CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Foreløbig udgave

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

A.M. COLLINS

fremsat den 26. oktober 2023(1)

Forenede sager C-182/22 og C-189/22

JU (C-182/22)

SO (C-189/22)

mod

Scalable Capital GmbH

(anmodning om præjudiciel afgørelse indgivet af Amtsgericht München (byretten i München, Tyskland))

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 82, stk. 1 – ret til erstatning for skade forvoldt af behandling af oplysninger foretaget i strid med denne forordning – immateriel skade – tyveri af oplysninger – identitetstyveri eller ‑svig«

I. Indledning

1. I to stort set identiske søgsmål anlagt af JU mod Scalable Capital GmbH (herefter »Scalable Capital«) (sag C-182/22) og SO mod Scalable Capital (sag C-189/22) kræver sagsøgerne erstatning for immateriel skade som følge af svie og smerte forvoldt af, hvad den forelæggende ret beskriver som ukendte tredjeparters tyveri (2) af deres personlige oplysninger, som er gemt i en tradingapp, der forvaltes af Scalable Capital. Oplysningerne er – til dato – ikke blevet anvendt af tredjeparterne til svigagtige eller andre formål. Amtsgericht München (byretten i München, Tyskland) har anmodet Domstolen om vejledning med hensyn til fortolkningen af begrebet immateriel skade i artikel 82 i forordning (EU) 2016/679 (3) og betingelserne for, at der kan ydes erstatning for en sådan skade. Den ønsker navnlig oplyst, om tyveriet af disse oplysninger udgør »identitetstyveri« som omhandlet i 75. betragtning til databeskyttelsesforordningen.

II. Retsgrundlag – EU-retten

2. 75. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser; hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger; [...]«

3. 85. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person. […]«

4. 146. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade, som en person måtte lide som følge af behandling, der overtræder denne forordning. […] Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning. […] Registrerede bør have fuld erstatning for den skade, som de har lidt. [...]«

5. Samme forordnings artikel 82, som har overskriften »Ret til erstatning og erstatningsansvar«, bestemmer følgende:

»1. Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2. Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af behandling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser.

3. En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

[…]«

III. Tvisterne i hovedsagerne og de præjudicielle spørgsmål

6. JU og SO åbnede et værdipapirdepot i en tradingapp, som forvaltes af Scalable Capital. For at bekræfte deres identitet registrerede de hver især deres personlige oplysninger i appen, herunder deres navn, fødselsdato, post- og e-mailadresse samt en digital kopi af deres identitetsbevis (4). Det er ubestridt, at ukendte gerningsmænd stjal disse oplysninger.

7. Amtsgericht München (byretten i München) er af den opfattelse, at de stjålne oplysninger har en mere end ubetydelig følsomhed, og at JU og SO har ret til erstatning i henhold til databeskyttelsesforordningens artikel 82. Da størrelsen af det erstatningsbeløb, der skal tilkendes JU og SO, afhænger af fortolkningen af databeskyttelsesforordningens artikel 82, har den besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Skal [databeskyttelsesforordningens] artikel 82 fortolkes således, at retten til erstatning ikke i forbindelse med fastsættelsen af erstatningens størrelse kan tillægges karakter af sanktion, navnlig ingen generel eller speciel afskrækkende funktion, men at retten til erstatning kun har funktion af kompensation og [eventuel] godtgørelse?

2) a) Skal det ved fastsættelsen af retten til erstatning for immateriel skade lægges til grund, at retten til erstatning også har en individuel godtgørelsesfunktion – i den foreliggende sag forstået som den krænkedes private interesse i at se den forvoldende adfærd retsforfulgt, eller har retten til erstatning kun en kompenserende funktion – i den foreliggende sag forstået som den funktion at kompensere for den forvoldte skade?

b) 1) Såfremt det skal lægges til grund, at retten til erstatning for immateriel skade har såvel kompensations- som godtgørelsesfunktion: Skal det ved fastlæggelsen af erstatningens størrelse lægges til grund, at kompensationsfunktionen har en strukturel forrang frem for godtgørelsesfunktionen eller i det mindste en forrang i form af et hovedregel-undtagelsesforhold? Fører dette til, at en godtgørelsesfunktion kun kommer i betragtning i forbindelse med forsætlige eller groft uagtsomme krænkelser?

