syfte som är främmande för unionsrätten.

19      För det tredje har den hänskjutande domstolen ifrågasatt Österreichische Posts uppfattning att beviljandet av en sådan ersättning förutsätter att åsidosättandet av skyddet för personuppgifter har orsakat en särskilt allvarlig skada. Den hänskjutande domstolen har i detta avseende understrukit att det skäl 146 i dataskyddsförordningen förespråkas en bred tolkning av begreppet skada i den mening som avses i denna förordning. Den hänskjutande domstolen anser att en ideell skada ska ersättas enligt artikel 82 i förordningen om den är befintlig, även om den är av lindrigare grad. En sådan skada ska däremot inte ersättas om den framstår som helt försumbar, vilket skulle vara fallet när det endast rör sig om sådana obehagskänslor som vanligtvis är förenade med ett sådant åsidosättande.

20      Mot denna bakgrund beslutade Oberster Gerichtshof (Högsta domstolen, Österrike) att vilandeförklara målet och ställa följande fråga till EU-domstolen:

”1)      Krävs det för att tillerkännas ersättning enligt artikel 82 i [dataskyddsförordningen], utöver en överträdelse av bestämmelserna i förordningen, även att klaganden har lidit skada, eller är överträdelsen av dataskyddsförordningen i sig tillräcklig för tillerkännande av ersättning?

2.      Gäller vid beräkning av ersättningen ytterligare krav enligt unionsrätten utöver principerna om likvärdighet och effektivitet?

3.      Är uppfattningen att det krävs en sådan följd eller verkan av en överträdelse som åtminstone är av viss allvarlighetsgrad och går utöver den förargelse som överträdelsen har orsakat för att [ersättning ska kunna beviljas för] ideell skada, förenlig med unionsrätten?”

 Prövning av tolkningsfrågorna

 Huruvida frågorna 1 och 2 kan tas upp till sakprövning

21      Klaganden i det nationella målet har i huvudsak gjort gällande att den första frågan inte kan tas upp till sakprövning, eftersom den är hypotetisk. Han har för det första gjort gällande att hans skadeståndstalan inte ”endast” grundar sig på en överträdelse av dataskyddsförordningen. I beslutet om hänskjutande anges att det råder enighet om att ersättning endast ska utgå när en sådan överträdelse åtföljs av en faktisk skada. Enligt honom förefaller det enda som är tvistigt mellan parterna i det nationella målet vara frågan huruvida skadan måste vara av viss ”allvarlighetsgrad”. Om domstolen skulle besvara den tredje frågan nekande – som han själv har föreslagit – skulle den första frågan emellertid förlora sin relevans för målet.

22      Klaganden i det nationella målet har även gjort gällande att den andra frågan inte kan tas upp till sakprövning, eftersom den är både mycket omfattande vad gäller dess innehåll och alltför vag vad gäller dess formulering. Den hänskjutande domstolen har nämligen hänvisat till ”unionsrättsliga krav” utan att konkret ange något av dem.

23      Det ska härvid erinras om att det enligt EU-domstolens fasta praxis uteslutande ankommer på den nationella domstolen, vid vilken målet anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen, vilka presumeras vara relevanta. Domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen eller giltigheten av en unionsrättslig regel, såvida det inte är uppenbart att den begärda tolkningen inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågorna är hypotetiska eller domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts (se, för ett liknande resonemang, dom av den 15 december 1995, Bosman, C‑415/93, EU:C:1995:463, punkt 61, dom av den 7 september 1999, Beck och Bergdorf, C‑355/97, EU:C:1999:391, punkt 22, samt dom av den 5 maj 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punkt 43 och där angiven rättspraxis).

24      I förevarande mål avser den första frågan villkoren för beviljande av ersättning enligt artikel 82 i dataskyddsförordningen. Det är vidare inte uppenbart att den begärda tolkningen saknar samband med saken i målet vid den nationella domstolen eller att frågan är hypotetisk. Förfarandet rör nämligen ett sådant yrkande om ersättning som omfattas av det system för skydd av personuppgifter som införts genom dataskyddsförordningen. Syftet med denna fråga är att fastställa huruvida det, för tillämpningen av ansvarsbestämmelserna i denna förordning, krävs att den berörda personen har lidit en skada som kan särskiljas från själva överträdelsen av förordningen.

