CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:1022

DOMSTOLENS DOM (Tredje Afdeling)

21. december 2023 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 6, stk. 1 – betingelser for lovlig behandling – artikel 9, stk. 1-3 – behandling af særlige kategorier af oplysninger – helbredsoplysninger – vurdering af en ansats erhvervsevne – en sygesikrings medicinske tjeneste, der behandler oplysninger vedrørende sine ansattes helbred – lovlighed af og betingelser for en sådan behandling – artikel 82, stk. 1 – ret til erstatning og erstatningsansvar – erstatning for immateriel skade – kompenserende funktion – betydningen af den dataansvarliges skyld«

I sag C-667/21,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland) ved afgørelse af 26. august 2021, indgået til Domstolen den 8. november 2021, i sagen

mod

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

har

DOMSTOLEN (Tredje Afdeling),

sammensat af afdelingsformanden, K. Jürimäe, og dommerne N. Piçarra, M. Safjan, N. Jääskinen (refererende dommer) og M. Gavalec,

generaladvokat: M. Campos Sánchez-Bordona,

justitssekretær: A. Calot Escobar,

på grundlag af den skriftlige forhandling,

efter at der er afgivet indlæg af:

– ZQ ved Rechtsanwalt E. Daun,

– Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts ved Rechtsanwalt M. Wehner,

– Irland ved Chief State Solicitor M. Browne, A. Joyce og M. Lane, som befuldmægtigede, bistået af D. Fennelly, BL,

– den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato M. Russo,

– Europa-Kommissionen ved A. Bouchagiar, M. Heller og H. Kranenborg, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 25. maj 2023,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 9, stk. 1, artikel 9, stk. 2, litra h), og artikel 9, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«), sammenholdt med denne forordnings artikel 6, stk. 1, samt fortolkningen af forordningens artikel 82, stk. 1.

2 Anmodningen er blevet indgivet i forbindelse med en tvist mellem ZQ og hans arbejdsgiver, Medizinischer Dienst der Krankenversicherung Nordrhein (den medicinske tjeneste for sygesikringen i Nordrhein-Westfalen, Tyskland) (herefter »MDK Nordrhein«), vedrørende erstatning for den skade, som ZQ hævder at have lidt som følge af en behandling af oplysninger vedrørende hans helbred, som MDK Nordrhein angiveligt har foretaget ulovligt.

Retsforskrifter

EU-retten

3 4.-8., 10., 35., 51.-53., 75. og 146. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»(4) Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i [Den Europæiske Unions charter om grundlæggende rettigheder] som forankret i traktaterne, navnlig respekten for privatliv og familieliv, […] beskyttelsen af personoplysninger […]

(5) Den økonomiske og sociale integration, der er en følge af det indre markeds funktion, har medført en kraftig vækst i bevægelserne af personoplysninger på tværs af landegrænserne. Udvekslingen af personoplysninger mellem offentlige og private aktører, herunder fysiske personer, sammenslutninger og virksomheder, i [Den Europæiske Union] er steget. De nationale myndigheder i medlemsstaterne opfordres i EU-retten til at samarbejde og udveksle personoplysninger for at kunne varetage deres hverv og udføre opgaver på vegne af en myndighed i en anden medlemsstat.

(6) Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer[…] hvad angår beskyttelsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger er steget betydeligt. Teknologien giver både private selskaber og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Teknologien har ændret både økonomien og sociale aktiviteter og bør yderligere fremme den frie udveksling af personoplysninger inden for Unionen og overførslen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger.

(7) Denne udvikling kræver en stærk og mere sammenhængende databeskyttelsesramme i Unionen, som understøttes af effektiv håndhævelse, fordi det er vigtigt at skabe den tillid, der gør det muligt, at den digitale økonomi kan udvikle sig på det indre marked. Fysiske personer bør have kontrol over deres personoplysninger. Sikkerheden både retligt og praktisk bør styrkes for fysiske personer, erhvervsdrivende og offentlige myndigheder.

(8) Når denne forordning fastsætter, at der kan indføres specifikationer eller begrænsninger af dens regler ved medlemsstaternes nationale ret, kan medlemsstaterne, i det omfang det er nødvendigt af hensyn til sammenhængen og for at gøre de nationale bestemmelser forståelige for de personer, som de finder anvendelse på, indarbejde elementer af denne forordning i deres nationale ret.

[…]

(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. […] Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger (»følsomme oplysninger«). […]

[…]

(35) Helbredsoplysninger bør omfatte alle personoplysninger om den registreredes helbredstilstand, som giver oplysninger om den registreredes tidligere, nuværende eller fremtidige fysiske eller mentale helbredstilstand. […]

[…]

(51) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandling af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. […] Foruden de specifikke krav til sådan behandling bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkelig gives mulighed for undtagelser fra det generelle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov […]

(52) Der bør også gives mulighed for at fravige forbuddet mod at behandle særlige kategorier af personoplysninger, når det er fastsat i EU-retten eller medlemsstaternes nationale ret og er omfattet af de fornødne garantier, således at personoplysninger og andre grundlæggende rettigheder beskyttes, hvis dette er i samfundets interesse, navnlig behandling af personoplysninger inden for ansættelsesret, socialret, herunder pensioner og med henblik på sundhedssikkerhed, overvågning og varsling, forebyggelse eller kontrol af overførbare sygdomme og andre alvorlige trusler mod sundheden. En sådan fravigelse kan ske til sundhedsformål, herunder folkesundhed og forvaltning af sundhedsydelser, især for at sikre kvaliteten og omkostningseffektiviteten af de procedurer, der anvendes til afregning i forbindelse med ydelser og tjenester inden for sygesikringsordninger, eller til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål. […]

(53) Særlige kategorier af personoplysninger, som bør nyde højere beskyttelse, bør kun behandles til sundhedsmæssige formål, når det er nødvendigt for at opfylde disse formål til gavn for fysiske personer og samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og ‑systemer, herunder administrationens og centrale nationale sundhedsmyndigheders behandling af sådanne oplysninger med henblik på kvalitetskontrol, ledelsesinformation og det generelle nationale og lokale tilsyn med sundheds- eller socialsystemet, og for at sikre kontinuitet inden for sundheds- eller socialforsorg […]. Denne forordning bør derfor fastsætte harmoniserede betingelser for behandling af særlige kategorier af personoplysninger om helbredsforhold for så vidt angår specifikke behov, navnlig hvis behandlingen af sådanne oplysninger foretages til visse sundhedsmæssige formål af personer, der er underlagt tavshedspligt. EU-retten eller medlemsstaternes nationale ret bør omfatte specifikke og passende foranstaltninger til at beskytte fysiske personers grundlæggende rettigheder og personoplysninger. Medlemsstaterne bør kunne opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af genetiske data, biometriske data eller helbredsoplysninger. […]

[…]

(75) Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser; hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger; hvis der behandles […] helbredsoplysninger […]; hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, […] med henblik på at oprette eller anvende personlige profiler […]

[…]

