Language of document : ECLI:EU:C:2023:1022

DOMSTOLENS DOM (tredje avdelningen)

den 21 december 2023 (*)

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 6.1 – Villkoren för laglig behandling – Artikel 9.1–9.3 – Behandling av särskilda kategorier av uppgifter – Personuppgifter om hälsa – Bedömning av en anställds arbetskapacitet – Läkartjänst för sjukförsäkring vilken behandlar uppgifter om sina egna anställdas hälsa – Laglighet och villkor för en sådan behandling – Artikel 82.1 – Rätt till ersättning och ansvar – Ersättning för immateriell skada – Kompenserande funktion – Betydelse av fel som begåtts av den personuppgiftsansvarige”

I mål C‑667/21,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland) genom beslut av den 26 augusti 2021, som inkom till domstolen den 8 november 2021, i målet

ZQ

mot

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

meddelar

DOMSTOLEN (tredje avdelningen)

sammansatt av avdelningsordföranden K. Jürimäe samt domarna N. Piçarra, M. Safjan, N. Jääskinen (referent) och M. Gavalec,

generaladvokat: M. Campos Sánchez-Bordona,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

–        ZQ, genom E. Daun, Rechtsanwalt,

–        Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, genom M. Wehner, Rechtsanwalt,

–        Irland, genom M. Browne, Chief State Solicitor, A. Joyce och M. Lane, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL,

–        Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av M. Russo, avvocato dello Stato,

–        Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 25 maj 2023 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artikel 9.1, 9.2 h och 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen), jämförd med artikel 6.1 i samma förordning, samt tolkningen av artikel 82.1 i förordningen.

2        Begäran har framställts i ett mål mellan ZQ och hans arbetsgivare Medizinischer Dienst der Krankenversicherung Nordrhein (sjukförsäkringskassan i Nordrhein, Tyskland) (nedan kallad MDK Nordrhein). Målet rör ersättning för den skada som ZQ påstår sig ha lidit till följd av den otillåtna behandling av uppgifter om hans hälsa, som MDK Nordrhein ska ha gjort sig skyldig till.

 Tillämpliga bestämmelser

 Unionsrätt

3        Skälen 4–8, 10, 35, 51–53, 75 och 146 i dataskyddsförordningen har följande lydelse:

”(4)      Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i [Europeiska unionens stadga om de grundläggande rättigheterna], såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, … skydd av personuppgifter …

(5)      Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela [Europeiska] unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6)      Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över. Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt som en hög skyddsnivå säkerställs för personuppgifter.

(7)      Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)      Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. … Denna förordning ger dessutom medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade känsliga uppgifter). …

(35) Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. …

(51)      Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. … Utöver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov …

(52)      Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. …

(53)      Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system, inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg … Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. …

(75)      Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar … uppgifter om hälsa … om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, … i syfte att skapa eller använda personliga profiler, …

(146)      Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. …”

4        I kapitel I i förordningen, som innehåller ”allmänna bestämmelser”, återfinns artikel 2, med rubriken ”Materiellt tillämpningsområde”, där följande föreskrivs i punkt 1:

”Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.”

5        I artikel 4 i förordningen, med rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

1)      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …

2)      behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, …

7)      personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter;

15)      uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,

…”

6        Kapitel II i dataskyddsförordningen, som gäller ”[p]rinciper”, innehåller artiklarna 5–11.

7        I artikel 5 i dataskyddsförordningen, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”1.      Vid behandling av personuppgifter ska följande gälla:

a)      Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

f)      De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.      Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

8        I artikel 6 i förordningen, med rubriken ”Laglig behandling av personuppgifter”, föreskrivs följande i punkt 1:

”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)      Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)      Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)      Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)      Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)      Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f)      Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.”

9        I artikel 9 i samma förordning, med rubriken ”Behandling av särskilda kategorier av personuppgifter”, föreskrivs följande:

”1.      Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.      Punkt 1 ska inte tillämpas om något av följande gäller:

b)      Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

h)      Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

3.      Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

4.      Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.”

10      Kapitel IV i dataskyddsförordningen, med rubriken ”Personuppgiftsansvarig och personuppgiftsbiträde”, innehåller artiklarna 24–43.

11      I avsnitt 1 i detta kapitel, med rubriken ”Allmänna skyldigheter”, återfinns artikel 24, som har rubriken ”Den personuppgiftsansvariges ansvar”, där följande föreskrivs i punkt 1:

”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”

12      I avsnitt 2 i nämnda kapitel, med rubriken ”Säkerhet för personuppgifter”, återfinns artikel 32, som i sin tur har rubriken ”Säkerhet i samband med behandlingen”, där följande föreskrivs i punkt 1:

”Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a)      pseudonymisering och kryptering av personuppgifter,

b)      förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

…”

13      Kapitel VIII i dataskyddsförordningen, med rubriken ”Rättsmedel, ansvar och sanktioner”, innehåller artiklarna 77–84.

14      I artikel 82 i förordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande:

”1.      Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.      Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. …

3.      Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

…”

15      I artikel 83 i dataskyddsförordningen, med rubriken ”Allmänna villkor för påförande av administrativa sanktionsavgifter”, föreskrivs följande:

”1.      Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande.

2.      … Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a)      Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b)      Om överträdelsen skett med uppsåt eller genom oaktsamhet.

d)      Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.

k)      Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

3.      Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

…”

16      I artikel 84 i förordningen, med rubriken ”Sanktioner”, föreskrivs följande i punkt 1:

”Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.”

 Tysk rätt

17      Enligt 275 § 1 Sozialgesetzbuch, Fünftes Buch (sociallagen, femte boken), i den lydelse som är tillämplig i det nationella målet, är försäkringskassorna inom den obligatoriska sjukförsäkringen skyldiga att från en så kallad Medizinischer Dienst (läkartjänst), som bistår dem, inhämta ett sakkunnigutlåtande för att skingra tvivel om den försäkrades arbetsoförmåga, i de fall som anges i lag eller när dennes sjukdom så kräver.

18      I 278 § 1 i denna lag föreskrivs att en sådan läkartjänst ska inrättas i varje tysk delstat i form av ett offentligrättsligt organ.

 Målet vid den nationella domstolen och tolkningsfrågorna

19      Det offentligrättsliga organet MDK Nordrhein har, i egenskap av läkartjänst för sjukförsäkringskassorna, enligt lag bland annat till uppgift att avge medicinska sakkunnigutlåtanden för att skingra tvivlen om huruvida personer som är försäkrade genom de sjukförsäkringskassor som omfattas av dess arbetsområde verkligen är arbetsoförmögna. Detta gäller även om dessa sakkunnigutlåtanden gäller dess egna anställda.