25      Vad gäller den andra frågan har det redan slagits fast att enbart den omständigheten att domstolen har att uttala sig i abstrakta och allmänna ordalag inte kan medföra att en begäran om förhandsavgörande ska avvisas (dom av den 15 november 2007, International Mail Spain, C‑162/06, EU:C:2007:681, punkt 24). En fråga som har formulerats i sådana ordalag kan anses vara hypotetisk, och ska således avvisas, om beslutet om hänskjutande inte innehåller några som helst förklaringar som gör det möjligt att fastställa ett samband mellan nämnda fråga och det nationella målet (se, för ett liknande resonemang, dom av den 8 juli 2021, Sanresa, C‑295/20, EU:C:2021:556, punkterna 69 och 70).

26      Så är emellertid inte fallet i förevarande mål, eftersom den hänskjutande domstolen har förklarat att dess andra fråga bygger på tvivel om huruvida det, vid beräkningen av det skadestånd som Österreichische Post eventuellt ska betala på grund av en överträdelse av dataskyddsförordningen, är nödvändigt att iaktta inte bara principerna om likvärdighet och effektivitet, som nämns i denna fråga, utan även eventuella andra unionsrättsliga krav. Avsaknaden av mer exakta uppgifter än de som den hänskjutande domstolen har lämnat angående nämnda principer fråntar under dessa förhållanden inte EU-domstolen dess möjlighet att göra en användbar tolkning av de relevanta unionsrättsliga bestämmelserna.

27      Den första och den andra frågan kan således tas upp till sakprövning.

 Prövning i sak

 Den första frågan

28      Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att enbart den omständigheten att bestämmelserna i denna förordning har åsidosatts är tillräcklig i sig för att ge rätt till ersättning.

29      Enligt fast rättspraxis ska ordalydelsen i en unionsbestämmelse som inte innehåller någon uttrycklig hänvisning till medlemsstaternas rättsordningar för fastställandet av bestämmelsens innebörd och tillämpningsområde, i regel ges en självständig och enhetlig tolkning inom hela unionen (dom av den 22 juin 2021, Latvijas Republikas Saeima (Prickning) C‑439/19, EU:C:2021:504, punkt 81, och dom av den 10 februari 2022, ShareWood Switzerland C‑595/20, EU:C:2022:86, punkt 21). Genom denna tolkning ska bland annat ordalydelsen i den ifrågavarande bestämmelsen och det sammanhang som den ingår i beaktas (se, för ett liknande resonemang, dom av den 15 april 2021, The North of England P & I Association, C‑786/19, EU:C:2021:276, punkt 48, och dom av den 10 juni 2021, KRONE – Verlag, C‑65/20, EU:C:2021:471, punkt 25).

30      I dataskyddsförordningen hänvisas emellertid inte till medlemsstaternas rättsordningar vad gäller innebörden av och tillämpningsområdet för de begrepp som återfinns i artikel 82 i förordningen, i synnerhet vad gäller begreppen ”materiell eller immateriell skada” och ”ersättning … för den uppkomna skadan”. Härav följer att dessa uttryck, vid tillämpningen av nämnda förordning, ska anses utgöra självständiga unionsrättsliga begrepp som ska tolkas enhetligt i samtliga medlemsstater.

31      För det första vad gäller ordalydelsen i artikel 82 i dataskyddsförordningen ska det erinras om att det i punkt 1 i denna artikel anges att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”.

32      Det framgår tydligt av ordalydelsen i denna bestämmelse att förekomsten av en ”skada” som har ”uppkommit” utgör ett av villkoren för den rätt till ersättning som föreskrivs i nämnda bestämmelse, liksom att det ska föreligga en överträdelse av dataskyddsförordningen och ett orsakssamband mellan denna skada och denna överträdelse. Dessa tre villkor är nämligen kumulativa.