(146) Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade, som en person måtte lide som følge af behandling, der overtræder denne forordning. Den dataansvarlige eller databehandleren bør være fritaget for erstatningsansvar, hvis den pågældende beviser ikke at være ansvarlig for den forvoldte skade. Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning. Dette berører ikke eventuelle erstatningskrav for skade som følge af overtrædelse af andre bestemmelser i EU-retten eller medlemsstaternes nationale ret. Behandling, der overtræder denne forordning, omfatter også behandling, der overtræder delegerede retsakter og gennemførelsesretsakter vedtaget i henhold til denne forordning og til medlemsstaternes nationale ret, der præciserer bestemmelserne i denne forordning. Registrerede bør have fuld erstatning for den skade, som de har lidt. […]«

4 I databeskyttelsesforordningens kapitel I om »[g]enerelle bestemmelser« fastsætter artikel 2, der for sin del har overskriften »Materielt anvendelsesområde«, følgende i stk. 1:

»Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.«

5 Denne forordnings artikel 4 med overskriften »Definitioner« bestemmer følgende:

»I denne forordning forstås ved:

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); […]

2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for […]

[…]

7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; […]

[…]

15) »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand

[…]«

6 Databeskyttelsesforordningens kapitel II vedrørende de »[p]rincipper«, som forordningen fastsætter, indeholder artikel 5-11.

7 Forordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter følgende:

»1. Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

[…]

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

8 Forordningens artikel 6 med overskriften »Lovlig behandling« bestemmer følgende i stk. 1:

»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.«

9 Samme forordnings artikel 9 med overskriften »Behandling af særlige kategorier af personoplysninger« er affattet som følger:

»1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

[…]

b) Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser.

[…]

h) Behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller ‑behandling eller forvaltning af social- og sundhedsomsorg og ‑tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3.

[…]

3. Personoplysninger som omhandlet i stk. 1 kan behandles til de formål, der er omhandlet i stk. 2, litra h), hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en sådan persons ansvar, eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer.

4. Medlemsstaterne kan opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af genetiske data, biometriske data eller helbredsoplysninger.«

10 Databeskyttelsesforordningens kapitel IV med overskriften »Dataansvarlig og databehandler« indeholder artikel 24-43.

11 I dette kapitels afdeling 1 med overskriften »Generelle forpligtelser« fastsætter artikel 24, der for sin del har overskriften »Den dataansvarliges ansvar«, følgende i stk. 1:

»Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.«

12 I nævnte kapitels afdeling 2 med overskriften »Personoplysningssikkerhed« bestemmer artikel 32, der for sin del har overskriften »Behandlingssikkerhed«, følgende i stk. 1:

»Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

a) pseudonymisering og kryptering af personoplysninger

b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og ‑tjenester

[…]«

13 Databeskyttelsesforordningens kapitel VIII med overskriften »Retsmidler, ansvar og sanktioner« omfatter artikel 77-84.

14 Forordningens artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« har følgende ordlyd:

»1. Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2. Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. […]

3. En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

[…]«

15 Databeskyttelsesforordningens artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« fastsætter følgende:

»1. Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.

2. […] Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

a) overtrædelsens karakter, alvor og varighed under hensyntagen til pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt

b) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt

[…]

d) den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 25 og 32

[…]

k) om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.

3. Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

[…]«

16 Denne forordnings artikel 84 med overskriften »Sanktioner« bestemmer følgende i stk. 1:

»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.«

Tysk ret

17 I henhold til § 275, stk. 1, i Sozialgesetzbuch, Fünftes Buch (socialloven, femte bog), i den affattelse, der finder anvendelse på tvisten i hovedsagen, skal sygekasserne under den lovpligtige sygesikring anmode en Medizinischer Dienst (medicinsk tjeneste), som bistår dem, om navnlig at udfærdige en erklæring med henblik på at afklare tvivl om en forsikret persons uarbejdsdygtighed i de ved lov fastsatte tilfælde, eller når den forsikredes sygdom nødvendiggør det.

18 Denne lovs § 278, stk. 1, fastsætter, at der i hver delstat oprettes en sådan medicinsk tjeneste som et offentligretligt organ.

Tvisten i hovedsagen og de præjudicielle spørgsmål

19 MDK Nordrhein er et offentligretligt organ, der – som medicinsk tjeneste for sygekasser – bl.a. varetager den lovbestemte opgave at udfærdige lægeerklæringer med henblik på at afklare tvivl om uarbejdsdygtighed hos forsikrede i sygekasserne under den lovpligtige sygesikring inden for tjenestens ansvarsområde, herunder når disse erklæringer vedrører dens egne ansatte.

20 I sådanne tilfælde har kun medlemmerne af en særlig afdeling, der kaldes »enheden for specialsager«, tilladelse til at behandle såkaldte »sociale« oplysninger om den pågældende ansatte ved brug af et lukket område i dette organs IT-system og til at tilgå det elektroniske arkiv, efter at sagen vedrørende erklæringen er lukket. I en intern tjenesteanvisning vedrørende disse tilfælde er det bl.a. fastsat, at et begrænset antal bemyndigede medarbejdere, herunder visse ansatte i IT-afdelingen, har adgang til disse oplysninger.

21 Sagsøgeren i hovedsagen arbejdede i MDK Nordrheins IT-afdeling, inden han blev uarbejdsdygtig af helbredsmæssige årsager. Efter de seks måneder, hvor MDK Nordrhein som arbejdsgiver fortsatte med at betale ham løn, begyndte den sygekasse under den lovpligtige sygesikring, som han var tilknyttet, at udbetale sygedagpenge til ham.

22 Denne sygekasse anmodede herefter MDK Nordrhein om at udfærdige en erklæring om sagsøgeren i hovedsagens uarbejdsdygtighed. En læge, der arbejdede i MDK Nordrheins »enhed for specialsager«, udfærdigede erklæringen, bl.a. ved at indhente oplysninger fra sagsøgeren i hovedsagens behandlende læge. Da sagsøgeren i hovedsagen var blevet orienteret om dette af sin behandlende læge, kontaktede han en af sine kolleger i IT-afdelingen og bad vedkommende om fotos af rapporten vedrørende erklæringen, som MDK Nordrheins havde i sit elektroniske arkiv.

23 Da sagsøgeren i hovedsagen var af den opfattelse, at oplysninger om hans helbred således var blevet behandlet ulovligt af hans arbejdsgiver, krævede han betaling af en erstatning på 20 000 EUR fra MDK Nordrhein, hvilket dette organ afslog.

24 Herefter anlagde sagsøgeren i hovedsagen sag ved Arbeitsgericht Düsseldorf (arbejdsretten i Düsseldorf, Tyskland) med påstand om, at MDK Nordrhein på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, og bestemmelser i tysk ret blev tilpligtet at erstatte det tab, som han hævdede at have lidt på grund af den behandling af personoplysninger, der således var foretaget. Han gjorde i det væsentlige gældende dels, at den omhandlede erklæring burde have været udfærdiget af en anden medicinsk tjeneste for at undgå, at hans kolleger fik adgang til oplysninger om hans helbred, dels at sikkerhedsforanstaltningerne i forbindelse med arkiveringen af rapporten vedrørende denne erklæring var utilstrækkelige. Han anførte ligeledes, at denne behandling udgjorde en overtrædelse af retsreglerne til beskyttelse af sådanne oplysninger, der havde forvoldt ham både immateriel og materiel skade.

