Foreløbig udgave
FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
A.M. COLLINS
fremsat den 26. oktober 2023(1)
Forenede sager C-182/22 og C-189/22
JU (C-182/22)
SO (C-189/22)
mod
Scalable Capital GmbH
(anmodning om præjudiciel afgørelse indgivet af Amtsgericht München (byretten i München, Tyskland))
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 82, stk. 1 – ret til erstatning for skade forvoldt af behandling af oplysninger foretaget i strid med denne forordning – immateriel skade – tyveri af oplysninger – identitetstyveri eller ‑svig«
I. Indledning
1. I to stort set identiske søgsmål anlagt af JU mod Scalable Capital GmbH (herefter »Scalable Capital«) (sag C-182/22) og SO mod Scalable Capital (sag C-189/22) kræver sagsøgerne erstatning for immateriel skade som følge af svie og smerte forvoldt af, hvad den forelæggende ret beskriver som ukendte tredjeparters tyveri (2) af deres personlige oplysninger, som er gemt i en tradingapp, der forvaltes af Scalable Capital. Oplysningerne er – til dato – ikke blevet anvendt af tredjeparterne til svigagtige eller andre formål. Amtsgericht München (byretten i München, Tyskland) har anmodet Domstolen om vejledning med hensyn til fortolkningen af begrebet immateriel skade i artikel 82 i forordning (EU) 2016/679 (3) og betingelserne for, at der kan ydes erstatning for en sådan skade. Den ønsker navnlig oplyst, om tyveriet af disse oplysninger udgør »identitetstyveri« som omhandlet i 75. betragtning til databeskyttelsesforordningen.
II. Retsgrundlag – EU-retten
2. 75. betragtning til databeskyttelsesforordningen har følgende ordlyd:
»Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser; hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger; [...]«
3. 85. betragtning til databeskyttelsesforordningen har følgende ordlyd:
»Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller ‑svig, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person. […]«
4. 146. betragtning til databeskyttelsesforordningen har følgende ordlyd:
»Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade, som en person måtte lide som følge af behandling, der overtræder denne forordning. […] Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning. […] Registrerede bør have fuld erstatning for den skade, som de har lidt. [...]«
5. Samme forordnings artikel 82, som har overskriften »Ret til erstatning og erstatningsansvar«, bestemmer følgende:
»1. Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.
2. Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af behandling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser.
3. En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.
[…]«
III. Tvisterne i hovedsagerne og de præjudicielle spørgsmål
6. JU og SO åbnede et værdipapirdepot i en tradingapp, som forvaltes af Scalable Capital. For at bekræfte deres identitet registrerede de hver især deres personlige oplysninger i appen, herunder deres navn, fødselsdato, post- og e-mailadresse samt en digital kopi af deres identitetsbevis (4). Det er ubestridt, at ukendte gerningsmænd stjal disse oplysninger.
7. Amtsgericht München (byretten i München) er af den opfattelse, at de stjålne oplysninger har en mere end ubetydelig følsomhed, og at JU og SO har ret til erstatning i henhold til databeskyttelsesforordningens artikel 82. Da størrelsen af det erstatningsbeløb, der skal tilkendes JU og SO, afhænger af fortolkningen af databeskyttelsesforordningens artikel 82, har den besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) Skal [databeskyttelsesforordningens] artikel 82 fortolkes således, at retten til erstatning ikke i forbindelse med fastsættelsen af erstatningens størrelse kan tillægges karakter af sanktion, navnlig ingen generel eller speciel afskrækkende funktion, men at retten til erstatning kun har funktion af kompensation og [eventuel] godtgørelse?
2) a) Skal det ved fastsættelsen af retten til erstatning for immateriel skade lægges til grund, at retten til erstatning også har en individuel godtgørelsesfunktion – i den foreliggende sag forstået som den krænkedes private interesse i at se den forvoldende adfærd retsforfulgt, eller har retten til erstatning kun en kompenserende funktion – i den foreliggende sag forstået som den funktion at kompensere for den forvoldte skade?
b) 1) Såfremt det skal lægges til grund, at retten til erstatning for immateriel skade har såvel kompensations- som godtgørelsesfunktion: Skal det ved fastlæggelsen af erstatningens størrelse lægges til grund, at kompensationsfunktionen har en strukturel forrang frem for godtgørelsesfunktionen eller i det mindste en forrang i form af et hovedregel-undtagelsesforhold? Fører dette til, at en godtgørelsesfunktion kun kommer i betragtning i forbindelse med forsætlige eller groft uagtsomme krænkelser?