33      Det kan således inte anses att varje ”överträdelse” av dataskyddsförordningen i sig ger den registrerade en sådan rätt till ersättning som avses i artikel 4 led 1 i förordningen. En sådan tolkning skulle strida mot ordalydelsen i artikel 82.1 i nämnda förordning.

34      Den separata hänvisningen till ”skada” i förhållande till ”överträdelse” i artikel 82.1 i dataskyddsförordningen skulle vara överflödig om unionslagstiftaren hade ansett att en överträdelse av denna förordning i sig, under alla omständigheter, skulle räcka för att rätt till ersättning skulle föreligga.

35      Ovannämnda bokstavstolkning vinner för det andra stöd av det sammanhang i vilket denna bestämmelse ingår.

36      I artikel 82.2 i dataskyddsförordningen, som innehåller reglerna för det ansvarssystem vars princip fastställs i punkt 1 i denna artikel, återges nämligen de tre nödvändiga villkoren för att ge rätt till ersättning. Dessa är en personuppgiftsbehandling som utförs i strid med bestämmelserna i dataskyddsförordningen, en skada som den registrerade har lidit samt ett orsakssamband mellan den otillåtna behandlingen och skadan.

37      Denna tolkning vinner stöd av preciseringarna i skälen 75, 85 och 146 i dataskyddsförordningen. I skäl 146, som särskilt avser rätten till ersättning enligt artikel 82.1 i förordningen, hänvisas i första meningen till ”skada som en person kan komma att lida till följd av behandling som strider mot denna förordning”. I skälen 75 och 85 anges vidare att ”[r]isken … kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra … skador” respektive att ”[e]n personuppgiftsincident … kan … leda till … skada”. Härav följer, för det första, att uppkomsten av en skada inom ramen för en sådan behandling endast är potentiell, för det andra, att ett åsidosättande av dataskyddsförordningen inte nödvändigtvis medför en skada och, för det tredje, att det måste finnas ett orsakssamband mellan den ifrågavarande överträdelsen och den skada som den registrerade har lidit för att rätt till ersättning ska föreligga.

38      En bokstavlig tolkning av artikel 82.1 i dataskyddsförordningen vinner även stöd av en jämförelse med andra bestämmelser som också återfinns i kapitel VIII i förordningen. I dessa bestämmelser regleras bland annat de olika rättsmedel som finns tillgängliga för att skydda registrerades rättigheter vid en sådan behandling av deras personuppgifter som kan tänkas strida mot förordningen.

39      Det ska i detta hänseende påpekas att det i artiklarna 77 och 78 i dataskyddsförordningen, vilka ingår i nämnda kapitel, föreskrivs rättsmedel till eller mot en tillsynsmyndighet vid en påstådd överträdelse av förordningen, utan att det där anges att den registrerade ska ha lidit ”skada” för att kunna väcka talan, i motsats till vad som anges i artikel 82 vad gäller skadeståndstalan. Denna skillnad i formulering visar på betydelsen av kriteriet ”skada”, och således på dess separata karaktär i förhållande till kriteriet ”överträdelse” när det gäller skadeståndsyrkanden med stöd av dataskyddsförordningen.

40      På samma sätt har artiklarna 83 och 84 i dataskyddsförordningen, som gör det möjligt att ålägga administrativa sanktionsavgifter och andra sanktioner, huvudsakligen ett bestraffande syfte och är inte beroende av förekomsten av en individuell skada. Förhållandet mellan de regler som anges i nämnda artikel 82 och reglerna i artiklarna 83 och 84 visar att det föreligger en skillnad mellan dessa båda kategorier av bestämmelser, men även att de kompletterar varandra vad gäller de incitament att iaktta dataskyddsförordningen som de innebär. Rätten för var och en att begära ersättning för skada stärker den ändamålsenliga verkan av de skyddsregler som fastställs i förordningen och är ägnade att avskräcka från att överträdelser upprepas.

41      I skäl 146 fjärde meningen i dataskyddsförordningen anges slutligen att de regler som fastställs i förordningen ska tillämpas utan att påverka skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt.

42      Mot bakgrund av samtliga ovanstående överväganden följer att den första frågan ska besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att enbart den omständigheten att bestämmelserna i denna förordning har åsidosatts inte är tillräcklig i sig för att ge rätt till ersättning.