25 MDK Nordrhein gjorde heroverfor i det væsentlige gældende, at indsamlingen og opbevaringen af oplysningerne om sagsøgeren i hovedsagens helbred var blevet foretaget i overensstemmelse med bestemmelserne om beskyttelse af sådanne oplysninger.

26 Da sagsøgeren i hovedsagen ikke fik medhold i sin påstand i første instans, iværksatte han appel ved Landesarbeitsgericht Düsseldorf (den regionale appeldomstol i arbejdsretlige sager i Düsseldorf, Tyskland), som heller ikke gav ham medhold. Herefter har han iværksat revisionsanke ved Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland), som er den forelæggende ret i denne sag.

27 Den forelæggende ret har lagt til grund, at den erklæring, som MDK Nordrhein som medicinsk tjeneste har udfærdiget i tvisten i hovedsagen, udgør en »behandling« af »personoplysninger« og nærmere bestemt »helbredsoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), 2) og 15), således at denne aktivitet er omfattet af forordningens materielle anvendelsesområde som fastlagt i artikel 2, stk. 1. Den er desuden af den opfattelse, at MDK Nordrhein er den »dataansvarlige« som omhandlet i forordningens artikel 4, nr. 7).

28 Den forelæggende rets spørgsmål vedrører for det første fortolkningen af flere bestemmelser i databeskyttelsesforordningens artikel 9 om behandling af særlige kategorier af personoplysninger, bl.a. henset til, at den i hovedsagen omhandlede behandling er blevet udført af et organ, som også er arbejdsgiver for den registrerede som defineret i forordningens artikel 4, nr. 1).

29 Først og fremmest tvivler den forelæggende ret på, at den i hovedsagen omhandlede behandling af helbredsoplysninger kan være omfattet af en af de undtagelser, der er fastsat i databeskyttelsesforordningens artikel 9, stk. 2. Ifølge denne ret er det kun undtagelserne i stk. 2, litra b) og h), der er relevante i det foreliggende tilfælde. Den udelukker imidlertid på forhånd at anvende den undtagelse, der er fastsat i artikel 9, stk. 2, litra b), med den begrundelse, at den i hovedsagen omhandlede behandling ikke var nødvendig for overholdelsen af den dataansvarliges rettigheder og forpligtelser i dennes egenskab af den registreredes arbejdsgiver. Denne behandling blev nemlig initieret af et andet organ, der anmodede MDK Nordrhein om at foretage en kontrol i sin egenskab af medicinsk tjeneste. Selv om den forelæggende ret er tilbøjelig til heller ikke at anvende undtagelsen i artikel 9, stk. 2, litra h), eftersom den finder, at kun en behandling, der foretages af en »neutral tredjepart«, bør kunne være omfattet heraf, og at et organ ikke med henvisning til sin »dobbelte funktion« som arbejdsgiver og medicinsk tjeneste kan tilsidesætte forbuddet mod en sådan behandling, er den derimod ikke kategorisk i denne henseende.

30 For det tilfælde, at behandling af helbredsoplysninger under sådanne omstændigheder er tilladt i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), ønsker den forelæggende ret dernæst oplyst, hvilke regler om beskyttelse af helbredsoplysninger der skal overholdes i denne forbindelse. Efter dens opfattelse indebærer denne forordning, at det ikke er tilstrækkeligt, at den dataansvarlige overholder kravene i forordningens artikel 9, stk. 3. Den dataansvarlige skal desuden sikre, at ingen af den registreredes kolleger kan få nogen som helst adgang til oplysninger om den registreredes helbredstilstand.

31 Med hensyn til samme tilfælde ønsker den forelæggende ret endelig oplyst, om mindst én af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, yderligere skal være opfyldt for, at en sådan behandling er lovlig. Ifølge den forelæggende ret bør dette være tilfældet, og i forbindelse med tvisten i hovedsagen kan alene artikel 6, stk. 1, første afsnit, litra c) og e), umiddelbart være relevante. Litra c) og e) bør dog ikke finde anvendelse, idet den pågældende behandling ikke er »nødvendig« som omhandlet i disse bestemmelser, da den lige så vel kunne udføres af en anden medicinsk tjeneste end MDK Nordrhein.

32 Såfremt der er sket en overtrædelse af databeskyttelsesforordningen i det foreliggende tilfælde, er den forelæggende ret for det andet i tvivl om, hvilken erstatning der eventuelt skal betales til sagsøgeren i hovedsagen i henhold til denne forordnings artikel 82.

33 Den ønsker for det første oplyst, om reglen i databeskyttelsesforordningens artikel 82, stk. 1, ud over erstatningsfunktionen har en afskrækkende eller strafferetlig karakter, og om der i givet fald skal tages hensyn til denne karakter ved fastsættelsen af størrelsen af den erstatning, der tildeles for immateriel skade, navnlig henset til effektivitetsprincippet, proportionalitetsprincippet og ækvivalensprincippet, der er anerkendt inden for andre områder af EU-retten.

34 For det andet hælder den forelæggende ret til den opfattelse, at den dataansvarlige kan ifalde ansvar på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, uden at det er nødvendigt at godtgøre, at der foreligger skyld hos den pågældende. Da den forelæggende ret ikke desto mindre er i tvivl, navnlig henset til de tyske retsregler, ønsker den oplyst, om det skal efterprøves, om den omhandlede overtrædelse af databeskyttelsesforordning kan tilregnes den dataansvarlige som følge af en forsætlig eller uagtsom handling begået af denne, og om graden af skyld for den fejl, som den dataansvarlige eventuelt har begået, skal påvirke den erstatning, der tildeles for immateriel skade.

35 På denne baggrund har Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Skal [databeskyttelsesforordningens] artikel 9, stk. 2, litra h), […] fortolkes således, at en sygekasses medicinske tjeneste ikke må behandle sin arbejdstagers helbredsoplysninger, som er en betingelse for vurderingen af den pågældende arbejdstagers erhvervsevne?

2) Såfremt Domstolen besvarer det første spørgsmål benægtende med den konsekvens, at en undtagelse i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), fra det i databeskyttelsesforordningens artikel 9, stk. 1, fastsatte forbud mod behandling af helbredsoplysninger kommer i betragtning: Skal der i et tilfælde som det foreliggende ud over de i databeskyttelsesforordningens artikel 9, stk. 3, fastsatte bestemmelser også tages hensyn til andre databeskyttelsesretlige bestemmelser, og i givet fald hvilke?