2) Såfremt retten til erstatning for immateriel skade ikke kan tillægges [en] godtgørelsesfunktion: Er det ved fastsættelsen af erstatningens størrelse kun forsætlige eller groft uagtsomme krænkelser af databeskyttelsesforordningen, der som bedømmelse af bidrag til den forvoldte skade tillægges ekstra vægt?

3) Skal der for forståelsen af retten til erstatning for immateriel skade og udmålingen af denne lægges et strukturelt rangforhold eller i det mindste et hovedregel-undtagelsesforhold til grund, hvor den oplevelse af gene, der skyldes en krænkelse af databeskyttelsesreglerne, har mindre vægt end den gene- og smerteoplevelse, der er knyttet til en fysisk skade?

4) Kan en national domstol, såfremt det lægges til grund, at der foreligger en skade, under hensyn til manglende grovhed frit tilkende en materielt ubetydelig erstatning for skaden, som dermed [eventuelt] af den krænkede eller generelt kun opleves som symbolsk?

5) Skal det lægges til grund for forståelsen af retten til erstatning for immateriel skade og bedømmelsen af dens følger, at der først foreligger identitetstyveri som omhandlet i 75. betragtning til databeskyttelsesforordningen, hvis en kriminel gerningsmand faktisk har påtaget sig den registreredes identitet, altså i en eller anden form har udgivet sig for den registrerede, eller udgør allerede den omstændighed, at kriminelle gerningsmænd råder over data, som gør det muligt at identificere den registrerede, et sådant identitetstyveri?«

IV. Retsforhandlingerne for Domstolen

8. Ved afgørelse truffet af Domstolens præsident den 19. april 2022 er sagerne C-182/22 og C-189/22 blevet forenet med henblik på den skriftlige og den mundtlige forhandling samt dommen.

9. Den 1. juni 2022 afslog Domstolens præsident Scalable Capitals anmodning om at anonymisere den foreliggende sag i henhold til artikel 95, stk. 2, i Domstolens procesreglement.

10. SO, Scalable Capital, Irland og Europa-Kommissionen har indgivet skriftlige indlæg.

11. Jeg vil først komme ind på de indsigelser, der er blevet rejst mod, at de forelagte spørgsmål kan antages til realitetsbehandling, før jeg rådgiver Domstolen om, hvorledes den skal besvare det femte spørgsmål.

V. Bedømmelse

A. Formaliteten

12. Scalable Capital har gjort gældende, at tabet af kontrol over personoplysninger, uden yderligere konsekvenser for den berørte person, ikke medfører, at der foreligger immateriel skade som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1. Teksten, den generelle opbygning og formålet med databeskyttelsesforordningens artikel 82 støtter ikke en formodning om, at der opstår en sådan skade som følge af et sådant tab af kontrol. Den forelæggende ret begik således en fejl, da den antog, at JU og SO havde lidt immateriel skade. Anmodningerne om præjudiciel afgørelse er derfor irrelevante for afgørelsen af sagerne ved den forelæggende ret og kan således ikke antages til realitetsbehandling.

13. Kommissionen er af den opfattelse, at relevansen af det femte spørgsmål er uklar, henset til afgørelsen af sagerne ved den forelæggende ret. Den forelæggende ret henviser alene til parternes forskellige forståelse af loven og anfører, at »der først [foreligger] et identitetstyveri, hvis nogen anvender de ulovligt tilgåede oplysninger til at foregive den berørtes identitet«. Domstolen anmodes i det femte spørgsmål heller ikke om at fortolke en nærmere angivet bestemmelse i databeskyttelsesforordningen.

14. Ifølge Domstolens faste praksis gælder der en formodning om, at de spørgsmål om EU-rettens fortolkning, som den nationale ret har forelagt, er relevante. Domstolen kan kun afvise sådanne anmodninger, såfremt det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, når problemet er hypotetisk, eller hvis Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af de forelagte spørgsmål (5).

15. Scalable Capitals formalitetsindsigelse mod alle de præjudicielle spørgsmål er baseret på selskabets fortolkning af databeskyttelsesforordningens artikel 82, retten til erstatning og antagelsen af, at der ikke foreligger immateriel skade. De forelagte spørgsmål vedrører registreredes ret til erstatning i henhold til databeskyttelsesforordningens artikel 82. En nødvendig forudsætning for at opnå en sådan erstatning er, at det kan fastslås, at der foreligger en skade (6). Scalable Capitals formalitetsindsigelse mod de præjudicielle spørgsmål vedrører således realiteten med hensyn til de spørgsmål, som de rejser. Argumenter, der vedrører realiteten med hensyn til de spørgsmål, der rejses i en forelæggelsesafgørelse, kan i sagens natur ikke påvirke, om anmodningen kan antages til realitetsbehandling (7).