20      I ett sådant fall är endast medlemmarna i en särskild enhet, kallad ”Organisationsenheten Specialfall”, behöriga att behandla den anställdes ”sociala” uppgifter, med användning av en låsbar domän i organets informationssystem, och att få tillgång till digitala arkiv efter det att sakkunnigutredningen har avslutats. I en intern tjänsteanteckning avseende dessa fall anges bland annat att ett begränsat antal behöriga tjänstemän, däribland vissa anställda vid IT‑avdelningen, ska ha tillgång till dessa uppgifter.

21      Klaganden i det nationella målet arbetade vid MDK Nordrheins IT‑avdelning innan han av medicinska skäl blev arbetsoförmögen. I slutet av det halvår under vilket detta organ, i egenskap av arbetsgivare, fortsatte att betala ut lön till honom började den obligatoriska försäkringskassa som han var ansluten till att betala ut sjukersättning till honom.

22      Denna försäkringskassa begärde då att MDK Nordrhein skulle inhämta ett sakkunnigutlåtande angående klagandens arbetsoförmåga. En läkare som var verksam inom MDK Nordrheins organisationsenhet för ”specialfall” genomförde sakkunnigutredningen, bland annat genom att inhämta upplysningar från klagandens behandlande läkare. När klaganden informerades om detta av sin behandlande läkare kontaktade han en av sina kolleger vid IT‑avdelningen. Han bad henne att fotografera det sakkunnigutlåtande som fanns i MDK Nordrheins digitala arkiv och att därefter ge honom dessa foton.

23      Klaganden ansåg att dessa uppgifter rörde hans hälsa och att de behandlats olagligt av hans arbetsgivare. Han begärde därför att arbetsgivaren skulle utge ersättning till honom med ett belopp på 20 000 euro, vilket MDK Nordrhein vägrade.

24      Klaganden väckte därefter talan vid Arbeitsgericht Düsseldorf (Arbetsdomstolen i Düsseldorf, Tyskland) och yrkade, med stöd av artikel 82.1 i dataskyddsförordningen och av bestämmelser i tysk rätt, att MDK Nordrhein skulle förpliktas att ersätta den skada som han påstod sig ha lidit till följd av den behandling av personuppgifter som hade utförts. Han gjorde i huvudsak gällande dels att det aktuella sakkunnigutlåtandet borde ha genomförts av en annan läkartjänst för att förhindra att hans kolleger fick tillgång till uppgifter om hans hälsa, dels att de säkerhetsåtgärder som omgärdar arkiveringen av expertutlåtandet var otillräckliga. Han anförde även att denna behandling utgjorde ett åsidosättande av de rättsregler varigenom sådana uppgifter skyddas, vilket hade orsakat honom såväl immateriell som materiell skada.

25      MDK Nordrhein gjorde till sitt försvar i huvudsak gällande att insamlingen och lagringen av uppgifter om klagandens hälsa hade genomförts i enlighet med bestämmelserna om skydd för sådana uppgifter.

26      Sedan hans talan ogillats i första instans, överklagade klaganden till Landesarbeitsgericht Düsseldorf (Arbetsöverdomstolen i Düsseldorf, Tyskland), som avslog överklagandet. Han överklagade då till Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland), som är den hänskjutande domstolen i förevarande mål.

27      Sistnämnda domstol utgår från antagandet att det sakkunnigutlåtande som MDK Nordrhein utfärdade i egenskap av läkartjänst, utgör en ”behandling” av ”personuppgifter”, närmare bestämt ”uppgifter om hälsa”, i den mening som avses i artikel 4 leden 1, 2 och 15 i dataskyddsförordningen. Sakkunnigutlåtandet omfattas således av dataskyddsförordningens materiella tillämpningsområde, såsom detta definieras i artikel 2.1 i förordningen. Den hänskjutande domstolen anser dessutom att MDK Nordrhein är ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i förordningen.

28      Den hänskjutande domstolens frågeställningar avser för det första tolkningen av flera bestämmelser i artikel 9 i dataskyddsförordningen, vilken avser behandling av särskilda kategorier av personuppgifter, bland annat med beaktande av att den behandling som är aktuell i det nationella målet har utförts av ett organ som även är den registrerades arbetsgivare, såsom denna definieras i artikel 4 led 1 i förordningen.

29      Den hänskjutande domstolen tvivlar på att den behandling av uppgifter om hälsa som är aktuell i det nationella målet kan omfattas av något av de undantag som föreskrivs i artikel 9.2 i dataskyddsförordningen. Enligt den hänskjutande domstolen är endast undantagen i punkt 2 b och h i denna artikel relevanta i förevarande fall. Enligt den hänskjutande domstolen är det emellertid uteslutet att tillämpa undantaget i artikel 9.2 b i förevarande fall, eftersom den behandling som är aktuell i det nationella målet inte var nödvändig för att den personuppgiftsansvarige skulle kunna fullgöra sina skyldigheter och utöva sina rättigheter, i egenskap av den registrerades arbetsgivare. Det var nämligen ett annat organ som hade tagit initiativ till denna behandling genom att be MDK Nordrhein att i egenskap av läkartjänst genomföra en undersökning. Samtidigt som den hänskjutande domstolen är benägen att inte heller tillämpa undantaget i artikel 9.2 h – eftersom den anser att endast behandling som utförs av en ”neutral tredje part” bör kunna omfattas av detta och att ett organ inte borde kunna grunda sig på sin ”dubbla funktion” som arbetsgivare och läkartjänst för att kunna avvika från förbudet mot en sådan behandling – är den inte helt säker i detta avseende.

30      För det fall behandling av hälsouppgifter under sådana omständigheter är tillåten enligt artikel 9.2 h i dataskyddsförordningen, vill den hänskjutande domstolen vidare få klarhet i vilka bestämmelser om skydd av hälsouppgifter som ska iakttas i detta sammanhang. Enligt den hänskjutande domstolen innebär denna förordning att det inte är tillräckligt att den personuppgiftsansvarige uppfyller kraven i artikel 9.3 i förordningen. Den ansvarige ska dessutom säkerställa att ingen av den registrerades kollegor på något sätt kan få tillgång till uppgifter om vederbörandes hälsotillstånd.