3) Såfremt Domstolen besvarer det første spørgsmål benægtende med den konsekvens, at en undtagelse i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), fra det i databeskyttelsesforordningens artikel 9, stk. 1, fastsatte forbud mod behandling af helbredsoplysninger kommer i betragtning: Afhænger lovligheden af behandlingen af helbredsoplysninger i et tilfælde som det foreliggende desuden af, at mindst én af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt?

4) Har databeskyttelsesforordningens artikel 82, stk. 1, special- eller generalpræventiv karakter, og skal der tages hensyn til dette ved fastsættelsen af størrelsen af den immaterielle skade, som den dataansvarlige, henholdsvis databehandleren pålægges at erstatte på grundlag af databeskyttelsesforordningens artikel 82, stk. 1?

5) Afhænger fastsættelsen af størrelsen af den immaterielle skade, der skal erstattes på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, af graden af den dataansvarliges, henholdsvis databehandlerens skyld? Må der [navnlig] tages hensyn til en ikke foreliggende eller ringe skyld hos den dataansvarlige henholdsvis databehandleren til fordel for denne?«

Om de præjudicielle spørgsmål

Det første spørgsmål

36 Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 9, stk. 2, litra h), henset til forbuddet mod at behandle helbredsoplysninger i artikel 9, stk. 1, skal fortolkes således, at den undtagelse, som er fastsat i førstnævnte bestemmelse, finder anvendelse på situationer, hvor et medicinsk kontrolorgan behandler helbredsoplysninger om en af dette organs ansatte i organets egenskab af ikke arbejdsgiver, men medicinsk tjeneste med henblik på at vurdere denne ansattes erhvervsevne.

37 Det følger af fast retspraksis, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af. En EU-retlig bestemmelses tilblivelseshistorie kan ligeledes give relevante elementer med henblik på dens fortolkning (dom af 16.3.2023, Towercast, C-449/21, EU:C:2023:207, præmis 31 og den deri nævnte retspraksis).

38 For det første bemærkes, at databeskyttelsesforordningens artikel 9, således som det fremgår af dens overskrift, vedrører »[b]ehandling af særlige kategorier af personoplysninger«, der ligeledes kvalificeres som »følsomme« oplysninger i 10. og 51. betragtning til forordningen.

39 Det fremgår af 51. betragtning til databeskyttelsesforordningen, at personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandling af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder.

40 Databeskyttelsesforordningens artikel 9, stk. 1, fastsætter således princippet om forbud mod behandling af de heri nævnte særlige kategorier af personoplysninger. En af disse er »helbredsoplysninger« som defineret i forordningens artikel 4, nr. 15), sammenholdt med 35. betragtning hertil, hvilke oplysninger er omhandlet i den foreliggende sag.

41 Domstolen har præciseret, at formålet med databeskyttelsesforordningens artikel 9, stk. 1, består i at sikre en øget beskyttelse mod behandlinger, der som følge af de behandlede oplysningers særligt følsomme karakter kan udgøre et særligt alvorligt indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, der er sikret ved artikel 7 og 8 i chartret om grundlæggende rettigheder (jf. i denne retning dom af 5.6.2023, Kommissionen mod Polen (Dommeres uafhængighed og privatliv), C-204/21, EU:C:2023:442, præmis 345 og den deri nævnte retspraksis).

42 I databeskyttelsesforordningens artikel 9, stk. 2, litra a)-j), er der imidlertid fastsat en udtømmende liste over undtagelser til princippet om forbud mod behandling af disse følsomme oplysninger.

43 Databeskyttelsesforordningens artikel 9, stk. 2, litra h), tillader navnlig en sådan behandling, hvis den er »nødvendig med henblik på [bl.a.] vurdering af arbejdstagerens erhvervsevne […] på grundlag af EU-retten eller medlemsstaternes nationale ret eller i henhold til en kontrakt med en sundhedsperson«. Denne bestemmelse præciserer, at enhver behandling, der er baseret herpå, desuden specifikt er »underlagt de betingelser og garantier, der er omhandlet i stk. 3« i artikel 9.

44 Det følger af databeskyttelsesforordningens artikel 9, stk. 2, litra h), sammenholdt med denne artikels stk. 3, at muligheden for at behandle følsomme oplysninger, såsom helbredsoplysninger, er nøje afgrænset af en række kumulative betingelser. Disse vedrører for det første de formål, der er opregnet i litra h) – herunder vurdering af en arbejdstagers erhvervsevne – for det andet retsgrundlaget for denne behandling – det være sig EU-retten, medlemsstaternes nationale ret eller en kontrakt med en sundhedsperson i henhold til samme litra h) – og endelig for det tredje den fortrolighedspligt, som påhviler de personer, der har beføjelse til at foretage en sådan behandling, i henhold til artikel 9, stk. 3, idet disse personer alle skal være underlagt tavshedspligt i overensstemmelse med sidstnævnte bestemmelse.

45 Som generaladvokaten i det væsentlige har anført i punkt 32 og 33 i forslaget til afgørelse, giver hverken ordlyden af databeskyttelsesforordningens artikel 9, stk. 2, litra h), eller denne bestemmelses tilblivelseshistorie holdepunkter for at antage, at anvendelsen af den undtagelse, der er fastsat i denne bestemmelse, som anført af den forelæggende ret skulle være forbeholdt tilfælde, hvor behandlingen foretages af en »neutral tredjepart og ikke arbejdsgiveren« for den registrerede som defineret i forordningens artikel 4, nr. 1).

46 I lyset af den forelæggende rets opfattelse, hvorefter et organ nærmere bestemt ikke med henvisning til sin »dobbelte funktion« som arbejdsgiver for den registrerede og som medicinsk tjeneste bør kunne undgå det princip om forbud mod behandling af helbredsoplysninger, der er fastsat i databeskyttelsesforordningens artikel 9, stk. 1, skal det præciseres, at det er afgørende at tage hensyn til, med hvilken adkomst behandlingen af disse oplysninger foretages.

47 Selv om artikel 9, stk. 1, nemlig principielt forbyder behandling af helbredsoplysninger, fastsætter samme artikels stk. 2 i litra a)-j) ti undtagelser, som er indbyrdes uafhængige, og som derfor skal vurderes uafhængigt af hinanden. Det følger heraf, at den omstændighed, at betingelserne for anvendelse af en af undtagelserne i stk. 2 ikke er opfyldt, ikke kan være til hinder for, at en dataansvarlig kan påberåbe sig en anden undtagelse, der er nævnt i denne bestemmelse.

48 Det følger af det ovenstående, at databeskyttelsesforordningens artikel 9, stk. 2, litra h), sammenholdt med denne artikels stk. 3, på ingen måde udelukker, at den undtagelse, der er fastsat i dette litra h), kan finde anvendelse på situationer, hvor et medicinsk kontrolorgan behandler helbredsoplysninger om en af sine ansatte i egenskab af medicinsk tjeneste og ikke i egenskab af arbejdsgiver med henblik på at vurdere denne ansattes erhvervsevne.

49 For det andet bekræftes en sådan fortolkning, når der tages hensyn til den ordning, som databeskyttelsesforordningens artikel 9, stk. 2, litra h), indgår i, og til de formål, der forfølges med denne forordning og denne bestemmelse.