16. Hvad angår Kommissionens formalitetsindsigelse vedrørende det femte spørgsmål, fremgår det ikke klart, at dette spørgsmål enten savner forbindelse med søgsmålene ved den forelæggende ret, eller at det er af hypotetisk karakter. Der er ved den forelæggende ret anlagt søgsmål om erstatning i henhold til databeskyttelsesforordningen. Parterne er ikke enige om, hvorvidt tyveri af personoplysninger udgør identitetstyveri som omhandlet i 75. betragtning til databeskyttelsesforordningen, eller om der først foreligger identitetstyveri, hvis en »kriminel gerningsmand faktisk har påtaget sig den registreredes identitet« (8). Den forelæggende ret har kun gjort få antagelser i forbindelse med det femte spørgsmål, men det fremgår af anmodningen om præjudiciel afgørelse, at dette spørgsmål er forbundet med de fire andre spørgsmål, som den har stillet om begrebet immateriel skade og retten til erstatning i henhold til databeskyttelsesforordningens artikel 82.

17. Jeg foreslår derfor, at Domstolen forkaster formalitetsindsigelserne med hensyn til de spørgsmål, som Amtsgericht München (byretten i München) har forelagt.

B. Realiteten

1. Parternes indlæg

18. SO har gjort gældende, at der i 85. betragtning til databeskyttelsesforordningen sondres klart mellem identitetstyveri og identitetssvig. Identitetstyveri forudsætter, at gerningsmanden kan misbruge en persons identitet ved at vildlede andre med hensyn til den pågældende identitet. Identitetssvig kan begås efter et identitetstyveri. Det følger heraf, at der ikke kræves et faktisk misbrug af en persons identitet, for at der foreligger identitetstyveri. Karakteren og omfanget af de stjålne oplysninger i den foreliggende sag giver anledning til en formodning om, at der har fundet identitetstyveri sted, hvilket giver ret til erstatning.

19. Scalable Capital har gjort gældende, at der foreligger identitetstyveri, såfremt en person misbruger en persons personoplysninger med henblik på at »foregive« denne persons identitet. Tyveri af visse oplysninger kan føre til eller gøre det nemmere at foretage et identitetstyveri, men udgør ikke i sig selv identitetstyveri. En systematisk fortolkning af 75. betragtning til databeskyttelsesforordningen støtter denne tilgang, da de øvrige eksempler i denne betragtning tyder på, at muligheden for at anvende visse personoplysninger ikke udgør identitetstyveri. Formålet med databeskyttelsesforordningens artikel 82 er at yde erstatning for den skade, som enkeltpersoner faktisk lider. En udvidende fortolkning af begrebet identitetstyveri vil være i modstrid med dette mål, da et erstatningssøgsmål i så fald ville være baseret på den teoretiske mulighed for, at der kan opstå skade i fremtiden.

20. Irland har gjort gældende, at identitetstyveri forekommer under omstændigheder, hvor en part faktisk påtager sig identiteten af den person, hvis personoplysninger er blevet uretmæssigt tilegnet. En parts blotte besiddelse af oplysninger, der identificerer en person, er således ikke tilstrækkeligt for, at der foreligger identitetstyveri. Erstatning for immateriel skade i henhold til databeskyttelsesforordningens artikel 82 skal under alle omstændigheder vurderes på grundlag af realiteten i den enkelte sag.

21. Kommissionen har anført, at databeskyttelsesforordningen ikke definerer identitetstyveri. 75. og 85. betragtning til databeskyttelsesforordningen henviser til identitetstyveri som et eksempel på behandling af personoplysninger, der med sandsynlighed kan føre til fysisk, materiel eller immateriel skade. Ifølge Kommissionen består den form for identitetstyveri, som disse betragtninger henviser til, i ulovlig indhentning af oplysninger med det formål uretmæssigt at »foregive« pågældende persons identitet (9). For at bevise identitetstyveri skal gerningsmandens hensigt om at udgive sig for at være den pågældende person fastslås på grundlag af konkrete handlinger eller handlinger, som udgør en forberedende foranstaltning hertil. Da det er fast retspraksis, at skaden skal være »faktisk og reel« (10), udgør den blotte besiddelse af oplysninger, der identificerer den pågældende person, uden at der er taget skridt til at udgive sig for at være denne, ikke identitetstyveri.