 Den tredje frågan

43      Den hänskjutande domstolen har ställt den tredje frågan, som ska prövas före den andra frågan, för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att den utgör hinder för nationell lagstiftning, eller praxis, enligt vilken en förutsättning för ersättning för ideell skada, i den mening som avses i denna bestämmelse, är att den skada som den registrerade har lidit är av en viss allvarlighetsgrad.

44      Begreppet skada, och i synnerhet begreppet ideell skada i den mening som avses i artikel 82 i dataskyddsförordningen, ska, såsom påpekats i punkt 30 ovan, med hänsyn till att det saknas hänvisningar till medlemsstaternas interna rätt ges en självständig och enhetlig definition som är specifik för unionsrätten.

45      För det första definieras inte begreppet skada i dataskyddsförordningen för tillämpningen av detta instrument. I artikel 82 i förordningen anges endast uttryckligen att rätt till ersättning kan uppkomma inte bara för ”materiell skada” utan även för ”immateriell skada”, utan att någon allvarlighetsgrad anges.

46      För det andra tyder det sammanhang i vilket denna bestämmelse ingår även på att rätten till ersättning inte är beroende av att skadan i fråga uppnår en viss allvarlighetsgrad. I skäl 146 tredje meningen i dataskyddsförordningen anges nämligen att ”[b]egreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål”. Denna breda tolkning av begreppet skada, som unionslagstiftaren har förespråkat, skulle emellertid motverkas om begreppet begränsades till att endast avse skador av en viss allvarlighetsgrad.

47      För det tredje och sista vinner en sådan tolkning stöd av de mål som eftersträvas med dataskyddsförordningen. I skäl 146 tredje meningen i förordningen anges uttryckligen att begreppet skada, i den mening som avses i förordningen, ska definieras ”på ett sätt som fullt ut återspeglar denna förordnings mål”.

48      Det framgår särskilt av skäl 10 i dataskyddsförordningen att denna förordning bland annat syftar till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer i samband med behandling av personuppgifter inom unionen och för att uppnå detta ändamål säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 101, samt dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter), C‑154/21, EU:C:2023:3, punkt 44 och där angiven rättspraxis).

49      Om rätten till ersättning för ideell skada gjordes beroende av att en viss allvarlighetsgrad måste uppnås skulle det emellertid riskera att undergräva enhetligheten i det system som införts genom dataskyddsförordningen. Tröskeln för när en sådan allvarlighetsgrad är uppnådd, på vilken rätten till ersättning är beroende, skulle nämligen kunna variera beroende på vilken bedömning som görs av de domare som ska döma i målet.

50      Däremot kan denna tolkning inte förstås så, att den innebär att en registrerad som berörs av en sådan överträdelse av dataskyddsförordningen som har haft negativa konsekvenser för vederbörande inte behöver visa att dessa konsekvenser utgör en ideell skada i den mening som avses i artikel 82 i förordningen.

51      Av ovanstående överväganden följer att den tredje frågan ska besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att den utgör hinder för nationell lagstiftning, eller praxis, enligt vilken en förutsättning för ersättning för ideell skada, i den mening som avses i denna bestämmelse, är att den skada som den registrerade har lidit är av en viss allvarlighetsgrad.

 Den andra frågan

52      Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 82 i dataskyddsförordningen ska tolkas så, att de nationella domstolarna, vid beräkningen av det skadeståndsbelopp som ska utges på grund av den rätt till ersättning som följer enligt denna artikel, ska tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, med iakttagande inte bara av principerna om likvärdighet och effektivitet i unionsrätten.

53      Det framgår av domstolens fasta praxis att det i avsaknad av unionsrättsliga bestämmelser på området ankommer på varje medlemsstat att i sin rättsordning fastställa de processuella regler som gäller för talan som syftar till att säkerställa skyddet av enskildas rättigheter, enligt principen om processuell autonomi. Dessa regler får emellertid varken vara mindre förmånliga än dem som reglerar liknande nationella situationer (likvärdighetsprincipen) eller medföra att det i praktiken blir omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten (effektivitetsprincipen) (se, för ett liknande resonemang, dom av den 13 december 2017, El Hassani, C‑403/16, EU:C:2017:960, punkt 26, och dom av den 15 september 2022, Uniqa Versicherungen, C‑18/21, EU:C:2022:682, punkt 36).