50 For det første skal databeskyttelsesforordningens artikel 9, stk. 2, for så vidt som denne bestemmelse fastsætter en undtagelse til det principielle forbud mod behandling af særlige kategorier af personoplysninger, ganske vist fortolkes indskrænkende (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 76).

51 Overholdelsen af det princip om forbud, der er fastsat i databeskyttelsesforordningens artikel 9, stk. 1, må imidlertid ikke føre til, at anvendelsesområdet for en anden bestemmelse i denne forordning indskrænkes på en måde, der er i strid med denne bestemmelses klare ordlyd. Den foreslåede fortolkning, hvorefter anvendelsesområdet for den undtagelse, der er fastsat i artikel 9, stk. 2, litra h), skal begrænses til tilfælde, hvor en »neutral tredjemand« behandler helbredsoplysninger med henblik på at vurdere en arbejdstagers erhvervsevne, vil tilføje et krav, der på ingen måde fremgår af sidstnævnte bestemmelses klare ordlyd.

52 Det er i denne henseende uden betydning, at et andet medicinsk kontrolorgan i det foreliggende tilfælde ville kunne varetage opgaven som medicinsk tjeneste, hvis det skulle være forbudt for MDK Nordrhein at udføre denne opgave, når der er tale om dette organs egne ansatte. Det skal fremhæves, at dette alternativ, som den forelæggende ret har henvist til, ikke nødvendigvis findes eller er gennemførligt i alle medlemsstaterne og i alle de situationer, der kan være omfattet af databeskyttelsesforordningens artikel 9, stk. 2, litra h). Retningen for fortolkningen af denne bestemmelse kan imidlertid ikke sættes af betragtninger, der udledes af en enkelt medlemsstats sundhedssystem, eller som skyldes omstændigheder, der er særlige for tvisten i hovedsagen.

53 For det andet er den fortolkning, der er anført i denne doms præmis 48, i overensstemmelse med formålene med databeskyttelsesforordningen og med formålene med denne forordnings artikel 9.

54 I fjerde betragtning til databeskyttelsesforordningen er det således anført, at retten til beskyttelse af personoplysninger ikke en absolut ret, men skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet (jf. i denne retning dom af 22.6.2023, Pankki S, C-579/21, EU:C:2023:501, præmis 78). Domstolen har desuden allerede fremhævet, at de mekanismer, som gør det muligt at finde den rette afvejning af de forskellige rettigheder og interesser, er indeholdt i selve databeskyttelsesforordningen (jf. i denne retning dom af 17.6.2021, M.I.C.M., C-597/19, EU:C:2021:492, præmis 112).

55 Disse betragtninger gælder også, når de pågældende oplysninger henhører under de særlige kategorier af oplysninger, der er omhandlet i forordningens artikel 9 (jf. i denne retning dom af 24.9.2019, GC m.fl. (Fjernelse af følsomme oplysninger), C-136/17, EU:C:2019:773, præmis 57 og 66-68), såsom helbredsoplysninger.

56 Det fremgår nærmere bestemt af 52. betragtning til databeskyttelsesforordningen, at der bør gives mulighed for at »fravige forbuddet mod at behandle særlige kategorier af personoplysninger«, »hvis dette er i samfundets interesse, navnlig […] inden for ansættelsesret, socialret« og »til sundhedsformål, […] især for at sikre kvaliteten og omkostningseffektiviteten af de procedurer, der anvendes til afregning i forbindelse med ydelser og tjenester inden for sygesikringsordninger«. Det fremgår også af 53. betragtning til denne forordning, at behandling »til sundhedsmæssige formål« bør være mulig, »når det er nødvendigt for at opfylde disse formål til gavn for fysiske personer og samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og ‑systemer«.

57 Det er ud fra dette helhedsperspektiv og henset til de forskellige foreliggende legitime interesser, at EU-lovgiver i databeskyttelsesforordningens artikel 9, stk. 2, litra h), har givet mulighed for at fravige det princip om forbud mod behandling af helbredsoplysninger, der er fastsat i denne artikels stk. 1, forudsat at den pågældende behandling opfylder de betingelser og garantier, der udtrykkeligt er fastsat i stk. 2, litra h) og i de øvrige relevante bestemmelser i denne forordning, navnlig artikel 9, stk. 3, hvilke bestemmelser ikke indeholder krav om, at en medicinsk tjeneste, der behandler sådanne oplysninger i henhold til nævnte litra h), skal være en enhed, der ikke er den registreredes arbejdsgiver.

58 Henset til ovenstående betragtninger, og uden at det berører besvarelsen af det andet og det tredje spørgsmål, skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 9, stk. 2, litra h), skal fortolkes således, at den undtagelse, der er fastsat i denne bestemmelse, finder anvendelse på situationer, hvor et medicinsk kontrolorgan behandler helbredsoplysninger om en af dette organs ansatte i organets egenskab af ikke arbejdsgiver, men medicinsk tjeneste med henblik på at vurdere denne ansattes erhvervsevne, forudsat at den pågældende behandling opfylder de betingelser og garantier, der udtrykkeligt er fastsat i artikel 9, stk. 2, litra h), og i artikel 9, stk. 3.

Det andet spørgsmål

59 Ifølge den forelæggende ret fremgår det af 35., 51., 53. og 75. betragtning til databeskyttelsesforordningen, at det ikke er tilstrækkeligt at opfylde kravene i forordningens artikel 9, stk. 3, i en situation som den i hovedsagen omhandlede, hvor den dataansvarlige ligeledes er arbejdsgiver for den person, hvis erhvervsevne vurderes. Forordningen kræver desuden, at alle ansatte hos den dataansvarlige, der foranlediges til at have nogen form for professionel kontakt med denne person, udelukkes fra behandlingen af helbredsoplysninger. Ifølge den forelæggende ret bør enhver dataansvarlig, der råder over flere virksomheder, såsom MDK Nordrhein, sørge for, at den enhed, der er ansvarlig for behandlingen af helbredsoplysninger om den dataansvarliges ansatte, altid hører under en anden virksomhed end den, hvor den pågældende ansatte arbejder. Desuden forhindrer den tavshedspligt, der påhviler de ansatte, som har beføjelse til at behandle sådanne oplysninger, i praksis ikke, at en kollega til den registrerede kan få adgang til de oplysninger, der vedrører den registrerede, hvilket medfører risiko for skade, f.eks. på sidstnævntes omdømme.

60 Under disse omstændigheder ønsker den forelæggende ret med det andet spørgsmål nærmere bestemt oplyst, om databeskyttelsesforordningens bestemmelser skal fortolkes således, at den ansvarlige for en behandling af helbredsoplysninger på grundlag af forordningens artikel 9, stk. 2, litra h), har pligt til at sikre, at ingen kollega til den registrerede kan få adgang til oplysninger om den registreredes helbredstilstand.