2. Analyse

22. Med den forelæggende rets femte spørgsmål ønskes oplyst, om en ukendt gerningsmands simple tyveri af en registreret persons følsomme personoplysninger (11) udgør identitetstyveri og dermed giver ret til erstatning, eller om det kræver, at gerningsmanden rent faktisk påtager sig den registreredes identitet eller træffer foranstaltninger med henblik herpå. Dette spørgsmål stilles i forbindelse med en konstatering af, at ukendte gerningsmænd stjal visse af JU’s og SO’s følsomme personoplysninger fra Scalable Capitals tradingapp. Selv om der ikke synes at være sket yderligere (mis)brug af oplysningerne, er det ikke muligt at udelukke en sådan fremtidig (mis)brug, da gerningsmændenes identitet er ukendt, og de fortsat ikke er pågrebet.

23. Databeskyttelsesforordningens artikel 82 bekræfter i brede (12) vendinger den ret til erstatning, som tilkommer enhver registreret, der har lidt »materiel eller immateriel skade« som følge af en overtrædelse af denne forordning, og præciserer det ansvar, som påhviler henholdsvis dataansvarlige og/eller databehandlere. Denne bestemmelse identificerer hverken den specifikke karakter eller formen af en sådan skade. Databeskyttelsesforordningen henviser ikke til medlemsstaternes lovgivning for at definere betydningen og omfanget af begrebet »immateriel skade« (13). Dette begreb skal derfor behandles som et selvstændigt begreb i EU-retten og fortolkes på en ensartet måde i alle medlemsstater (14).

24. Erstatning i henhold til databeskyttelsesforordningens artikel 82 udbetales, såfremt det godtgøres, at der foreligger henholdsvis en overtrædelse af databeskyttelsesforordningen, en »faktisk lidt skade« og en årsagssammenhæng mellem den pågældende overtrædelse og den pågældende skade (15). Databeskyttelsesforordningens bestemmelser omfatter ikke en ordning med objektivt ansvar (16). Den erstatningsordning, som blev indført ved databeskyttelsesforordningens artikel 82, stk. 1, udelukker ligeledes erstatning, der har karakter af straf (17). En sådan erstatning skal være fuld, hvorved forstås, at »den fuldstændigt kompenserer den skade, der er lidt på grund af overtrædelsen af [databeskyttelsesforordningen]« (18). Den immaterielle skade, som den registrerede har lidt, behøver ikke at have en bestemt alvorsgrad (19). Der er ikke nogen bagatelgrænse med hensyn til omfanget af immateriel skade, men der skal være klare og præcise beviser for, at den registrerede har lidt en sådan skade. Potentiel eller hypotetisk skade (20) eller den blotte bekymring over tyveri af ens personlige data er ikke tilstrækkeligt.

25. Databeskyttelsesforordningens artikel 82, stk. 3, fritager en dataansvarlig eller databehandler for erstatningsansvar, »hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden«. Domstolen har ikke haft lejlighed til at undersøge artikel 82, stk. 3, nærmere. Ved en ordlydsfortolkning af denne bestemmelse synes at fremgå, at enhver (medvirkende) uagtsomhed eller forsømmelse fra den dataansvarliges eller databehandlerens side er tilstrækkelig til at udelukke anvendelsen af fritagelsen. Endvidere kan den bevisbyrde (21), som denne bestemmelse pålægger dataansvarlige eller databehandlere, som ønsker at benytte sig af fritagelsen, nødvendiggøre, at der træffes løbende foranstaltninger med henblik på at forebygge brud på datasikkerheden (22).

26. Tyveri af personoplysninger vedrørende en registreret giver ret til erstatning for immateriel skade i henhold til databeskyttelsesforordningens artikel 82, stk. 1, såfremt de tre betingelser, der er fastsat i Österreichische Post-dommen (23), er opfyldt. Det fremgår af syvende betragtning til databeskyttelsesforordningen, at »[f]ysiske personer bør have kontrol over deres personoplysninger«. Registrerede, der er »forhindret i at udøve kontrol med deres personoplysninger« (24), eller fysiske personer, som er genstand for »tab af kontrol over deres personoplysninger« (25), kan have lidt immateriel skade. Det er i denne sammenhæng, at den forelæggende ret ønsker oplyst, om tyveri af personoplysninger udgør identitetstyveri.