2) Såfremt retten til erstatning for immateriel skade ikke kan tillægges [en] godtgørelsesfunktion: Er det ved fastsættelsen af erstatningens størrelse kun forsætlige eller groft uagtsomme krænkelser af databeskyttelsesforordningen, der som bedømmelse af bidrag til den forvoldte skade tillægges ekstra vægt?
3) Skal der for forståelsen af retten til erstatning for immateriel skade og udmålingen af denne lægges et strukturelt rangforhold eller i det mindste et hovedregel-undtagelsesforhold til grund, hvor den oplevelse af gene, der skyldes en krænkelse af databeskyttelsesreglerne, har mindre vægt end den gene- og smerteoplevelse, der er knyttet til en fysisk skade?
4) Kan en national domstol, såfremt det lægges til grund, at der foreligger en skade, under hensyn til manglende grovhed frit tilkende en materielt ubetydelig erstatning for skaden, som dermed [eventuelt] af den krænkede eller generelt kun opleves som symbolsk?
5) Skal det lægges til grund for forståelsen af retten til erstatning for immateriel skade og bedømmelsen af dens følger, at der først foreligger identitetstyveri som omhandlet i 75. betragtning til databeskyttelsesforordningen, hvis en kriminel gerningsmand faktisk har påtaget sig den registreredes identitet, altså i en eller anden form har udgivet sig for den registrerede, eller udgør allerede den omstændighed, at kriminelle gerningsmænd råder over data, som gør det muligt at identificere den registrerede, et sådant identitetstyveri?«
IV. Retsforhandlingerne for Domstolen
8. Ved afgørelse truffet af Domstolens præsident den 19. april 2022 er sagerne C-182/22 og C-189/22 blevet forenet med henblik på den skriftlige og den mundtlige forhandling samt dommen.
9. Den 1. juni 2022 afslog Domstolens præsident Scalable Capitals anmodning om at anonymisere den foreliggende sag i henhold til artikel 95, stk. 2, i Domstolens procesreglement.
10. SO, Scalable Capital, Irland og Europa-Kommissionen har indgivet skriftlige indlæg.
11. Jeg vil først komme ind på de indsigelser, der er blevet rejst mod, at de forelagte spørgsmål kan antages til realitetsbehandling, før jeg rådgiver Domstolen om, hvorledes den skal besvare det femte spørgsmål.
V. Bedømmelse
A. Formaliteten
12. Scalable Capital har gjort gældende, at tabet af kontrol over personoplysninger, uden yderligere konsekvenser for den berørte person, ikke medfører, at der foreligger immateriel skade som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1. Teksten, den generelle opbygning og formålet med databeskyttelsesforordningens artikel 82 støtter ikke en formodning om, at der opstår en sådan skade som følge af et sådant tab af kontrol. Den forelæggende ret begik således en fejl, da den antog, at JU og SO havde lidt immateriel skade. Anmodningerne om præjudiciel afgørelse er derfor irrelevante for afgørelsen af sagerne ved den forelæggende ret og kan således ikke antages til realitetsbehandling.
13. Kommissionen er af den opfattelse, at relevansen af det femte spørgsmål er uklar, henset til afgørelsen af sagerne ved den forelæggende ret. Den forelæggende ret henviser alene til parternes forskellige forståelse af loven og anfører, at »der først [foreligger] et identitetstyveri, hvis nogen anvender de ulovligt tilgåede oplysninger til at foregive den berørtes identitet«. Domstolen anmodes i det femte spørgsmål heller ikke om at fortolke en nærmere angivet bestemmelse i databeskyttelsesforordningen.
14. Ifølge Domstolens faste praksis gælder der en formodning om, at de spørgsmål om EU-rettens fortolkning, som den nationale ret har forelagt, er relevante. Domstolen kan kun afvise sådanne anmodninger, såfremt det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, når problemet er hypotetisk, eller hvis Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af de forelagte spørgsmål (5).