61 Det bemærkes, at der i henhold til databeskyttelsesforordningens artikel 9, stk. 3, kun må behandles oplysninger til de formål, der er angivet i henholdsvis artikel 9, stk. 1, og artikel 9, stk. 2, litra h) – i det foreliggende tilfælde helbredsoplysninger om en arbejdstager med henblik på en vurdering af vedkommendes erhvervsevne – hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en sådan persons ansvar, eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer.

62 EU-lovgiver har ved vedtagelsen af databeskyttelsesforordningens artikel 9, stk. 3, der netop vedrører samme artikels stk. 2, litra h), fastsat de specifikke beskyttelsesforanstaltninger, der skal pålægges de dataansvarlige for sådanne behandlinger, og som består i, at disse behandlinger kun må foretages af personer, der har tavshedspligt i overensstemmelse med de vilkår, der er nærmere angivet i artikel 9, stk. 3. Der skal derfor ikke til ordlyden af sidstnævnte bestemmelse tilføjes krav, som ikke er nævnt heri.

63 Det følger heraf, at databeskyttelsesforordningens artikel 9, stk. 3, således som generaladvokaten i det væsentlige har anført i punkt 43 i forslaget til afgørelse, ikke kan tjene som retsgrundlag for en foranstaltning, der sikrer, at ingen kollega til den registrerede kan få adgang til oplysninger, der vedrører dennes helbredstilstand.

64 Det skal imidlertid vurderes, om kravet om, at det sikres, at ingen kollega til den registrerede har adgang til oplysninger om den registreredes helbredstilstand, kan pålægges den ansvarlige for en behandling af helbredsoplysninger i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), på grundlag af en anden bestemmelse i denne forordning.

65 I denne henseende skal det præciseres, at medlemsstaternes eneste mulighed for at tilføje et sådant krav til de krav, der er fastsat i denne forordnings artikel 9, stk. 2 og 3, ligger i den beføjelse, som de udtrykkeligt er tillagt ved denne artikels stk. 4, til at »opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af […] helbredsoplysninger«.

66 Disse eventuelle yderligere betingelser følger imidlertid ikke af databeskyttelsesforordningens bestemmelser i sig selv, men, efter omstændighederne, af nationale retsregler for behandlinger af denne type, i forhold til hvilke regler forordningen udtrykkeligt overlader medlemsstaterne et skøn (jf. i denne retning dom af 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, præmis 51 og 78).

67 Det skal endvidere fremhæves, at en medlemsstat, der agter at gøre brug af muligheden i medfør af databeskyttelsesforordningens artikel 9, stk. 4, i overensstemmelse med proportionalitetsprincippet skal sikre sig, at de praktiske konsekvenser, bl.a. af organisatorisk, økonomisk og medicinsk art, som følger af de yderligere krav, som denne medlemsstat vil kræve overholdt, ikke er for vidtgående for de dataansvarlige for en sådan behandling, som ikke nødvendigvis har en tilstrækkelig størrelse eller tilstrækkelige tekniske og menneskelige ressourcer til at opfylde disse krav. Disse må nemlig ikke skade den effektive virkning af den tilladelse til behandling, som udtrykkeligt er fastsat i samme forordnings artikel 9, stk. 2, litra h), og afgrænset i denne artikels stk. 3.

68 Endelig skal det fremhæves, at enhver ansvarlig for behandling af personoplysninger i henhold til databeskyttelsesforordningens artikel 32, stk. 1, litra a) og b), der konkretiserer princippet om integritet og princippet om fortrolighed i forordningens artikel 5, stk. 1, litra f), har pligt til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene, navnlig pseudonymisering og kryptering af sådanne oplysninger, samt evne til at sikre bl.a. fortrolighed og integritet af behandlingssystemer og ‑tjenester. Ved afgørelsen af, hvordan denne forpligtelse skal gennemføres i praksis, skal den dataansvarlige i overensstemmelse med artikel 32, stk. 1, tage hensyn til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

69 Det påhviler imidlertid den forelæggende ret at vurdere, om alle de tekniske og organisatoriske foranstaltninger, som MDK Nordrhein har gennemført i det foreliggende tilfælde, er i overensstemmelse med kravene i databeskyttelsesforordningens artikel 32, stk. 1, litra a) og b).

70 Det andet spørgsmål skal derfor besvares med, at databeskyttelsesforordningens artikel 9, stk. 3, skal fortolkes således, at den ansvarlige for en behandling af helbredsoplysninger på grundlag af forordningens artikel 9, stk. 2, litra h), ikke i henhold til disse bestemmelser har pligt til at sikre, at ingen kollega til den registrerede kan få adgang til oplysninger om den registreredes helbredstilstand. En forpligtelse hertil kan imidlertid pålægges den ansvarlige for en sådan behandling enten i henhold til en lovgivning, der er vedtaget af en medlemsstat på grundlag af forordningens artikel 9, stk. 4, eller i henhold til princippet om integritet og princippet om fortrolighed, der er fastsat i samme forordnings artikel 5, stk. 1, litra f), og konkretiseret i dens artikel 32, stk. 1, litra a) og b).

Det tredje spørgsmål

71 Med det tredje spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 9, stk. 2, litra h), og artikel 6, stk. 1, skal fortolkes således, at en behandling af helbredsoplysninger på grundlag af førstnævnte bestemmelse for at være lovlig ikke alene skal overholde de krav, der følger af denne bestemmelse, men også opfylde mindst én af de betingelser for lovlig behandling, der er fastsat i artikel 6, stk. 1.

72 Det bemærkes i denne henseende, at databeskyttelsesforordningens artikel 5, 6 og 9 er indeholdt i forordningens kapitel II med overskriften »Principper« og vedrører henholdsvis principperne for behandling af personoplysninger, betingelserne for lovlig behandling og behandlingen af særlige kategorier af personoplysninger.

73 Det skal desuden bemærkes, at det udtrykkeligt er anført i 51. betragtning til databeskyttelsesforordningen, at med forbehold af de foranstaltninger, som en medlemsstat eventuelt har vedtaget på grundlag af artikel 9, stk. 4, bør »[f]oruden de specifikke krav« til behandling af »særligt følsomme« oplysninger, der er anført i forordningens artikel 9, stk. 2 og 3, »[også] de generelle principper og andre regler i denne forordning finde anvendelse [på en sådan behandling], navnlig for så vidt angår betingelserne for lovlig behandling«, således som disse fremgår af samme forordnings artikel 6.

74 I henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, er behandling af »særligt følsomme« oplysninger såsom helbredsoplysninger derfor kun lovlig, hvis mindst én af betingelserne i artikel 6, stk. 1, første afsnit, litra a)-f), er opfyldt.

75 Databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, fastsætter en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig. For at kunne anses for at være lovlig skal behandlingen således være omfattet af et af de tilfælde, som er omhandlet i denne bestemmelse (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 90 og den deri nævnte retspraksis).