31      Med utgångspunkt i samma antagande vill den hänskjutande domstolen slutligen få klarhet i huruvida åtminstone ett av villkoren i artikel 6.1 i dataskyddsförordningen dessutom måste vara uppfyllt för att en sådan behandling ska vara laglig. Enligt den hänskjutande domstolen borde detta vara fallet och i det nationella målet kan i princip endast leden c och e i artikel 6.1 första stycket vara relevanta. Dessa två led bör emellertid inte tillämpas, eftersom behandlingen i fråga inte är ”nödvändig” i den mening som avses i dessa bestämmelser. Den skulle nämligen lika väl kunna utföras av en annan läkartjänst än MDK Nordrhein.

32      För det andra vill den hänskjutande domstolen, för det fall det skulle anses föreligga ett åsidosättande av dataskyddsförordningen i förevarande fall, få klarhet i vilken ersättning klaganden eventuellt skulle ha rätt till enligt artikel 82 i denna förordning.

33      Den hänskjutande domstolen vill dels få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska ha en avskräckande eller bestraffande verkan, utöver dess reparativa funktion, och, i förekommande fall, huruvida denna verkan ska beaktas vid fastställandet av det skadestånd som ska utgå för immateriell skada, särskilt med hänsyn till principerna om effektivitet, proportionalitet och likvärdighet, vilka har stadfästs på andra områden av unionsrätten.

34      Den hänskjutande domstolen anser dels att den personuppgiftsansvarige torde kunna hållas ansvarig med stöd av nämnda artikel 82.1, utan att det måste visas att den personuppgiftsansvarige har gjort fel. Den hänskjutande domstolen hyser emellertid tvivel, främst med hänsyn till tysk rätt, huruvida det är nödvändigt att kontrollera att den aktuella överträdelsen av dataskyddsförordningen kan tillskrivas den personuppgiftsansvarige på grund av uppsåtlig eller vårdslös handling från dennes sida och huruvida felets svårighetsgrad kan påverka vilket skadestånd som utges som ersättning för immateriell skada.

35      Mot denna bakgrund beslutade Bundesarbeitsgericht (Federala arbetsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1)      Ska artikel 9.2 h i dataskyddsförordningen tolkas så, att en läkartjänst (Medizinischer Dienst) för en sjukförsäkringskassa inte får behandla en av sina arbetstagares uppgifter om hälsa, vilka är nödvändiga för att denna arbetstagares arbetskapacitet ska kunna bedömas?

2)      För det fall domstolen besvarar den första frågan nekande och detta får till följd att ett undantag från det förbud mot behandling av uppgifter om hälsa som föreskrivs i artikel 9.1 i dataskyddsförordningen skulle komma i fråga enligt artikel 9.2 h i denna förordning: Ska, i ett fall som det förevarande, ytterligare krav i fråga om dataskydd beaktas utöver dem som anges i artikel 9.3 i dataskyddsförordningen och i så fall vilka krav?

3)      För det fall domstolen besvarar den första frågan nekande och detta får till följd att ett undantag från det förbud mot behandling av uppgifter om hälsa som föreskrivs i artikel 9.1 i dataskyddsförordningen skulle komma i fråga enligt artikel 9.2 h i denna förordning: Krävs det, i ett fall som det förevarande, att minst ett av de villkor som nämns i artikel 6.1 i dataskyddsförordningen ska vara uppfyllt för att behandlingen av uppgifter om hälsa ska vara tillåten och laglig?

4)      Är artikel 82.1 i dataskyddsförordningen av individuell- eller allmänpreventiv karaktär, och ska detta beaktas vid bedömningen av omfattningen av den immateriella skada som den personuppgiftsansvarige eller personuppgiftsbiträdet ska ersätta enligt artikel 82.1 i dataskyddsförordningen?

5)      Har det, för bedömningen av omfattningen av den immateriella skada som ska ersättas enligt artikel 82.1 i dataskyddsförordningen, betydelse i vilken grad den personuppgiftsansvarige eller personuppgiftsbiträdet har gjort fel? Får, till fördel för den personuppgiftsansvarige eller personuppgiftsbiträdet, i synnerhet hänsyn tas till att denne inte har gjort fel eller gjort fel endast i ringa omfattning?”

 Prövning av tolkningsfrågorna

 Den första frågan

36      Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 9.2 h i dataskyddsförordningen, med hänsyn till förbudet mot behandling av uppgifter om hälsa i artikel 9.1 i denna förordning, ska tolkas så, att det undantag som föreskrivs i artikel 9.2 h är tillämpligt på situationer där ett organ för medicinsk kontroll behandlar uppgifter om en av sina anställdas hälsa i egenskap av läkartjänst och inte i egenskap av arbetsgivare, för att bedöma den anställdes arbetskapacitet.

37      Vid tolkningen av en unionsbestämmelse ska enligt fast rättspraxis inte bara lydelsen beaktas, utan också det sammanhang i vilket bestämmelsen förekommer samt de mål och syften som eftersträvas med de föreskrifter som bestämmelsen ingår i. Även tillkomsthistorien avseende en unionsbestämmelse kan vara relevant för tolkningen av densamma (dom av den 16 mars 2023, Towercast, C‑449/21, EU:C:2023:207, punkt 31 och där angiven rättspraxis).

38      För det första ska det erinras om att artikel 9 i dataskyddsförordningen, såsom framgår av dess rubrik, avser ”[b]ehandling av särskilda kategorier av personuppgifter”, vilka i skälen 10 och 51 i förordningen även betecknas som ”känsliga” uppgifter.

39      I skäl 51 i dataskyddsförordningen anges att personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande fri- och rättigheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för dessa grundläggande fri- och rättigheter.

40      I artikel 9.1 i dataskyddsförordningen uppställs således som huvudregel att behandling av de särskilda kategorier av personuppgifter som anges i den bestämmelsen är förbjuden. Bland de sistnämnda återfinns ”uppgifter om hälsa”, såsom de definieras i artikel 4 led 15 i förordningen, jämförd med skäl 35 i samma förordning, vilka utgör föremål för förevarande mål.

41      Domstolen har preciserat att syftet med artikel 9.1 i dataskyddsförordningen är att säkerställa ett utökat skydd mot behandling som, på grund av att de uppgifter som behandlas är särskilt känsliga, kan utgöra ett synnerligen allvarligt ingrepp i de grundläggande rättigheter avseende respekt för privatlivet och skydd för personuppgifter som garanteras genom artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna (se, för ett liknande resonemang, dom av den 5 juni 2023, kommissionen/Polen (Domares oavhängighet och privatliv), C‑204/21, EU:C:2023:442, punkt 345 och där angiven rättspraxis).