27. De dispositive bestemmelser i databeskyttelsesforordningen hverken henviser til eller definerer identitetstyveri. 75. og 85. betragtning til databeskyttelsesforordningen henviser blot til »identitetstyveri eller ‑svig«. I 75. betragtning anføres »identitetstyveri eller ‑svig« som et af en ikke-udtømmende liste over eksempler (26)på risici for fysiske personers udøvelse af deres rettigheder og frihedsrettigheder som følge af behandlingen af deres personoplysninger. I 85. betragtning til databeskyttelsesforordningen henvises der ligeledes til »identitetstyveri eller ‑svig« som et eksempel (27)på skade, der skyldes, at et brud på persondatasikkerheden ikke håndteres på en passende og rettidig måde (28).

28. En række betragtninger (29) og bestemmelser (30) i anden EU-lovgivning henviser til begreber som »identitetstyveri« (31), »identitetssvig« og »identitetstyveri eller ‑svig« (32). Jeg har ikke fundet nogen bestemmelse i EU-lovgivningen, som definerer disse begreber (33). EU-lovgiver henviser således til disse begreber som illustrative eksempler (34).

29. En undersøgelse af de forskellige sprogversioner af disse udtryk i 75. og 85. betragtning til databeskyttelsesforordningen viser det samme. Mens de tyske (Identitätsdiebstahl oder ‑betrug), de engelske (identity theft or fraud), de estiske (identiteedivargust või ‑pettust), de irske (goid aitheantais nó calaois aitheantais), de litauiske (būti pavogta ar suklastota tapatybė), de nederlandske (identiteitsdiefstal of ‑fraude), de polske (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), de rumænske (furt sau fraudă a identității) og de slovakiske (krádeži totožnosti alebo podvodu) sprogversioner stort set er ens, afviger andre sprogversioner i varierende grad herfra. Det gælder f.eks. de tjekkiske (krádeži či zneužití identitet), de franske (vol ou une usurpation d’identité), de græske (κατάχρηση ή υποκλοπή ταυτότητας), de portugisiske (usurpação ou roubo da identidade), de italienske (furto o usurpazione d’identità) og de spanske (usurpación de identidad o fraude) sprogversioner. De forskellige sprogversioner af de relevante betragtninger til databeskyttelsesforordningen tyder på, at begreberne identitetstyveri, identitetssvig, misbrug af identitet, uretmæssig udnyttelse af identitet, uretmæssig tilegnelse af identitet og tilranelse af identitet overlapper hinanden og, i det mindste til en vis grad, kan betragtes som indbyrdes udskiftelige. Det følger heraf, at 75. og 85. betragtning til databeskyttelsesforordningen ikke sondrer klart mellem identitetstyveri og identitetssvig, i modsætning til det, som SO har gjort gældende, jf. punkt 18 i dette forslag til afgørelse.

30. 75. og 85. betragtning til databeskyttelsesforordningen sondrer mellem »tab af kontrol« eller »forhindret i at udøve kontrol« over personoplysninger og »identitetstyveri eller ‑svig«. Følgelig udgør tyveri af personoplysninger (35) ikke i sig selv identitetstyveri, selv om det pågældende tyveri kan medføre fremtidig (mis)brug af de pågældende oplysninger. Der kræves en yderligere handling eller et yderligere skridt med skadelige virkninger for den registrerede, der strækker sig ud over tyveri af personoplysninger, for at der er tale om identitetstyveri (36). En person, der stjæler en registreret persons personoplysninger, skal (mis)bruge dem eller tage konkrete skridt til at (mis)bruge dem til ulovlige formål uden den registreredes samtykke (37). Sådanne handlinger omfatter typisk svig eller en anden form for bedrag og udføres generelt med henblik på økonomisk eller anden vinding eller for at skade den registrerede eller de mennesker, vedkommende omgiver sig med (38).

31. Det følger af det ovenstående, at selv om tyveri af personoplysninger ikke udgør identitetstyveri eller identitetssvig, kan et sådant tyveri medføre immateriel skade og ret til erstatning i henhold til databeskyttelsesforordningens artikel 82, stk. 1 (39). Det kan være lettere at føre bevis for immateriel skade, hvis det fastslås, at den registrerede har været offer for identitetstyveri eller ‑svig som følge af tyveri af vedkommendes personoplysninger (40). Retten til erstatning for immateriel skade i henhold til databeskyttelsesforordningens artikel 82, stk. 1, som følge af tyveri af personoplysninger er dog ikke betinget af, at der foreligger identitetstyveri eller ‑svig (41). Immateriel skade og retten til erstatning i henhold til databeskyttelsesforordningens artikel 82, stk. 1, skal vurderes fra sag til sag under hensyntagen til alle relevante omstændigheder.