76 Domstolen har derfor gentagne gange fastslået, at enhver behandling af personoplysninger skal foregå i overensstemmelse med de principper for behandling af oplysninger, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, og opfylde de betingelser for lovlig behandling, som er opstillet i forordningens artikel 6 (dom af 4.5.2023, Bundesrepublik Deutschland (Domstolenes elektroniske postkasse), C-60/22, EU:C:2023:373, præmis 57 og den deri nævnte retspraksis).

77 Det er desuden allerede blevet fastslået, at for så vidt som databeskyttelsesforordningens artikel 7-11, der ligesom artikel 5 og 6 er indeholdt i denne forordnings kapitel II, har til formål at præcisere rækkevidden af de forpligtelser, der påhviler den dataansvarlige i henhold til forordningens artikel 5, stk. 1, litra a), og artikel 6, stk. 1, skal behandlingen af personoplysninger, for at være lovlig, i øvrigt også, således som det fremgår af Domstolens praksis, foregå under overholdelse af disse andre bestemmelser i det nævnte kapitel, der i det væsentlige vedrører samtykke, behandling af særlige kategorier af følsomme personoplysninger og behandling af personoplysninger vedrørende straffedomme og lovovertrædelser (dom af 4.5.2023, Bundesrepublik Deutschland (Domstolenes elektroniske postkasse), C-60/22, EU:C:2023:373, præmis 58 og den deri nævnte retspraksis).

78 Det følger navnlig heraf, at for så vidt som databeskyttelsesforordningens artikel 9, stk. 2, litra h), har til formål at præcisere rækkevidden af de forpligtelser, der påhviler den dataansvarlige i henhold til forordningens artikel 5, stk. 1, litra a), og artikel 6, stk. 1, skal en behandling af helbredsoplysninger på grundlag af førstnævnte bestemmelse for at være lovlig både overholde de krav, der følger af denne bestemmelse, og de forpligtelser, der følger af de to sidstnævnte bestemmelser, og navnlig opfylde mindst én af de betingelser for lovlig behandling, der er fastsat i artikel 6, stk. 1.

79 Henset til det ovenstående skal det tredje spørgsmål besvares med, at databeskyttelsesforordningens artikel 9, stk. 2, litra h), og artikel 6, stk. 1, skal fortolkes således, at en behandling af helbredsoplysninger på grundlag af førstnævnte bestemmelse for at være lovlig ikke alene skal overholde de krav, der følger af denne bestemmelse, men også opfylde mindst én af de betingelser for lovlig behandling, der er fastsat i artikel 6, stk. 1.

Det fjerde spørgsmål

80 Med det fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, ikke alene har en kompenserende funktion, men også en afskrækkende eller straffende funktion, og om der i givet fald eventuelt skal tages hensyn til sidstnævnte funktion ved fastsættelsen af størrelsen af den erstatning, der tildeles for immateriel skade på grundlag af denne bestemmelse.

81 Det bemærkes, at databeskyttelsesforordningens artikel 82, stk. 1, fastsætter, at »[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren«.

82 Domstolen har fortolket denne bestemmelse således, at den blotte overtrædelse af databeskyttelsesforordningen ikke er tilstrækkelig til at give ret til erstatning, efter at have fremhævet bl.a., at en af betingelserne for ret til erstatning som fastsat i artikel 82, stk. 1, er, at der foreligger »skade«, eller at der er »forvold[t] skade«, ligesom forordningen skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 32 og 42).

83 Domstolen har desuden fastslået, at eftersom databeskyttelsesforordningen ikke indeholder bestemmelser, der har til formål at fastlægge reglerne om fastsættelse af den erstatning, der skal betales i henhold til den ret til erstatning, der er fastsat i forordningens artikel 82, skal de nationale retter herved i henhold til princippet om procesautonomi anvende den enkelte medlemsstats nationale regler vedrørende den økonomiske erstatnings omfang, for så vidt som dette sker under overholdelse af de EU-retlige principper om ækvivalens og effektivitet, således som disse er defineret i Domstolens faste praksis (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 53, 54 og 59).

84 I denne sammenhæng, og i lyset af 6. punktum i 146. betragtning til databeskyttelsesforordningen, hvori det er anført, at dette instrument har til formål at sikre de registrerede »fuld erstatning for den skade, som de har lidt«, har Domstolen fremhævet, at henset til den kompenserende funktion af den ret til erstatning, som er fastsat i forordningens artikel 82, skal en økonomisk erstatning på grundlag af denne bestemmelse anses for at være »fuld«, hvis den fuldstændigt kompenserer den skade, der konkret er lidt på grund af overtrædelsen af denne forordning, uden at det med henblik på en sådan ydelse af fuldstændig kompensation er nødvendigt at pålægge betaling af erstatning med karakter af straf (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 57 og 58).

85 Det skal i denne henseende fremhæves, at databeskyttelsesforordningens artikel 82 ikke har en straffende, men en kompenserende funktion i modsætning til andre af forordningens bestemmelser, der ligeledes findes i dens kapitel VIII, nemlig artikel 83 og 84, som for deres vedkommende i det væsentlige har et strafformål, idet de giver mulighed for henholdsvis at pålægge administrative bøder og andre sanktioner. Forholdet mellem reglerne i artikel 82 og i artikel 83 og 84 viser, at disse to kategorier af bestemmelser er forskellige, men også komplementære med hensyn til tilskyndelse til at overholde databeskyttelsesforordningen, idet det bemærkes, at retten for enhver til at kræve erstatning for en skade styrker den operationelle karakter af de beskyttelsesregler, der er fastsat ved denne forordning, og kan virke afskrækkende på gentagelse af ulovlig adfærd (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 38 og 40).

86 Eftersom den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, ikke har en sådan afskrækkende eller ligefrem straffende funktion, som den forelæggende ret sigter til, kan grovheden af den overtrædelse af forordningen, der har forvoldt den pågældende skade, ikke påvirke størrelsen af den erstatning, der tildeles i henhold til denne bestemmelse, heller ikke når der er tale om en skade, der ikke er materiel, men immateriel. Det følger heraf, at erstatningsbeløbet ikke kan fastsættes på et niveau, der overstiger fuld erstatning for denne skade.

87 Følgelig skal det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, opfylder en kompenserende funktion, og ikke en afskrækkende eller straffende funktion, for så vidt som en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der konkret er lidt på grund af overtrædelsen af forordningen.

Det femte spørgsmål

88 Det fremgår af de oplysninger, som den forelæggende ret har fremsendt som svar på en anmodning om uddybende oplysninger fremsat i henhold til artikel 101 i Domstolens procesreglement, at det med det femte spørgsmål ønskes oplyst dels, om det er en betingelse for, at den dataansvarlige eller databehandleren kan ifalde ansvar, at der foreligger skyld og/eller bevis for skyld, dels hvilken indvirkning graden af den dataansvarliges eller databehandlerens skyld kan have på den konkrete fastsættelse af den erstatning, der skal betales for den immaterielle skade, der er lidt.

