Voorlopige editie
CONCLUSIE VAN ADVOCAAT-GENERAAL
M. COLLINS
van 26 oktober 2023 (1)
Gevoegde zaken C‑182/22 en C‑189/22
JU (C‑182/22),
SO (C‑189/22)
tegen
Scalable Capital GmbH
[verzoek van het Amtsgericht München (rechter in eerste aanleg München, Duitsland) om een prejudiciële beslissing]
„Verzoek om een prejudiciële beslissing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 82, lid 1 – Recht op vergoeding van schade ten gevolge van een gegevensverwerking die inbreuk maakt op deze verordening – Immateriële schade – Diefstal van gegevens – Identiteitsdiefstal of -fraude”
I. Inleiding
1. In de context van twee grotendeels identieke beroepen die door respectievelijk JU (zaak C‑182/22) en SO (zaak C‑189/22) tegen Scalable Capital GmbH zijn ingesteld, vorderen verzoekers vergoeding voor immateriële schade wegens de pijn en het lijden die hun zou zijn berokkend door hetgeen de verwijzende rechter omschrijft als diefstal(2), door onbekende derden, van hun persoonsgegevens die op een door Scalable Capital beheerde handelsapplicatie zijn opgeslagen. De derden hebben de gegevens tot nu toe niet voor frauduleuze of andere doeleinden gebruikt. Het Amtsgericht München (rechter in eerste aanleg München, Duitsland) verzoekt het Hof om uitlegging van het begrip „immateriële schade” in artikel 82 van verordening (EU) 2016/679(3) en de voorwaarden waaronder die schade voor vergoeding in aanmerking komt. De verwijzende rechter wenst met name te vernemen of diefstal van die gegevens „identiteitsdiefstal” als bedoeld in overweging 75 AVG vormt.
II. Toepasselijke bepalingen – Unierecht
2. Overweging 75 AVG luidt als volgt:
„Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; [...].”
3. Overweging 85 AVG luidt:
„Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. [...]”
4. Overweging 146 AVG is als volgt verwoord:
„De verwerkingsverantwoordelijke of de verwerker [moet] alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. [...] Het begrip ‚schade’ moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. [...] De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen.”
5. Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) AVG bepaalt:
„1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
2. Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
3. Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.
[...]”
III. Hoofdgedingen en prejudiciële vragen
6. JU en SO hebben beleggingsrekeningen geopend op een door Scalable Capital beheerde handelsapplicatie. Om hun identiteit te laten verifiëren, heeft elk van beiden persoonsgegevens in de applicatie geregistreerd, waaronder zijn naam, geboortedatum, post- en e-mailadres en een digitale kopie van zijn identiteitskaart.(4) Het staat vast dat onbekende delinquenten die gegevens hebben gestolen.
7. Het Amtsgericht München is van oordeel dat de gestolen gegevens relatief gevoelig zijn en dat JU en SO krachtens artikel 82 AVG recht op schadevergoeding hebben. Aangezien de hoogte van de aan JU en SO toe te kennen schadevergoeding volgens de verwijzende rechter afhangt van de uitlegging van artikel 82 AVG, heeft hij de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
„1) Moet artikel 82 [AVG] aldus worden uitgelegd dat het recht op schadevergoeding, met inbegrip van de vaststelling van de hoogte ervan, geen punitief karakter heeft, met name dat het geen algemene of specifieke afschrikkende werking heeft, maar dat het recht op schadevergoeding slechts een compenserende functie en in sommige gevallen een genoegdoeningsfunctie heeft?
2.a) Moet voor de vaststelling van het recht op vergoeding voor immateriële schade ervan worden uitgegaan dat het ook een individuele genoegdoeningsfunctie heeft, die in casu moet worden opgevat als het strikt persoonlijke belang van de gelaedeerde dat het schadeveroorzakende gedrag wordt bestraft, of heeft het enkel een compenserende functie, die in casu moet worden begrepen als het compenseren van de geleden nadelige gevolgen?