15. Scalable Capitals formalitetsindsigelse mod alle de præjudicielle spørgsmål er baseret på selskabets fortolkning af databeskyttelsesforordningens artikel 82, retten til erstatning og antagelsen af, at der ikke foreligger immateriel skade. De forelagte spørgsmål vedrører registreredes ret til erstatning i henhold til databeskyttelsesforordningens artikel 82. En nødvendig forudsætning for at opnå en sådan erstatning er, at det kan fastslås, at der foreligger en skade (6). Scalable Capitals formalitetsindsigelse mod de præjudicielle spørgsmål vedrører således realiteten med hensyn til de spørgsmål, som de rejser. Argumenter, der vedrører realiteten med hensyn til de spørgsmål, der rejses i en forelæggelsesafgørelse, kan i sagens natur ikke påvirke, om anmodningen kan antages til realitetsbehandling (7).
16. Hvad angår Kommissionens formalitetsindsigelse vedrørende det femte spørgsmål, fremgår det ikke klart, at dette spørgsmål enten savner forbindelse med søgsmålene ved den forelæggende ret, eller at det er af hypotetisk karakter. Der er ved den forelæggende ret anlagt søgsmål om erstatning i henhold til databeskyttelsesforordningen. Parterne er ikke enige om, hvorvidt tyveri af personoplysninger udgør identitetstyveri som omhandlet i 75. betragtning til databeskyttelsesforordningen, eller om der først foreligger identitetstyveri, hvis en »kriminel gerningsmand faktisk har påtaget sig den registreredes identitet« (8). Den forelæggende ret har kun gjort få antagelser i forbindelse med det femte spørgsmål, men det fremgår af anmodningen om præjudiciel afgørelse, at dette spørgsmål er forbundet med de fire andre spørgsmål, som den har stillet om begrebet immateriel skade og retten til erstatning i henhold til databeskyttelsesforordningens artikel 82.
17. Jeg foreslår derfor, at Domstolen forkaster formalitetsindsigelserne med hensyn til de spørgsmål, som Amtsgericht München (byretten i München) har forelagt.
B. Realiteten
1. Parternes indlæg
18. SO har gjort gældende, at der i 85. betragtning til databeskyttelsesforordningen sondres klart mellem identitetstyveri og identitetssvig. Identitetstyveri forudsætter, at gerningsmanden kan misbruge en persons identitet ved at vildlede andre med hensyn til den pågældende identitet. Identitetssvig kan begås efter et identitetstyveri. Det følger heraf, at der ikke kræves et faktisk misbrug af en persons identitet, for at der foreligger identitetstyveri. Karakteren og omfanget af de stjålne oplysninger i den foreliggende sag giver anledning til en formodning om, at der har fundet identitetstyveri sted, hvilket giver ret til erstatning.
19. Scalable Capital har gjort gældende, at der foreligger identitetstyveri, såfremt en person misbruger en persons personoplysninger med henblik på at »foregive« denne persons identitet. Tyveri af visse oplysninger kan føre til eller gøre det nemmere at foretage et identitetstyveri, men udgør ikke i sig selv identitetstyveri. En systematisk fortolkning af 75. betragtning til databeskyttelsesforordningen støtter denne tilgang, da de øvrige eksempler i denne betragtning tyder på, at muligheden for at anvende visse personoplysninger ikke udgør identitetstyveri. Formålet med databeskyttelsesforordningens artikel 82 er at yde erstatning for den skade, som enkeltpersoner faktisk lider. En udvidende fortolkning af begrebet identitetstyveri vil være i modstrid med dette mål, da et erstatningssøgsmål i så fald ville være baseret på den teoretiske mulighed for, at der kan opstå skade i fremtiden.
20. Irland har gjort gældende, at identitetstyveri forekommer under omstændigheder, hvor en part faktisk påtager sig identiteten af den person, hvis personoplysninger er blevet uretmæssigt tilegnet. En parts blotte besiddelse af oplysninger, der identificerer en person, er således ikke tilstrækkeligt for, at der foreligger identitetstyveri. Erstatning for immateriel skade i henhold til databeskyttelsesforordningens artikel 82 skal under alle omstændigheder vurderes på grundlag af realiteten i den enkelte sag.
21. Kommissionen har anført, at databeskyttelsesforordningen ikke definerer identitetstyveri. 75. og 85. betragtning til databeskyttelsesforordningen henviser til identitetstyveri som et eksempel på behandling af personoplysninger, der med sandsynlighed kan føre til fysisk, materiel eller immateriel skade. Ifølge Kommissionen består den form for identitetstyveri, som disse betragtninger henviser til, i ulovlig indhentning af oplysninger med det formål uretmæssigt at »foregive« pågældende persons identitet (9). For at bevise identitetstyveri skal gerningsmandens hensigt om at udgive sig for at være den pågældende person fastslås på grundlag af konkrete handlinger eller handlinger, som udgør en forberedende foranstaltning hertil. Da det er fast retspraksis, at skaden skal være »faktisk og reel« (10), udgør den blotte besiddelse af oplysninger, der identificerer den pågældende person, uden at der er taget skridt til at udgive sig for at være denne, ikke identitetstyveri.