VI. Forslag til afgørelse

32. På baggrund af ovenstående betragtninger foreslår jeg, at Domstolen besvarer det femte spørgsmål, som Amtsgericht München (byretten i München, Tyskland) har forelagt, således:

»Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at

en ukendt gerningsmands tyveri af en registreret persons følsomme personoplysninger kan give ret til erstatning for immateriel skade, såfremt det godtgøres, at der foreligger en overtrædelse af databeskyttelsesforordningen, en faktisk lidt skade og en årsagssammenhæng mellem overtrædelsen og den pågældende skade. Tilkendelsen af en sådan erstatning kræver ikke, at gerningsmanden har påtaget sig den registreredes identitet, og besiddelsen af oplysninger, der identificerer den registrerede, udgør ikke i sig selv identitetstyveri.«

1 – Originalsprog: engelsk.

2 – Den forelæggende ret har ikke givet en præcis retlig kvalifikation af gerningsmændenes handlinger i henhold til national ret. Udtrykket »tyveri« er bredt og kan omfatte tredjemands uretmæssige tilegnelse af data.

3 – Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1) (herefter »databeskyttelsesforordningen«).

4 – Af forelæggelsesafgørelsen fremgår det også, at »[v]ærdipapirdepotet blev forvaltet af en »robo advisor« [(robotrådgiver)], således at den gennemførte trading ikke viste en profil af sagsøgerens risikovillighed«.

5 – Jf. i denne retning dom af 2.9.2021, OTP Jelzálogbank m.fl. (C-932/19, EU:C:2021:673, præmis 26 og den deri nævnte retspraksis).

6 – Domstolen har fortolket databeskyttelsesforordningens artikel 82 således, at en af de tre betingelser, der skal være opfyldt for at opnå ret til erstatning er, at der foreligger »skade«, eller at der er »forvoldt skade«. Den blotte overtrædelse af databeskyttelsesforordningen er ikke tilstrækkelig til at give ret til erstatning. Dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger) (C-300/21, EU:C:2023:370, præmis 32 og 42) (herefter »Österreichische Post-dommen«).

7 – Jf. analogt dom af 12.12.2019, Slovenské elektrárne (C-376/18, EU:C:2019:1068, præmis 29).

8 – Jf. den forelæggende rets femte spørgsmål.

9 – Jf. Det Europæiske Databeskyttelsesråd, Guidelines 01/2021 – Examples regarding Personal Data Breach Notification, vedtaget den 14.12.2021, version 2.0, som findes på https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu) (herefter »2021-retningslinjerne«).

10 – Dom af 4.4.2017, Ombudsmanden mod Staelen (C-337/15, EU:C:2017:256, præmis 91-95 og 127-131).

11 – Databeskyttelsesforordningens artikel 4, nr. 1), bestemmer, at der ved »personoplysninger« forstås »enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

12 – Jf. 146. betragtning til databeskyttelsesforordningen.

13 – Domstolen har ikke defineret begrebet »immateriel skade« i forbindelse med databeskyttelsesforordningens artikel 82. Jeg er enig med generaladvokat Pitruzzella i, at følelsen af utilfredshed eller ubehag ved, at ens oplysninger er blevet »hacket«, ikke er tilstrækkeligt. For at få medhold i et sådant krav skal den registrerede påvise, at frygten for misbrug af vedkommendes oplysninger har påført denne »følelsesmæssig skade«. Jf. generaladvokat Pitruzzellas forslag til afgørelse Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, punkt 81-83).

14 – Österreichische Post-dommen, præmis 30.

15 – Jf. databeskyttelsesforordningens artikel 82, stk. 2, og Österreichische Post-dommen, præmis 32 og 50.

16 – Österreichische Post-dommen, præmis 33 og 34. Jf. i samme retning generaladvokat Pitruzzellas forslag til afgørelse Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, punkt 61).

17 – Österreichische Post-dommen, præmis 58. Jf. i denne retning også generaladvokat Campos Sánchez-Bordonas forslag til afgørelse Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger) (C-300/21, EU:C:2022:756, punkt 27-55) og generaladvokat Pitruzzellas forslag til afgørelse Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, punkt 74).

18 – Österreichische Post-dommen, præmis 58.