2.b.1) Indien moet worden aangenomen dat het recht op vergoeding voor immateriële schade zowel een compenserende functie als een genoegdoeningsfunctie heeft, moet dan bij de vaststelling ervan worden aangenomen dat de compenserende functie structureel voorrang heeft op de genoegdoeningsfunctie, of althans dat de verhouding tussen die twee functies een verhouding van regel en uitzondering is? Betekent dit dat er slechts sprake is van een genoegdoeningsfunctie wanneer inbreuken opzettelijk zijn begaan of het gevolg van grove nalatigheid zijn?
2.b.2) Indien het recht op vergoeding voor immateriële schade geen genoegdoeningsfunctie heeft, wordt dan bij de vaststelling ervan alleen aan opzettelijke of grove nalatige inbreuken in verband met de gegevensbescherming meer gewicht toegekend bij de beoordeling van de schadeveroorzakende handelingen?
3) Moet de vergoeding voor immateriële schade worden vastgesteld op basis van een structurele rangorde of althans een verhouding van regel en uitzondering, waarbij aan de ervaren nadelige gevolgen van een inbreuk in verband met de gegevensbescherming minder belang wordt toegekend dan aan de met lichamelijke letsels verbonden nadelige gevolgen en pijn?
4) Indien moet worden aangenomen dat er schade is ontstaan, kan een nationale rechter dan in het licht van het niet-ernstige karakter van de schade een schadevergoeding toekennen die materieel gering is en derhalve door de gelaedeerde of in het algemeen als louter symbolisch kan worden ervaren?
5) Moet voor het begrip van de vergoeding voor immateriële schade bij de beoordeling van de gevolgen ervan worden aangenomen dat er slechts sprake is van identiteitsdiefstal in de zin van overweging 75 van de [AVG] wanneer een delinquent de identiteit van de betrokkene daadwerkelijk heeft aangenomen, met andere woorden dat hij zich op een of andere wijze heeft uitgegeven voor de betrokkene, of houdt het enkele feit dat delinquenten inmiddels over gegevens beschikken op basis waarvan de betrokkene kan worden geïdentificeerd, reeds een dergelijke identiteitsdiefstal in?”
IV. Procedure bij het Hof
8. Bij beschikking van 19 april 2022 heeft de president van het Hof de zaken C‑182/22 en C‑189/22 gevoegd voor de schriftelijke en de mondelinge behandeling alsmede voor het arrest.
9. Op 1 juni 2022 heeft de president van het Hof het verzoek van Scalable Capital overeenkomstig artikel 95, lid 2, van het Reglement voor de procesvoering van het Hof van Justitie om over te gaan tot anonimisering van de onderhavige zaak, afgewezen.
10. SO, Scalable Capital, Ierland en de Europese Commissie hebben schriftelijke opmerkingen ingediend.
11. Ik zal eerst ingaan op de geformuleerde bezwaren tegen de ontvankelijkheid van de prejudiciële vragen. Vervolgens zal ik het Hof op zijn verzoek adviseren over de wijze waarop het de vijfde vraag zou moeten beantwoorden.
V. Beoordeling
A. Ontvankelijkheid
12. Volgens Scalable Capital leidt het verlies van controle over persoonsgegevens zonder verdere gevolgen voor de betrokkene niet tot immateriële schade in de zin van artikel 82, lid 1, AVG. De bewoordingen, de algemene opzet en het doel van artikel 82 AVG bieden geen steun voor het bestaan van een vermoeden dat dergelijke schade zich voordoet ten gevolge van een dergelijk verlies van controle. De verwijzende rechter heeft derhalve ten onrechte aangenomen dat JU en SO immateriële schade hebben geleden. De verzoeken om een prejudiciële beslissing zijn bijgevolg irrelevant voor de beslechting van de bij de verwijzende rechter aanhangige gedingen en zijn dan ook niet-ontvankelijk.