89 Henset til dette svar fra den forelæggende ret skal det femte spørgsmål forstås således, at det nærmere bestemt ønskes oplyst dels, om databeskyttelsesforordningens artikel 82 skal fortolkes således, at det er en betingelse for, at den dataansvarlige kan ifalde ansvar, at denne har pådraget sig skyld, dels om der skal tages hensyn til graden af denne skyld ved fastsættelsen af den erstatning, der skal tildeles for en immateriel skade på grundlag af denne bestemmelse.

90 Hvad angår dette spørgsmåls første led bemærkes, at databeskyttelsesforordningens artikel 82, stk. 1, således som det er blevet anført i denne doms præmis 82, betinger retten til erstatning af, at tre elementer er til stede, nemlig at der foreligger en overtrædelse af forordningen, at der er lidt en skade, og at der er en årsagsforbindelse mellem denne overtrædelse og skaden.

91 Databeskyttelsesforordningens artikel 82, stk. 2, bestemmer for sin del, at enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. Denne bestemmelses ordlyd i visse sprogversioner, bl.a. versionen på tysk, som er processprog i denne sag, gør det ikke muligt med sikkerhed at afgøre, om den pågældende overtrædelse skal kunne tilregnes den dataansvarlige, for at denne kan ifalde ansvar.

92 I denne henseende fremgår det af en analyse af de forskellige sprogversioner af databeskyttelsesforordningens artikel 82, stk. 2, første punktum, at den dataansvarlige formodes at have været involveret i den behandling, der udgør den omhandlede overtrædelse af forordningen. Mens den tyske, den franske og den finske sprogversion er formuleret åbent, er en række andre sprogversioner nemlig mere præcise og anvender et påpegende bestemmelsesord ved den tredje forekomst af ordet »behandling« eller ved den tredje henvisning til dette ord, således at det er klart, at denne tredje forekomst eller henvisning sigter til samme aktivitet som den anden forekomst af ordet. Dette gælder den spanske, den estiske, den græske, den italienske og den rumænske sprogversion.

93 I dette perspektiv præciserer databeskyttelsesforordningens artikel 82, stk. 3, at en dataansvarlig er fritaget for erstatningsansvar i henhold til artikel 82, stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

94 Det fremgår således af en samlet analyse af disse forskellige bestemmelser i databeskyttelsesforordningens artikel 82, at denne artikel fastsætter en ordning med culpaansvar, hvorefter bevisbyrden ikke påhviler den person, der har lidt skade, men den dataansvarlige.

95 En sådan fortolkning understøttes af den sammenhæng, hvori artikel 82 indgår, og af de formål, som EU-lovgiver forfølger med databeskyttelsesforordningen.

96 I denne henseende fremgår det for det første af ordlyden af databeskyttelsesforordningens artikel 24 og 32, at disse bestemmelser begrænser sig til at pålægge den dataansvarlige at vedtage tekniske og organisatoriske foranstaltninger med henblik på i videst muligt omfang at undgå ethvert brud på persondatasikkerheden. Spørgsmålet om, hvorvidt sådanne foranstaltninger er passende, skal vurderes konkret, idet det skal undersøges, om den dataansvarlige har gennemført disse foranstaltninger under hensyntagen til de forskellige kriterier, der er omhandlet i de nævnte artikler, og til de behov for databeskyttelse, der specifikt er forbundet med den pågældende behandling, samt til de risici, som denne behandling indebærer (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 30).

97 Der ville opstå tvivl om en sådan forpligtelse, hvis den dataansvarlige derefter var forpligtet til at erstatte enhver skade forvoldt af en behandling, der er foretaget i strid med databeskyttelsesforordningen.

98 Hvad for det andet angår formålene med databeskyttelsesforordningen fremgår det af fjerde til ottende betragtning hertil, at denne har til formål at skabe en balance mellem de interesser, som de ansvarlige for behandlingen af personoplysninger har, og de rettigheder, som de personer, hvis personoplysninger behandles, har. Det mål, der forfølges, er at muliggøre udvikling af den digitale økonomi og samtidig sikre et højt niveau for beskyttelse af enkeltpersoner. Der tages således sigte på en afvejning af den dataansvarliges interesser og de interesser, som de personer, hvis personoplysninger behandles, har. En culpaansvarsordning med omvendt bevisbyrde, således som fastsat i databeskyttelsesforordningens artikel 82, gør det netop muligt at sikre en sådan balance.

99 For det første ville det, således som generaladvokaten i det væsentlige har anført i punkt 93 i forslaget til afgørelse, ikke være i overensstemmelse med målet om en sådan høj beskyttelse at vælge en fortolkning, hvorefter de registrerede, der har lidt skade som følge af en overtrædelse af databeskyttelsesforordningen, i forbindelse med et erstatningssøgsmål på grundlag af forordningens artikel 82 ikke alene skulle bevise denne overtrædelse og den skade, de har lidt som følge heraf, men også, at den dataansvarlige forsætligt eller uagtsomt har pådraget sig skyld, eller ligefrem skulle bevise graden af skyld, selv om artikel 82 ikke opstiller sådanne krav (jf. analogt dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 56).

100 For det andet ville en ordning med objektivt ansvar ikke sikre opfyldelsen af det mål om retssikkerhed, som lovgiver har tilsigtet, således som det fremgår af syvende betragtning til databeskyttelsesforordningen.

101 Hvad angår det femte spørgsmåls andet led vedrørende fastsættelsen af størrelsen af den erstatning, der eventuelt skal betales i henhold til databeskyttelsesforordningens artikel 82, bemærkes, at de nationale retter, således som det er blevet fremhævet i denne doms præmis 83, med henblik på fastsættelsen af denne erstatning skal anvende den enkelte medlemsstats nationale regler vedrørende den økonomiske erstatnings omfang, for så vidt som dette sker under overholdelse af de EU-retlige principper om ækvivalens og effektivitet, således som disse er defineret i Domstolens faste praksis.

102 Det skal præciseres, at databeskyttelsesforordningens artikel 82, henset til denne bestemmelses kompenserende funktion, ikke kræver, at grovheden af den overtrædelse af forordningen, som den dataansvarlige formodes at have begået, tages i betragtning ved fastsættelsen af størrelsen af den erstatning, der tildeles for en immateriel skade på grundlag af denne bestemmelse, men at erstatningsbeløbet fastsættes således, at det fuldstændigt kompenserer den skade, der konkret er lidt på grund af overtrædelsen af forordningen, således som det fremgår af denne doms præmis 84 og 87.

103 Følgelig skal det femte spørgsmål besvares med, at databeskyttelsesforordningens artikel 82 skal fortolkes således dels, at det er en betingelse for, at den dataansvarlige kan ifalde ansvar, at denne har pådraget sig skyld, hvilket formodes at være tilfældet, medmindre den dataansvarlige beviser, at den pågældende ikke er skyld i den begivenhed, der medførte skaden, dels at artikel 82 ikke kræver, at der tages hensyn til graden af denne skyld ved fastsættelsen af størrelsen af den erstatning, der tildeles for en immateriel skade på grundlag af denne bestemmelse.

Sagsomkostninger

104 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

1) Artikel 9, stk. 2, litra h), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)