42      I artikel 9.2 a–j i dataskyddsförordningen anges emellertid en uttömmande uppräkning av undantag från huvudregeln om förbud mot behandling av sådana känsliga uppgifter.

43      Enligt artikel 9.2 h i dataskyddsförordningen tillåts sådan behandling om den är ”nödvändig av skäl som hör samman med [bland annat] bedömningen av en arbetstagares arbetskapacitet, … på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet”. I denna bestämmelse anges särskilt att all behandling som genomförs med stöd av densamma endast är tillåten ”under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 [i artikel 9] är uppfyllda”.

44      Det följer av artikel 9.2 h i dataskyddsförordningen, jämförd med punkt 3 i samma artikel, att möjligheten att behandla känsliga uppgifter, såsom uppgifter om hälsa, är strikt reglerad av ett antal kumulativa villkor. Dessa villkor avser i) de syften som räknas upp i nämnda led h, däribland bedömningen av en arbetstagares arbetskapacitet; ii) den rättsliga grunden för behandlingen, som kan vara unionsrätten, medlemsstaternas nationella rätt eller avtal med yrkesverksamma på hälsoområdet, enligt samma led h, och slutligen iii) den sekretess som åläggs de personer som är behöriga att utföra en sådan behandling enligt nämnda artikel 9.3, eftersom alla dessa personer omfattas av tystnadsplikt enligt sistnämnda bestämmelse.

45      Såsom generaladvokaten har framhållit i punkterna 32 och 33 i sitt förslag till avgörande ger varken ordalydelsen i artikel 9.2 h i dataskyddsförordningen eller bestämmelsens tillkomsthistoria vid handen att tillämpningen av det undantag som föreskrivs i denna bestämmelse skulle vara förbehållen, såsom antytts av den hänskjutande domstolen, de fall där behandlingen utförs av en ”neutral tredje part och inte av arbetsgivaren” till den registrerade, såsom denna definieras i artikel 4 led 1 i förordningen.

46      EU-domstolen preciserar – såvitt avser den hänskjutande domstolens uppfattning att ett organ inte bör kunna stödja sig på sin ”dubbla funktion” som den registrerades arbetsgivare och som läkartjänst för att få avvika från huvudregeln om förbud mot behandling av hälsouppgifter i artikel 9.1 i dataskyddsförordningen – att det är avgörande att beakta på vilken grund behandlingen av dessa uppgifter utförs.

47      Även om behandling av uppgifter om hälsa i princip är förbjuden enligt artikel 9.1 i dataskyddsförordningen, föreskrivs i artikel 9.2 leden a–j tio undantag som är oberoende av varandra och som således ska prövas självständigt. Härav följer att den omständigheten att villkoren för att tillämpa ett av de undantag som föreskrivs i punkt 2 i artikel 9 inte är uppfyllda inte utgör hinder för att en personuppgiftsansvarig kan åberopa ett annat av de undantag som anges i denna bestämmelse.

48      Av det ovan anförda följer att artikel 9.2 h i dataskyddsförordningen, jämförd med punkt 3 i samma artikel, inte på något sätt utesluter att undantaget i led h kan tillämpas på situationer där ett organ för medicinsk kontroll behandlar uppgifter om en av sina anställdas hälsa i egenskap av läkartjänst, och inte i egenskap av arbetsgivare, i syfte att bedöma den anställdes arbetskapacitet.

49      För det andra vinner en sådan tolkning stöd av det system som artikel 9.2 h i dataskyddsförordningen ingår i samt av de mål som eftersträvas med denna förordning och denna bestämmelse.

50      I ett första led finner EU-domstolen att artikel 9.2 i dataskyddsförordningen visserligen ska tolkas restriktivt, eftersom den innehåller ett undantag från huvudregeln om förbud mot behandling av särskilda kategorier av personuppgifter (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 76).

51      Iakttagandet av det som en huvudregel utformade förbudet i artikel 9.1 i dataskyddsförordningen får emellertid inte leda till att tillämpningsområdet för en annan bestämmelse i denna förordning begränsas på ett sätt som strider mot denna bestämmelses klara ordalydelse. Den föreslagna tolkningen, nämligen att tillämpningsområdet för det undantag som föreskrivs i artikel 9.2 h ska begränsas till fall där en ”neutral tredje part” behandlar uppgifter om hälsa för att bedöma en arbetstagares arbetskapacitet, innebär att ytterligare ett krav uppställs, ett krav som inte på något sätt framgår av den klara ordalydelsen i sistnämnda bestämmelse.

52      Det saknar i detta avseende betydelse att ett annat organ för medicinsk kontroll – för det fall MDK Nordrhein skulle förbjudas att fullgöra sitt uppdrag som läkartjänst när det rör sig om en av dess egna anställda – skulle kunna ombesörja detta uppdrag. Detta alternativ som den hänskjutande domstolen har hänvisat till är inte nödvändigtvis tillgängligt eller genomförbart i alla medlemsstater, eller i alla situationer som kan omfattas av artikel 9.2 h i dataskyddsförordningen. Tolkningen av denna bestämmelse kan emellertid inte vägledas av överväganden hänförliga till en enda medlemsstats hälso- och sjukvårdssystem eller av omständigheter som är unika för det nationella målet.

53      I ett andra led finner EU-domstolen att tolkningen i punkt 48 ovan är förenlig med målen med dataskyddsförordningen och med artikel 9 i denna förordning.

54      Enligt skäl 4 i dataskyddsförordningen är nämligen rätten till skydd av personuppgifter inte en absolut rättighet eftersom den måste bedömas utifrån dess funktion i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen (se, för ett liknande resonemang, dom av den 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punkt 78). Domstolen har dessutom redan slagit fast att de mekanismer som gör det möjligt att uppnå en korrekt balans mellan de olika rättigheter och intressen som är för handen återfinns i själva dataskyddsförordningen (se, för ett liknande resonemang, dom av den 17 juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punkt 112).

55      Dessa överväganden gäller även när de ifrågavarande uppgifterna omfattas av de särskilda kategorier som avses i artikel 9 i förordningen (se, för ett liknande resonemang, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkterna 57 och 66–68), såsom uppgifter om hälsa.

56      Av skäl 52 i dataskyddsförordningen framgår närmare bestämt att ”[u]ndantag från förbudet att behandla särskilda kategorier av personuppgifter” bör tillåtas ”när allmänintresset motiverar detta, i synnerhet … inom ramen för arbetsrätt och sociallagstiftning” och ”för hälsoändamål, … särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet”. Även i skäl 53 i förordningen anges att behandling som utförs ”i hälsorelaterade syften” bör vara möjlig ”om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system”.