54      I förevarande fall ska det påpekas att dataskyddsförordningen inte innehåller någon bestämmelse som har till syfte att fastställa regler för beräkningen av det skadestånd som en registrerad, i den mening som avses i artikel 4 led 1 i förordningen, kan göra anspråk på enligt artikel 82 i förordningen, om en överträdelse av förordningen har orsakat vederbörande skada. I avsaknad av unionsrättsliga bestämmelser på området ankommer det således på varje medlemsstat att i sin rättsordning fastställa villkoren för att väcka talan för att säkerställa skyddet av enskildas rättigheter enligt artikel 82 och, i synnerhet, de kriterier som gör det möjligt att fastställa omfattningen av den ersättning som ska utgå i detta sammanhang, under förutsättning att principerna om likvärdighet och effektivitet iakttas (se, analogt, dom av den 13 juli 2006, Manfredi m.fl., C‑295/04 tillC‑298/04, EU:C:2006:461, punkterna 92 och 98).

55      När det gäller likvärdighetsprincipen har domstolen i förevarande förfarande inte tagit del av några uppgifter som ger anledning att betvivla att nationell lagstiftning som är tillämplig i det nationella målet är förenlig med denna princip och som således kan tyda på att nämnda princip kan ha någon konkret betydelse inom ramen för det nationella målet.

56      När det gäller effektivitetsprincipen ankommer det på den hänskjutande domstolen att fastställa huruvida de villkor som föreskrivs i österrikisk rätt för beräkning av skadestånd på grund av rätten till ersättning enligt artikel 82 i dataskyddsförordningen inte gör det i praktiken omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten, och särskilt av denna förordning.

57      Det ska i detta sammanhang understrykas att det i skäl 146 sjätte meningen i dataskyddsförordningen anges att detta instrument syftar till att registrerade ska ”få full och effektiv ersättning för den skada de lidit”.

58      Med beaktande av den kompensatoriska mekanismen av rätten till ersättning enligt artikel 82 i dataskyddsförordningen, vilken generaladvokaten har hänvisat till i punkterna 39, 49 och 52 i sitt förslag till avgörande ska en ekonomisk ersättning med stöd av denna bestämmelse anses vara ”full och effektiv” om den gör det möjligt att fullt ut kompensera den skada som faktiskt vållats till följd av en överträdelse av denna förordning, utan att det för en sådan fullständig ersättning är nödvändigt att utge skadestånd med bestraffande funktion.

59      Mot bakgrund av samtliga ovanstående överväganden ska den andra frågan besvaras enligt följande. Artikel 82 i dataskyddsförordningen ska tolkas så, att de nationella domstolarna, vid beräkningen av det skadeståndsbelopp som ska utges på grund av den rätt till ersättning som följer enligt denna artikel, ska tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, under förutsättning att principerna om likvärdighet och effektivitet i unionsrätten iakttas.

 Rättegångskostnader

60      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

1)      Artikel 82.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att enbart den omständigheten att bestämmelserna i denna förordning har åsidosatts inte är tillräcklig i sig för att ge rätt till ersättning.

2)      Artikel 82.1 i förordning 2016/679

ska tolkas så,

att den utgör hinder för nationell lagstiftning, eller praxis, enligt vilken en förutsättning för ersättning för ideell skada, i den mening som avses i denna bestämmelse, är att den skada som den registrerade har lidit är av en viss allvarlighetsgrad.

3)      Artikel 82 i förordning nr 2016/679

ska tolkas så,

att de nationella domstolarna, vid beräkningen av det skadeståndsbelopp som ska utges på grund av den rätt till ersättning som följer enligt denna artikel, ska tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, under förutsättning att principerna om likvärdighet och effektivitet i unionsrätten iakttas.

Underskrifter

*      Rättegångsspråk: tyska.