13. Volgens de Commissie is het onduidelijk of de vijfde vraag relevant is voor de beslechting van de bij de verwijzende rechter aanhangige gedingen. De verwijzende rechter verwijst louter naar de uiteenlopende uitleggingen van het recht door partijen en merkt op dat „er alleen sprake is van identiteitsdiefstal wanneer onrechtmatig verkregen gegevens worden gebruikt om zich voor te doen als de betrokkene”. Met de vijfde vraag wordt het Hof evenmin verzocht om een specifieke bepaling van de AVG uit te leggen.
14. Volgens vaste rechtspraak van het Hof geldt er een vermoeden van relevantie voor vragen over de uitlegging van het Unierecht die de nationale rechter heeft gesteld. Het Hof kan slechts weigeren uitspraak te doen over dergelijke vragen wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht kennelijk geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die het nodig heeft om een nuttig antwoord te geven op de gestelde vragen.(5)
15. De door Scalable Capital aangevoerde exceptie van niet-ontvankelijkheid van alle prejudiciële vragen is gebaseerd op haar uitlegging van artikel 82 AVG, het recht op schadevergoeding en het gestelde ontbreken van immateriële schade. De prejudiciële vragen hebben betrekking op het recht van betrokkenen op schadevergoeding krachtens artikel 82 AVG. De vaststelling van het bestaan van schade is een noodzakelijke voorwaarde om schadevergoeding te krijgen.(6) De door Scalable Capital opgeworpen exceptie van niet-ontvankelijkheid van de verzoeken om een prejudiciële beslissing raakt dus de kern van de vragen die daarin aan de orde zijn gesteld. Naar hun aard kunnen argumenten met betrekking tot de kern van de in een verzoek om een prejudiciële beslissing aan de orde gestelde vragen niet van invloed zijn op de ontvankelijkheid van dat verzoek.(7)
16. Wat de door de Commissie aangevoerde exceptie van niet-ontvankelijkheid van de vijfde vraag betreft, ligt het niet voor de hand dat deze vraag geen verband houdt met de gedingen voor de verwijzende rechter of van hypothetische aard is. Bij de verwijzende rechter zijn vorderingen tot schadevergoeding op grond van de AVG ingesteld. Partijen twisten over de vraag of diefstal van persoonsgegevens kan worden aangemerkt als identiteitsdiefstal als bedoeld in overweging 75 AVG dan wel of er slechts sprake is van identiteitsdiefstal „wanneer een delinquent daadwerkelijk de identiteit van de betrokkene heeft aangenomen”(8). De uiteenzettingen van de verwijzende rechter over zijn vijfde vraag zijn weliswaar summier, maar uit de verzoeken om een prejudiciële beslissing blijkt dat die vraag verband houdt met zijn andere vier vragen over het begrip „immateriële schade” en het recht op schadevergoeding krachtens artikel 82 AVG.
17. Derhalve geef ik het Hof in overweging de verschillende excepties betreffende de ontvankelijkheid van de vragen van het Amtsgericht München af te wijzen.
B. Ten gronde
1. Opmerkingen van partijen
18. Volgens SO maakt overweging 85 AVG een duidelijk onderscheid tussen identiteitsdiefstal en identiteitsfraude. Identiteitsdiefstal veronderstelt dat de delinquent misbruik kan maken van iemands identiteit door anderen daaromtrent te misleiden. Na identiteitsdiefstal kan identiteitsfraude worden gepleegd. Hieruit volgt dat identiteitsdiefstal niet vereist dat daadwerkelijk misbruik wordt gemaakt van iemands identiteit. De aard en de omvang van de gestolen gegevens in deze zaak doen vermoeden dat er identiteitsdiefstal heeft plaatsgevonden, hetgeen recht op schadevergoeding geeft.