57      Det är mot bakgrund av detta helhetsperspektiv och med hänsyn till de olika legitima intressen som står på spel som unionslagstiftaren i artikel 9.2 h i dataskyddsförordningen har föreskrivit en möjlighet att göra undantag från den i artikel 9.1 föreskrivna huvudregeln om förbud mot behandling av hälsouppgifter, under förutsättning att den ifrågavarande behandlingen uppfyller de villkor och skyddsåtgärder som uttryckligen föreskrivs i led h och i andra relevanta bestämmelser i denna förordning, särskilt artikel 9.3; dessa bestämmelser innehåller inte något krav på att en läkartjänst som behandlar sådana uppgifter, med stöd av artikel 9.2 h i dataskyddsförordningen, ska vara en separat enhet i förhållande till den registrerades arbetsgivare.

58      Mot bakgrund av det ovan anförda, och utan att det påverkar svaren på den andra och den tredje frågan, ska den första frågan besvaras enligt följande. Artikel 9.2 h i dataskyddsförordningen ska tolkas så, att det undantag som föreskrivs i denna bestämmelse är tillämpligt på situationer där ett organ för medicinsk kontroll behandlar uppgifter om en av sina anställdas hälsa i egenskap av läkartjänst och inte i egenskap av arbetsgivare, för att bedöma den anställdes arbetskapacitet, under förutsättning att behandlingen i fråga uppfyller de villkor och skyddsåtgärder som uttryckligen föreskrivs i artikel 9.2 h och 9.3 i denna förordning.

 Den andra frågan

59      Enligt den hänskjutande domstolen framgår det av skälen 35, 51, 53 och 75 i dataskyddsförordningen att det inte räcker att uppfylla kraven i artikel 9.3 i dataskyddsförordningen i en sådan situation som den som är aktuell i det nationella målet, där den personuppgiftsansvarige även är arbetsgivare till den person vars arbetskapacitet bedöms. Enligt den domstolen följer det även av förordningen att alla anställda hos den personuppgiftsansvarige som behöver ha någon som helst yrkesmässig kontakt med den registrerade ska uteslutas från behandlingen av dennes hälsouppgifter. Den anser att varje personuppgiftsansvarig som har flera verksamhetsställen, såsom MDK Nordrhein, ska säkerställa att den enhet som ansvarar för behandlingen av uppgifter om hälsan hos den personuppgiftsansvariges anställda alltid ska tillhöra ett annat verksamhetsställe än det där den registrerade arbetar. Den tystnadsplikt som åligger anställda med behörighet att behandla sådana uppgifter hindrar inte heller i praktiken att en kollega till den registrerade kan få tillgång till uppgifter som rör honom eller henne, vilket medför en risk för skada, till exempel vad avser den registrerades anseende.

60      Under dessa omständigheter har den hänskjutande domstolen ställt den andra frågan för att få klarhet i huruvida bestämmelserna i dataskyddsförordningen ska tolkas så, att den personuppgiftsansvarige vid behandling av uppgifter om hälsa, med stöd av artikel 9.2 h i förordningen, är skyldig att säkerställa att ingen kollega till den registrerade kan få tillgång till uppgifter som rör dennes hälsotillstånd.

61      Enligt artikel 9.3 i dataskyddsförordningen får behandling av uppgifter som avser de ändamål som räknas upp i artikel 9.1 respektive 9.2 h, i förevarande fall uppgifter om en arbetstagares hälsa i syfte att bedöma dennes arbetskapacitet, utföras endast om uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

62      Unionslagstiftaren har, genom att anta artikel 9.3 i dataskyddsförordningen, i vilken bestämmelse det just hänvisas till punkt 2 h i samma artikel, fastställt de särskilda skyddsåtgärder som ska gälla de personuppgiftsansvariga vid sådan behandling. Dessa skyddsåtgärder består i att endast personer som omfattas av tystnadsplikt, i enlighet med de villkor som anges i artikel 9.3, får utföra sådan behandling. Det finns således ingen anledning att till ordalydelsen i den sistnämnda bestämmelsen lägga till krav som inte nämns däri.

63      Av detta följer, såsom generaladvokaten har påpekat i punkt 43 i sitt förslag till avgörande, att artikel 9.3 i dataskyddsförordningen inte kan utgöra rättslig grund för en åtgärd genom vilken det skulle säkerställas att ingen kollega till den registrerade kan få tillgång till uppgifter om dennes hälsotillstånd.

64      Det ska emellertid prövas huruvida kravet på att ingen kollega till den registrerade ska få tillgång till uppgifter om dennes hälsotillstånd kan gälla den personuppgiftsansvarige vid behandling av uppgifter om hälsa, med stöd av artikel 9.2 h i dataskyddsförordningen, på grundval av någon annan bestämmelse i denna förordning.

65      Den enda möjligheten för medlemsstaterna att tillföra ett sådant krav, i förhållande till dem som föreskrivs i artikel 9.2 och 9.3 i förordningen, är att ta i anspråk det handlingsutrymme som de uttryckligen tillerkänns i punkt 4 i denna artikel att ”behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av … uppgifter om hälsa”.

66      Dessa eventuella ytterligare villkor följer emellertid inte av dataskyddsförordningens bestämmelser i sig, utan, i förekommande fall, av nationella bestämmelser som reglerar denna typ av behandling, och för dessa bestämmelser tillerkänns medlemsstaterna uttryckligen ett handlingsutrymme enligt förordningen (se, för ett liknande resonemang, dom av den 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punkterna 51 och 78).

67      En medlemsstat som avser att nyttja det handlingsutrymme som tillerkänns enligt artikel 9.4 i dataskyddsförordningen ska vidare, i enlighet med proportionalitetsprincipen, försäkra sig om att de praktiska konsekvenser, särskilt av organisatorisk, ekonomisk och medicinsk art, som följer av de ytterligare krav som denna stat avser att uppställa, inte blir orimligt omfattande för de personuppgiftsansvariga, vilka inte nödvändigtvis förfogar över tillräckliga medel eller de tekniska resurser och den personalstyrka som behövs för att uppfylla dessa krav. Dessa får nämligen inte menligt påverka den ändamålsenliga verkan av det tillstånd till personuppgiftsbehandling som uttryckligen föreskrivs i artikel 9.2 h i dataskyddsförordningen och som regleras i punkt 3 i samma artikel.