19 – Österreichische Post-dommen, præmis 31-33, 51 og 58). Jf. også 146. betragtning til databeskyttelsesforordningen. Jf. i modsætning hertil generaladvokat Campos Sánchez-Bordonas forslag til afgørelse Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger) (C-300/21, EU:C:2022:756, punkt 105) og generaladvokat Pitruzzellas forslag til afgørelse Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, punkt 78).

20 – Jf. i denne retning Österreichische Post-dommen, præmis 37.

21 – Det ser ud som om, at dataansvarlige og/eller databehandlere skal bevise en negativ omstændighed for at være omfattet af fritagelsen.

22 – Generaladvokat Pitruzzella mener, at dataansvarlige for systemer tilhørende offentlige eller private organisationer, som behandler store mængder af personoplysninger, skal gennemføre passende foranstaltninger for at modvirke i særdeleshed eksterne angreb for ikke at ifalde ansvar i henhold til databeskyttelsesforordningens artikel 82: jf. hans forslag til afgørelse Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, punkt 65-67). Sådanne proaktive foranstaltninger kan være besværlige og dyre. Databeskyttelsesforordningens artikel 82 pålægger i sig selv dataansvarlige og databehandlere en meget høj grad af pligt til at udvise omhu.

23 – Jf. dommens præmis 32 og 50. Jf. også punkt 24 og fodnote 6 i dette forslag til afgørelse.

24 – 75. betragtning til databeskyttelsesforordningen.

25 – 85. betragtning til databeskyttelsesforordningen.

26 – Dette fremgår klart af brugen af udtrykkene »kan«, »kan« og »navnlig« i denne betragtning.

27 – Dette fremgår klart af brugen af udtrykkene »kan« og »såsom« i denne betragtning. Jf. analogt dom af 22.12.2008, Wallentin-Hermann (C-549/07, EU:C:2008:771, præmis 22).

28 – I databeskyttelsesforordningens artikel 4, nr. 12), defineres »brud på persondatasikkerheden« som »et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet«.

29 – Betragtninger letter fortolkningen og forståelsen af EU-lovgivning ved bl.a. at angive de mål, den forfølger, og den sammenhæng, hvori den blev vedtaget. De bidrager til at fastslå betydningen af tvetydige lovbestemmelser. Betragtninger kan ikke bruges til at fortolke en bestemmelse contra legem. Dom af 19.11.1998, Nilsson m.fl. (C-162/97, EU:C:1998:554, præmis 54).

30 – Jf. f.eks. artikel 86, litra e), i Rådets og Kommissionens afgørelse 2013/490/EU af 22.7.2013 om indgåelse af stabiliserings- og associeringsaftalen mellem De Europæiske Fællesskaber og deres medlemsstater på den ene side og Republikken Serbien på den anden side (EUT 2013, L 278, s. 14) og artikel 2, stk. 2, litra b), samt artikel 21 og 25 i Europa-Parlamentets og Rådets forordning (EU) 2019/817 af 20.5.2019 om fastsættelse af en ramme for interoperabilitet mellem EU-informationssystemer vedrørende grænser og visum og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, Rådets beslutning 2004/512/EF og Rådets afgørelse 2008/633/RIA (EUT 2019, L 135, s. 27).

31 – Af 14. betragtning til Europa-Parlamentets og Rådets direktiv 2013/40 af 12.8.2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA (EUT 2013, L 218, p. 8) fremgår det, at »[i]ndførelse af effektive foranstaltninger til bekæmpelse af identitetstyveri og andre identitetsrelaterede strafbare handlinger udgør et andet vigtigt element i en integreret strategi mod it-kriminalitet«. Af 31. betragtning til Europa-Parlamentets og Rådets direktiv (EU) 2019/713 af 17.4.2019 om bekæmpelse af svig og forfalskning i forbindelse med andre betalingsmidler end kontanter og om erstatning af Rådets rammeafgørelse 2001/413/RIA (EUT 2019, L 123, s. 18) fremgår det, at »[s]vig og forfalskning i forbindelse med andre betalingsmidler end kontanter kan have alvorlige økonomiske og ikkeøkonomiske konsekvenser for ofrene. Hvis sådan svig f.eks. indebærer identitetstyveri, forværres konsekvenserne ofte som følge af omdømmemæssig og erhvervsmæssig skade, skade på en persons kreditvurdering samt alvorlig følelsesmæssig skade«. Ifølge 33. betragtning til dette direktiv »[bør] [m]edlemsstaterne [...] vedtage foranstaltninger til bistand og støtte til sådanne ofre, som bygger på de foranstaltninger, der kræves i medfør af nævnte direktiv, men som mere direkte tilgodeser de specifikke behov hos ofre for svig relateret til identitetstyveri«.