19. Scalable Capital voert aan dat identiteitsdiefstal plaatsvindt wanneer iemand misbruik maakt van de persoonsgegevens van een ander om „zich voor te doen als„ die andere persoon. De diefstal van bepaalde gegevens kan identiteitsdiefstal met zich meebrengen of mogelijk maken, maar vormt op zich geen identiteitsdiefstal. Deze benadering vindt steun in een systematische uitlegging van overweging 75 AVG, aangezien uit de andere voorbeelden in deze overweging blijkt dat de mogelijkheid om gebruik te maken van bepaalde persoonsgegevens geen identiteitsdiefstal vormt. Artikel 82 AVG beoogt vergoeding toe te kennen voor schade die personen daadwerkelijk lijden Een ruime uitlegging van het begrip „identiteitsdiefstal” strookt niet met dit doel, aangezien daardoor een vordering tot schadevergoeding zou worden gegrond op de abstracte mogelijkheid dat er zich in de toekomst schade zou kunnen voordoen.
20. Ierland stelt zich op het standpunt dat identiteitsdiefstal verwijst naar situaties waarin een partij daadwerkelijk de identiteit aanneemt van degene wiens gegevens wederrechtelijk zijn toegeëigend. Om te kunnen spreken van identiteitsdiefstal volstaat het dus niet dat een partij beschikt over identificatiegegevens van een persoon. Vergoeding voor immateriële schade op grond van artikel 82 AVG moet hoe dan ook per geval ten gronde worden beoordeeld.
21. De Commissie merkt op dat de AVG geen definitie van identiteitsdiefstal bevat. De overwegingen 75 en 85 AVG verwijzen naar identiteitsdiefstal als een voorbeeld van persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade. Volgens de Commissie is de in deze overwegingen bedoelde identiteitsdiefstal onrechtmatige verkrijging van gegevens om „zich voor te doen als„ de betrokkene.(9) Om identiteitsdiefstal te bewijzen, moet de bedoeling van de auteur van de handeling om zich als de betrokkene voor te doen worden aangetoond aan de hand van concrete handelingen of voorbereidende handelingen daartoe. Aangezien schade volgens vaste rechtspraak „reëel en zeker” moet zijn(10), kan het enkele bezit van identificatiegegevens van de betrokkene zonder stappen te ondernemen om zich voor de betrokkene uit te geven, geen identiteitsdiefstal vormen.
2. Analyse
22. De verwijzende rechter wenst met zijn vijfde vraag te vernemen of de enkele diefstal van de gevoelige persoonsgegevens(11) van betrokkene door een onbekende delinquent identiteitsdiefstal vormt die recht geeft op schadevergoeding, dan wel of er slechts sprake is van identiteitsdiefstal indien de delinquent zich daadwerkelijk de identiteit van de betrokkene toe-eigent of daartoe stappen zet. Deze vraag is gerezen bij de vaststelling dat onbekende delinquenten bepaalde gevoelige persoonsgegevens van JU en SO hadden gestolen op de handelsapplicatie van Scalable Capital. Hoewel het er niet op lijkt dat gebruik (misbruik) is gemaakt van de gegevens, kan dergelijk gebruik (misbruik) in de toekomst niet worden uitgesloten aangezien de identiteit van de delinquenten nog steeds onbekend is en zij nog niet zijn aangehouden.
23. Artikel 82 AVG bevestigt in ruime(12) bewoordingen dat elke betrokkene die „materiële of immateriële schade” heeft geleden ten gevolge van een inbreuk op de AVG, recht heeft op schadevergoeding, en verdeelt de aansprakelijkheid tussen de verwerkingsverantwoordelijke(n) en/of de verwerker(s). In deze bepaling is noch de specifieke aard, noch de vorm van die schade gepreciseerd. De AVG verwijst voor de omschrijving van de betekenis en de draagwijdte van de term „immateriële schade” niet naar het recht van de lidstaten.(13) Deze term moet derhalve worden beschouwd als een autonoom Unierechtelijke begrip dat in alle lidstaten uniform moet worden uitgelegd.(14)
24. Schadevergoeding op grond van artikel 82 AVG is verschuldigd indien wordt bewezen dat er een inbreuk op de AVG, „daadwerkelijk geleden schade” en een causaal verband tussen die inbreuk en die schade bestaan.(15) De AVG voorziet niet in een stelsel van risicoaansprakelijkheid.(16) De compensatoire aard van de bij artikel 82, lid 1, AVG ingevoerde regeling sluit ook de toekenning van punitieve schadevergoeding uit.(17) Een dergelijke vergoeding moet volledig en daadwerkelijk zijn, hetgeen vereist dat „de ten gevolge van de inbreuk [op de AVG] werkelijk geleden schade volledig [wordt vergoed]”.(18) De door de betrokkene geleden immateriële schade hoeft niet een bepaalde mate van ernst te bereiken.(19) Hoewel er geen sprake is van een de-minimisdrempel met betrekking tot de omvang van immateriële schade, moeten er duidelijke en nauwkeurige bewijzen voorliggen dat de betrokkene die schade heeft geleden. Potentiële of hypothetische schade(20), of louter ongerustheid over de diefstal van iemands persoonsgegevens is ontoereikend.