68      Slutligen ska varje personuppgiftsansvarig, enligt artikel 32.1 a och b i dataskyddsförordningen, vilken utgör ett konkret uttryck för de principer om integritet och konfidentialitet som anges i artikel 5.1 f i denna förordning, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet pseudonymisering och kryptering av personuppgifter, samt åtgärder för att säkerställa bland annat konfidentialitet och integritet hos behandlingssystemen och behandlingstjänsterna. Vid fastställandet av de praktiska formerna för denna skyldighet ska den personuppgiftsansvarige, enligt artikel 32.1, beakta den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers fri- och rättigheter.

69      Det ankommer emellertid på den hänskjutande domstolen att pröva huruvida samtliga tekniska och organisatoriska åtgärder som vidtagits av MDK Nordrhein i förevarande fall är förenliga med kraven i artikel 32.1 a och b i dataskyddsförordningen.

70      Den andra frågan ska således besvaras enligt följande. Artikel 9.3 i dataskyddsförordningen ska tolkas så, att den personuppgiftsansvarige vid behandling av uppgifter om hälsa, med stöd av artikel 9.2 h i förordningen, enligt dessa bestämmelser inte är skyldig att säkerställa att ingen kollega till den registrerade kan få tillgång till uppgifter som rör dennes hälsotillstånd. En sådan skyldighet kan emellertid åligga den personuppgiftsansvarige antingen enligt lagstiftning som en medlemsstat har antagit med stöd av artikel 9.4 i dataskyddsförordningen eller med hänsyn till de principer om konfidentialitet och integritet som föreskrivs i artikel 5.1 f i samma förordning och som konkretiseras genom artikel 32.1 a och b däri.

 Den tredje frågan

71      Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artiklarna 9.2 h och 6.1 i dataskyddsförordningen ska tolkas så, att behandling av uppgifter om hälsa med stöd av den förstnämnda bestämmelsen inte bara måste uppfylla de krav som följer av den bestämmelsen för att vara laglig, utan måste även uppfylla åtminstone ett av de laglighetsvillkor som anges i artikel 6.1.

72      Artiklarna 5, 6 och 9 i dataskyddsförordningen återfinns i kapitel II i förordningen, som har rubriken ”Principer”. Dessa artiklar avser principer för behandling av personuppgifter, villkor för laglig behandling av personuppgifter respektive behandling av särskilda kategorier av personuppgifter.

73      I skäl 51 i dataskyddsförordningen anges dessutom uttryckligen att ”[u]töver de särskilda kraven” för behandling av ”särskilt känsliga” uppgifter, vilka uppställs i artikel 9.2 och 9.3 i förordningen, bör, - utan att det påverkar tillämpningen av de åtgärder som en medlemsstat kan vidta med stöd av artikel 9.4 - även ”de allmänna principerna och andra bestämmelser i denna förordning tillämpas [på en sådan behandling], särskilt när det gäller villkoren för laglig behandling”, såsom dessa fastställs i artikel 6 i samma förordning.

74      Enligt artikel 6.1 första stycket i dataskyddsförordningen är behandling av ”särskilt känsliga” uppgifter, såsom uppgifter om hälsa, således laglig endast om minst ett av villkoren i artikel 6.1 första stycket a-f är uppfyllt.

75      I artikel 6.1 första stycket i dataskyddsförordningen anges emellertid en uttömmande och fullständig förteckning av de fall i vilka en behandling av personuppgifter kan anses laglig. För att en behandling ska anses vara laglig måste den omfattas av något av de fall som föreskrivs i den bestämmelsen (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 90 och där angiven rättspraxis).

76      Domstolen har således vid upprepade tillfällen slagit fast att all behandling av personuppgifter ska stå i överensstämmelse med de principer som anges i artikel 5.1 i dataskyddsförordningen och uppfylla de laglighetsvillkor som anges i artikel 6 i samma förordning (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 57 och där angiven rättspraxis).

77      Domstolen har dessutom redan slagit fast att eftersom artiklarna 7–11 i dataskyddsförordningen, vilka i likhet med artiklarna 5 och 6 ingår i förordningens kapitel II, syftar till att precisera omfattningen av den personuppgiftsansvariges skyldigheter enligt artikel 5.1 a och artikel 6.1 i förordningen, måste behandlingen av personuppgifter för att vara laglig, såsom framgår av domstolens praxis, även iaktta dessa övriga bestämmelser i nämnda kapitel, vilka i princip avser samtycke, behandlingen av särskilda kategorier av känsliga personuppgifter och behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 58 och där angiven rättspraxis).

78      Härav följer att eftersom syftet med artikel 9.2 h i dataskyddsförordningen är att precisera omfattningen av de skyldigheter som åligger den personuppgiftsansvarige enligt artiklarna 5.1 a och 6.1 i förordningen, måste en behandling av uppgifter om hälsa med stöd av den förstnämnda bestämmelsen, för att vara laglig, uppfylla både de krav som följer av denna bestämmelse och de skyldigheter som följer av de två sistnämnda bestämmelserna samt, i synnerhet, uppfylla åtminstone ett av de laglighetsvillkor som anges i artikel 6.1.

79      Mot bakgrund av ovanstående överväganden ska den tredje frågan besvaras enligt följande. Artiklarna 9.2 h och 6.1 i dataskyddsförordningen ska tolkas så, att behandling av uppgifter om hälsa med stöd av den förstnämnda bestämmelsen inte bara måste uppfylla de krav som följer av den bestämmelsen för att vara laglig, utan måste även uppfylla åtminstone ett av de laglighetsvillkor som anges i artikel 6.1.

 Den fjärde frågan

80      Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att den rätt till ersättning som föreskrivs i denna bestämmelse inte bara fyller en kompenserande funktion, utan även fyller en avskräckande eller bestraffande funktion och, om så är fallet, huruvida sistnämnda funktion eventuellt ska beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för en immateriell skada med stöd av denna bestämmelse.

81      I artikel 82.1 i dataskyddsförordningen föreskrivs att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”.

82      Domstolen tolkade denna bestämmelse så, att enbart den omständigheten att dataskyddsförordningen har åsidosatts inte är tillräcklig i sig för att ge rätt till ersättning, efter att bland annat ha framhållit att förekomsten av en ”skada” som har ”uppkommit” utgör ett av villkoren för den rätt till ersättning som föreskrivs i artikel 82.1, liksom att det ska föreligga en överträdelse av förordningen samt ett orsakssamband mellan denna skada och denna överträdelse. Dessa tre villkor är nämligen kumulativa (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 32 och 42).