32 – Begreberne »identitetstyveri eller ‑svig« anvendes i betragtningerne i anden EU-lovgivning uden at blive defineret. Se f.eks. 46. betragtning til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23.10.2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT 2018, L 295, s. 39), og 51. og 61. betragtning til Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89).

33 – Bilag II til Kommissionens forordning (EU) 2018/1798 af 21.11.2018 om gennemførelse af Europa-Parlamentets og Rådets forordning (EF) nr. 808/2004 om EF-statistikker om informationssamfundet for referenceåret 2019 (EUT 2018, L 296, s. 2) indeholder en række eksempler på eller referencer til identitetstyveri. Disse omfatter »nogen stjæler respondentens personoplysninger og foretager f.eks. indkøb i vedkommendes navn« som et eksempel på »identitetstyveri på nettet«.

34 – Jf. i modsætning hertil artikel 226-4-1 i Code pénal français (den franske straffelov) (ændret ved loi n°2020-936 du 30 juillet 2020 (lov 2020-936 af 30.7.2020)), som er affattet således: »Tyveri af en anden persons identitet eller anvendelse af en eller flere oplysninger af enhver art, hvorved denne person kan identificeres, for at forstyrre hans eller hendes eller andres fred eller for at skade hans eller hendes ære eller omdømme, straffes med fængsel i et år og en bøde på 15 000 EUR. De samme sanktioner gælder, hvis lovovertrædelsen er begået på et offentligt online-kommunikationsnetværk. Begås lovovertrædelsen af offerets ægtefælle eller samlever eller af en partner, der er bundet til offeret af en pacte civil de solidarité [(registreret partnerskab)], straffes sådanne handlinger med to års fængsel og en bøde på 30 000 EUR.« Ved den amerikanske lov 18 U.S. Code § 1028A(a)(1) fastsættes kriterierne for forbrydelsen identitetstyveri af særlig grov beskaffenhed. Den bestemmer, at »enhver, der under og i forbindelse med en af de forbrydelser, der er nævnt i subsection c), uden lovlig hjemmel bevidst overfører, besidder eller anvender et middel til identifikation af en anden person, idømmes ud over den straf, der er fastsat for en sådan forbrydelse, en fængselsstraf på to år«. Jf. også den amerikanske lov 18 U.S. Code § 1028(a)(7), som fastsætter kriterierne for forbrydelsen identitetstyveri.

35 – Og det deraf følgende tab af kontrol over de stjålne personoplysninger.

36 – Identitetstyveri kræver, at gerningsmanden giver et forkert billede af den registrerede, f.eks. ved at optræde som den registrerede eller ved at udgive sig for at være den registrerede.

37 – Da der ikke foreligger (mis)brug af stjålne oplysninger eller er taget konkrete skridt hertil, giver arten og omfanget af disse data ikke anledning til en formodning om identitetstyveri, i modsætning til de argumenter, som SO har fremført, jf. punkt 18 i dette forslag til afgørelse.

38 – Som eksempler på identitetstyveri henvises til Den Europæiske Unions Agentur for CyberSikkerhed – Identity Theft – ENISA Threat Landscape January 2019 to April 2020, som findes på https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft, punkt 7.1 i 2021-retningslinjerne, som findes på https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf(europa.eu), og punkt 105 i Det Europæiske Databeskyttelsesråds retningslinjer, Guidelines 01/2022 on data subject rights – Right of access, Version 1.0, vedtaget den 18.1.2022, punkt 105, som findes på https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf

39 – Såfremt de tre betingelser, der er beskrevet i punkt 24 i dette forslag til afgørelse, er opfyldt.

40 – I sit forslag til afgørelse Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger) (C-300/21, EU:C:2022:756, punkt 98 og 99) anførte generaladvokat Campos Sánchez-Bordona, at eksemplerne på risici eller skade i 75. og 85. betragtning til databeskyttelsesforordningen kan være »betydelige« eller af »mere alvorlig karakter«. I praksis vil den omstændighed, at der foreligger identitetstyveri eller ‑svig bidrage til at fastslå, om der foreligger skade.

41 – Dette følger af den omstændighed, at »identitetstyveri eller ‑svig« som omhandlet i 75. og 85. betragtning til databeskyttelsesforordningen opregnes sammen med andre eksempler på risici eller skade, såsom »forskelsbehandling«, »finansielle tab«, og »skade på omdømme«.