25. Artikel 82, lid 3, AVG stelt een verwerkingsverantwoordelijke of verwerker vrij van aansprakelijkheid „indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit”. Het Hof heeft nog niet de gelegenheid gehad om artikel 82, lid 3, AVG nader te onderzoeken. Een letterlijke uitlegging van deze bepaling lijkt te suggereren dat elke nalatigheid (medeschuld) of fout van de verwerkingsverantwoordelijke of de verwerker volstaat om de toepassing van de vrijstelling uit te sluiten. Voorts kan de bewijslast(21) die deze bepaling oplegt aan verwerkingsverantwoordelijken of verwerkers die willen gebruikmaken van de vrijstelling, vereisen dat doorlopende maatregelen worden opgelegd om inbreuken in verband met persoonsgegevens te voorkomen.(22)
26. Diefstal van persoonsgegevens van de betrokkene geeft recht op vergoeding voor immateriële schade krachtens artikel 82, lid 1, AVG indien aan de drie voorwaarden van het arrest Österreichische Post(23) is voldaan. In overweging 7 AVG staat dat „[n]atuurlijke personen [...] controle over hun eigen persoonsgegevens [dienen] te hebben”. De omstandigheid dat de betrokkenen „worden verhinderd controle over hun persoonsgegevens uit te oefenen”(24) of dat natuurlijke personen „controle over hun persoonsgegevens [verliezen]”(25), kan resulteren in immateriële schade. In dat verband wenst de verwijzende rechter te vernemen of diefstal van persoonsgegevens identiteitsdiefstal vormt.
27. Het dispositief van de AVG bevat geen verwijzing naar of een definitie van „identiteitsdiefstal”. In de overwegingen 75 en 85 AVG wordt alleen verwezen naar „identiteitsdiefstal of -fraude”. Overweging 75 noemt „identiteitsdiefstal of -fraude” in een niet-uitputtende lijst van voorbeelden(26)van risico’s voor de rechten en vrijheden van natuurlijke personen die voortvloeien uit de verwerking van hun persoonsgegevens. In overweging 85 AVG wordt enkel verwezen naar „identiteitsdiefstal of -fraude” als een voorbeeld(27)van schade die ontstaat wanneer een inbreuk in verband met persoonsgegevens niet tijdig en op passende wijze wordt aangepakt.(28)
28. Een aantal overwegingen(29) en bepalingen(30) in andere Uniewetgeving verwijzen naar begrippen zoals „identiteitsdiefstal”(31), „identiteitsfraude” en „identiteitsdiefstal of -fraude”.(32) Ik heb geen Unierechtelijke bepaling gevonden waarin die termen zijn gedefinieerd.(33)De Uniewetgever verwijst dus naar die termen bij wijze van voorbeeld.(34)
29. Dit volgt ook duidelijk uit de verschillende taalversies van deze termen in de overwegingen 75 en 85 AVG. Terwijl de Duitse (Identitätsdiebstahl oder -betrug), de Engelse (identity theft or fraud), de Estse (identiteedivargust või -pettust), de Ierse (goid aitheantais nó calaois aitheantais), de Litouwse (būti pavogta ar suklastota tapatybė), de Nederlandse (identiteitsdiefstal of -fraude), de Poolse (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), de Roemeense (furt sau fraudă a identității) en de Slowaakse (krádeži totožnosti alebo podvodu) taalversies grotendeels met elkaar overeenstemmen, wijken andere taalversies in mindere of meerdere mate daarvan af: Tsjechisch (krádeži či zneužití identity), Frans (vol ou une usurpation d’identité), Grieks (κατάχρηση ή υποκλοπή ταυτότητας), Portugees (usurpação ou roubo da identidade), Italiaans (furto o usurpazione d’identità) en Spaans (usurpación de identidad o fraude). Uit de verschillende taalversies van de betreffende overwegingen van de AVG blijkt dat de termen identiteitsdiefstal, identiteitsfraude, identiteitsmisbruik, onrechtmatig gebruik van identiteit en toe-eigening van identiteit elkaar overlappen en, althans tot op zekere hoogte, als onderling uitwisselbaar kunnen worden beschouwd. Hieruit volgt dat de overwegingen 75 en 85 AVG, anders dan SO betoogt in punt 18 van deze conclusie, geen duidelijk onderscheid maken tussen identiteitsdiefstal en identiteitsfraude.