83      Domstolen har dessutom slagit fast att eftersom dataskyddsförordningen inte innehåller någon bestämmelse som har till syfte att fastställa regler för beräkningen av det skadestånd som kan utgå enligt den rätt till ersättning som föreskrivs i artikel 82 i förordningen, ankommer det på de nationella domstolarna att för detta ändamål, enligt principen om processuell autonomi, tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, under förutsättning att de unionsrättsliga principerna om likvärdighet och effektivitet iakttas, såsom dessa har definierats i domstolens fasta praxis (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 53, 54 och 59).

84      I detta sammanhang, och med beaktande av att det i skäl 146 sjätte meningen i dataskyddsförordningen anges att detta instrument syftar till att registrerade ska ”få full och effektiv ersättning för den skada de lidit”, påpekade domstolen att med hänsyn till den kompenserande funktion som rätten till ersättning har enligt artikel 82 i förordningen ska en ekonomisk ersättning med stöd av denna artikel anses vara ”full och effektiv” om den gör det möjligt att fullt ut kompensera den skada som uppkommit till följd av en överträdelse av denna förordning, utan att det för en sådan fullständig ersättning är nödvändigt att utkräva skadestånd med en bestraffande funktion (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 57 och 58).

85      Det ska i detta hänseende understrykas att artikel 82 i dataskyddsförordningen inte har en bestraffande utan en kompenserande funktion, till skillnad från andra bestämmelser i förordningen som också återfinns i kapitel VIII i förordningen, nämligen artiklarna 83 och 84. Dessa bestämmelser har huvudsakligen ett bestraffande syfte, eftersom de gör det möjligt att ålägga administrativa sanktionsavgifter och andra sanktioner. Förhållandet mellan de regler som anges i nämnda artikel 82 och reglerna i artiklarna 83 och 84 visar att det föreligger en skillnad mellan dessa båda kategorier av bestämmelser, men även att de kompletterar varandra vad gäller de incitament att iaktta dataskyddsförordningen som de innebär. Rätten för var och en att begära ersättning för skada stärker den ändamålsenliga verkan av de skyddsregler som fastställs i förordningen och är ägnad att avskräcka från att överträdelser upprepas (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 38 och 40).

86      Eftersom den rätt till ersättning som föreskrivs i artikel 82.1 i dataskyddsförordningen inte fyller en avskräckande, eller rent av bestraffande, funktion, såsom den hänskjutande domstolen har antytt, kan svårighetsgraden av den överträdelse av förordningen varigenom den ifrågavarande skadan uppkommit inte påverka storleken på det skadestånd som ska utgå med stöd av denna bestämmelse, även om det inte handlar om en materiell skada utan om en immateriell sådan. Av detta följer att skadeståndsbeloppet inte kan fastställas till en nivå som går utöver en fullständig ersättning för denna skada.

87      Den fjärde frågan ska således besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att den rätt till ersättning som föreskrivs i denna bestämmelse fyller en kompenserande funktion, och inte en avskräckande eller bestraffande funktion, i det att den ekonomiska ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som faktiskt uppkommit till följd av en överträdelse av förordningen.

 Den femte frågan

88      Det framgår av de uppgifter som den hänskjutande domstolen har lämnat, som svar på en begäran om klarlägganden som tillställts den i enlighet med artikel 101 i domstolens rättegångsregler, att den femte frågan syftar till att få klarhet i dels huruvida förekomsten av och/eller bevis för fel utgör förutsättningar för att den personuppgiftsansvarige eller personuppgiftsbiträdet ska kunna hållas ansvariga, dels vilken betydelse svårighetsgraden av den personuppgiftsansvariges eller personuppgiftsbiträdets fel kan få för den konkreta beräkningen av det skadestånd som ska utges som ersättning för den immateriella skada som uppkommit.

89      Mot bakgrund av den hänskjutande domstolens uppgifter ska den femte frågan förstås så, att den avser dels huruvida artikel 82 i dataskyddsförordningen ska tolkas så, att en förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig är att denne har gjort fel, dels huruvida felets svårighetsgrad ska beaktas vid fastställandet av det skadeståndsbelopp som ska utges som ersättning för immateriell skada med stöd av denna bestämmelse.

90      Vad gäller den första delen av denna fråga ska det påpekas, såsom det har erinrats om i punkt 82 ovan, att rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen förutsätter att tre villkor är uppfyllda, nämligen att det föreligger en överträdelse av förordningen, att skada har uppkommit och att det finns ett orsakssamband mellan överträdelsen och skadan.

91      I artikel 82.2 i dataskyddsförordningen föreskrivs att varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ordalydelsen i denna bestämmelse i vissa språkversioner, bland annat på tyska som är rättegångsspråk i förevarande mål, gör det emellertid inte möjligt att med säkerhet fastställa huruvida den ifrågavarande överträdelsen ska kunna tillskrivas den personuppgiftsansvarige för att denne ska kunna hållas ansvarig.

92      Det framgår vid en analys av de olika språkversionerna av artikel 82.2 första meningen i dataskyddsförordningen att den personuppgiftsansvarige presumeras ha medverkat i den behandling som överträdelsen av förordningen består i. Medan de tyska, franska och finska språkversionerna är formulerade på ett öppet sätt, visar sig ett antal andra språkversioner vara mer precisa. I dessa språkversioner används ett bestämningsord vid det tredje tillfället då ordet behandling förekommer, eller tredje gången då det hänvisas till detta ord. På så sätt blir det tydligt att tredje gången då detta ord förekommer eller det hänvisas till det avser samma händelse som vid det andra tillfället då ordet nämns. Så är fallet i den spanska, den estniska, den grekiska, den italienska och den rumänska språkversionen.

93      I artikel 82.3 i dataskyddsförordningen preciseras i detta sammanhang att den personuppgiftsansvarige ska undgå ansvar enligt punkt 2 i nämnda artikel om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

94      Det framgår således av en jämförande analys av dessa olika bestämmelser i artikel 82 i dataskyddsförordningen att det i denna artikel föreskrivs ett system för ansvar vid fel, enligt vilket bevisbördan inte åvilar den som lidit skada, utan den personuppgiftsansvarige.

95      En sådan tolkning vinner stöd såväl av det sammanhang i vilket artikel 82 ingår som av de mål som unionslagstiftaren eftersträvar genom dataskyddsförordningen.