30. De overwegingen 75 en 85 AVG maken een onderscheid tussen het voorbeeld „verlies van controle” of verhinderd worden „controle [...] uit te oefenen” over persoonsgegevens enerzijds en het voorbeeld „identiteitsdiefstal of -fraude” anderzijds. Bijgevolg vormt diefstal van persoonsgegevens(35) op zichzelf geen identiteitsdiefstal, ook al kan diefstal van persoonsgegevens ertoe leiden dat die gegevens in de toekomst worden gebruikt of misbruikt. Identiteitsdiefstal vereist een extra handeling of stap met nadelige gevolgen voor de betrokkene die verder gaan dan diefstal van persoonsgegevens.(36) Een persoon die persoonsgegevens van een betrokkene steelt, moet die gegevens zonder diens toestemming voor onrechtmatige doeleinden gebruiken of misbruiken of daartoe concrete stappen nemen.(37) Een dergelijke handeling komt doorgaans neer op fraude of enige andere vorm van bedrog en wordt in het algemeen verricht voor financieel of ander gewin of om de betrokkene of zijn entourage te benadelen.(38)
31. Uit het voorgaande volgt dat diefstal van persoonsgegevens weliswaar geen identiteitsdiefstal of -fraude vormt, maar wel kan resulteren in immateriële schade en recht op schadevergoeding krachtens artikel 82, lid 1, AVG kan geven.(39) Immateriële schade kan wellicht gemakkelijker worden aangetoond wanneer is vastgesteld dat een betrokkene het slachtoffer van identiteitsdiefstal of -fraude is geworden doordat zijn of haar persoonsgegevens zijn gestolen.(40) Een recht op vergoeding voor immateriële schade krachtens artikel 82, lid 1, AVG vanwege diefstal van persoonsgegevens hangt echter niet af van het bestaan van identiteitsdiefstal of -fraude.(41) Immateriële schade en het recht op schadevergoeding krachtens artikel 82, lid 1, AVG dienen per geval te worden beoordeeld, waarbij alle relevante omstandigheden in aanmerking moeten worden genomen.
VI. Conclusie
32. Gelet op het voorgaande geef ik het Hof in overweging de vijfde prejudiciële vraag van het Amtsgericht München te beantwoorden als volgt:
„Artikel 82, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)
moet aldus worden uitgelegd dat
diefstal van gevoelige persoonsgegevens van een betrokkene door een onbekende delinquent recht kan geven op vergoeding voor immateriële schade, indien wordt aangetoond dat er een inbreuk op de algemene verordening gegevensbescherming, daadwerkelijk geleden schade en een causaal verband tussen de schade en die inbreuk bestaan. Voor de toekenning van die vergoeding is niet vereist dat de delinquent de identiteit van de betrokkene aanneemt en het bezit van identificatiegegevens van de betrokkene houdt op zich geen identiteitsdiefstal in.”