96      För det första framgår det av ordalydelsen i artiklarna 24 och 32 i dataskyddsförordningen att dessa bestämmelser endast innebär en skyldighet för den personuppgiftsansvarige att vidta tekniska och organisatoriska åtgärder för att i möjligaste mån undvika överträdelser i fråga om personuppgifter. Bedömningen av om sådana åtgärder är lämpliga ska ske utifrån de konkreta omständigheterna i det enskilda fallet. I bedömningen ingår att ta ställning till om den personuppgiftsansvarige vid genomförandet av åtgärderna har beaktat de olika faktorer som avses i nämnda artiklar och de skyddsbehov som särskilt gör sig gällande i samband med den aktuella personuppgiftsbehandlingen samt därmed förenade risker (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 30).

97      En sådan skyldighet skulle emellertid äventyras om den personuppgiftsansvarige därefter var skyldig att ersätta all skada som orsakats av en behandling som skett i strid med dataskyddsförordningen.

98      För det andra, vad gäller målen med dataskyddsförordningen, framgår det av skälen 4–8 i denna förordning att den syftar till att skapa en avvägning mellan de personuppgiftsansvarigas intressen och rättigheterna för de personer vars personuppgifter behandlas. Det eftersträvade målet är att utveckla den digitala ekonomin samtidigt som en hög skyddsnivå för enskilda garanteras. Sålunda avses en avvägning mellan den personuppgiftsansvariges intressen och intressena hos de personer vars personuppgifter behandlas. Det är just en mekanism med ansvar vid fel, med omvänd bevisbörda, såsom föreskrivs i artikel 82 i dataskyddsförordningen, som gör det möjligt att uppnå en sådan avvägning.

99      Dels skulle det, såsom generaladvokaten har påpekat i punkt 93 i sitt förslag till avgörande, inte vara förenligt med syftet med en sådan hög skyddsnivå att välja en tolkning som innebär att registrerade som har lidit skada till följd av en överträdelse av dataskyddsförordningen ska, inom ramen för ett ersättningsanspråk enligt artikel 82 i dataskyddsförordningen, bära bevisbördan inte bara för överträdelsen och den skada som överträdelsen medfört för dem, utan även för att den personuppgiftsansvarige gjort fel med uppsåt eller genom oaktsamhet, eller till och med för felets svårighetsgrad, trots att artikel 82 inte innehåller några sådana krav (se, analogt, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 56).

100    Dels skulle den rättssäkerhet som lagstiftaren, enligt vad som framgår av skäl 7 i dataskyddsförordningen, eftersträvat inte kunna säkerställas genom ett system med strikt ansvar.

101    Vad gäller den andra delen av den femte frågan, avseende fastställandet av det skadeståndsbelopp som eventuellt ska utges enligt artikel 82 i dataskyddsförordningen, ska det erinras om att de nationella domstolarna, såsom påpekats i punkt 83 ovan, vid beräkningen av detta skadestånd ska tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, under förutsättning att de unionsrättsliga principerna om likvärdighet och effektivitet, såsom dessa har definierats i domstolens fasta praxis, iakttas.

102    Domstolen preciserar härvid att det enligt artikel 82 i dataskyddsförordningen, med hänsyn till dess kompenserande funktion, inte krävs att svårighetsgraden av den överträdelse av denna förordning som den personuppgiftsansvarige presumeras ha gjort sig skyldig till ska beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för en immateriell skada med stöd av denna bestämmelse. Enligt denna bestämmelse krävs dock att detta belopp fastställs på ett sådant sätt att det fullt ut kompenserar den skada som faktiskt uppkommit till följd av överträdelsen av förordningen, såsom anges ovan i punkterna 84 och 87.

103    Den femte frågan ska följaktligen besvaras så att artikel 82 i dataskyddsförordningen ska tolkas på följande sätt. En förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig är att denne har gjort fel. Det föreligger en presumtion om sådant fel om inte den personuppgiftsansvarige visar att den inte på något sätt kan tillskrivas ansvar för den händelse varigenom skadan uppkom. Enligt artikel 82 i dataskyddsförordningen krävs det inte att felets svårighetsgrad beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för immateriell skada med stöd av denna bestämmelse.

 Rättegångskostnader

104    Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

1)      Artikel 9.2 h i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att det undantag som föreskrivs i denna bestämmelse är tillämpligt på situationer där ett organ för medicinsk kontroll behandlar uppgifter om en av sina anställdas hälsa i egenskap av läkartjänst och inte i egenskap av arbetsgivare, för att bedöma den anställdes arbetskapacitet, under förutsättning att behandlingen i fråga uppfyller de villkor och skyddsåtgärder som uttryckligen föreskrivs i artikel 9.2 h och 9.3 i denna förordning.

2)      Artikel 9.3 i förordning 2016/679

ska tolkas så,

att den personuppgiftsansvarige vid behandling av uppgifter om hälsa, med stöd av artikel 9.2 h i förordningen, enligt dessa bestämmelser inte är skyldig att säkerställa att ingen kollega till den registrerade kan få tillgång till uppgifter som rör dennes hälsotillstånd. En sådan skyldighet kan emellertid åligga den personuppgiftsansvarige antingen enligt lagstiftning som en medlemsstat har antagit med stöd av artikel 9.4 i dataskyddsförordningen eller med hänsyn till de principer om konfidentialitet och integritet som föreskrivs i artikel 5.1 f i samma förordning och som konkretiseras genom artikel 32.1 a och b däri.

3)      Artiklarna 9.2 h och 6.1 i förordning 2016/679

ska tolkas så,

att behandling av uppgifter om hälsa med stöd av den förstnämnda bestämmelsen inte bara måste uppfylla de krav som följer av den bestämmelsen för att vara laglig, utan måste även uppfylla åtminstone ett av de laglighetsvillkor som anges i artikel 6.1.

4)      Artikel 82.1 i förordning 2016/679

ska tolkas så,

att den rätt till ersättning som föreskrivs i denna bestämmelse fyller en kompenserande funktion, och inte en avskräckande eller bestraffande funktion, i det att den ekonomiska ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som faktiskt uppkommit till följd av en överträdelse av förordningen.

5)      Artikel 82 i förordning 2016/679

ska tolkas på följande sätt:

En förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig är att denne har gjort fel. Det föreligger en presumtion om sådant fel om inte den personuppgiftsansvarige visar att den inte på något sätt kan tillskrivas ansvar för den händelse varigenom skadan uppkom. Enligt artikel 82 i dataskyddsförordningen krävs det inte att felets svårighetsgrad beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för immateriell skada med stöd av denna bestämmelse.

Underskrifter

*      Rättegångsspråk: tyska.