2. Analyse
22. Med den forelæggende rets femte spørgsmål ønskes oplyst, om en ukendt gerningsmands simple tyveri af en registreret persons følsomme personoplysninger (11) udgør identitetstyveri og dermed giver ret til erstatning, eller om det kræver, at gerningsmanden rent faktisk påtager sig den registreredes identitet eller træffer foranstaltninger med henblik herpå. Dette spørgsmål stilles i forbindelse med en konstatering af, at ukendte gerningsmænd stjal visse af JU’s og SO’s følsomme personoplysninger fra Scalable Capitals tradingapp. Selv om der ikke synes at være sket yderligere (mis)brug af oplysningerne, er det ikke muligt at udelukke en sådan fremtidig (mis)brug, da gerningsmændenes identitet er ukendt, og de fortsat ikke er pågrebet.
23. Databeskyttelsesforordningens artikel 82 bekræfter i brede (12) vendinger den ret til erstatning, som tilkommer enhver registreret, der har lidt »materiel eller immateriel skade« som følge af en overtrædelse af denne forordning, og præciserer det ansvar, som påhviler henholdsvis dataansvarlige og/eller databehandlere. Denne bestemmelse identificerer hverken den specifikke karakter eller formen af en sådan skade. Databeskyttelsesforordningen henviser ikke til medlemsstaternes lovgivning for at definere betydningen og omfanget af begrebet »immateriel skade« (13). Dette begreb skal derfor behandles som et selvstændigt begreb i EU-retten og fortolkes på en ensartet måde i alle medlemsstater (14).
24. Erstatning i henhold til databeskyttelsesforordningens artikel 82 udbetales, såfremt det godtgøres, at der foreligger henholdsvis en overtrædelse af databeskyttelsesforordningen, en »faktisk lidt skade« og en årsagssammenhæng mellem den pågældende overtrædelse og den pågældende skade (15). Databeskyttelsesforordningens bestemmelser omfatter ikke en ordning med objektivt ansvar (16). Den erstatningsordning, som blev indført ved databeskyttelsesforordningens artikel 82, stk. 1, udelukker ligeledes erstatning, der har karakter af straf (17). En sådan erstatning skal være fuld, hvorved forstås, at »den fuldstændigt kompenserer den skade, der er lidt på grund af overtrædelsen af [databeskyttelsesforordningen]« (18). Den immaterielle skade, som den registrerede har lidt, behøver ikke at have en bestemt alvorsgrad (19). Der er ikke nogen bagatelgrænse med hensyn til omfanget af immateriel skade, men der skal være klare og præcise beviser for, at den registrerede har lidt en sådan skade. Potentiel eller hypotetisk skade (20) eller den blotte bekymring over tyveri af ens personlige data er ikke tilstrækkeligt.
25. Databeskyttelsesforordningens artikel 82, stk. 3, fritager en dataansvarlig eller databehandler for erstatningsansvar, »hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden«. Domstolen har ikke haft lejlighed til at undersøge artikel 82, stk. 3, nærmere. Ved en ordlydsfortolkning af denne bestemmelse synes at fremgå, at enhver (medvirkende) uagtsomhed eller forsømmelse fra den dataansvarliges eller databehandlerens side er tilstrækkelig til at udelukke anvendelsen af fritagelsen. Endvidere kan den bevisbyrde (21), som denne bestemmelse pålægger dataansvarlige eller databehandlere, som ønsker at benytte sig af fritagelsen, nødvendiggøre, at der træffes løbende foranstaltninger med henblik på at forebygge brud på datasikkerheden (22).
26. Tyveri af personoplysninger vedrørende en registreret giver ret til erstatning for immateriel skade i henhold til databeskyttelsesforordningens artikel 82, stk. 1, såfremt de tre betingelser, der er fastsat i Österreichische Post-dommen (23), er opfyldt. Det fremgår af syvende betragtning til databeskyttelsesforordningen, at »[f]ysiske personer bør have kontrol over deres personoplysninger«. Registrerede, der er »forhindret i at udøve kontrol med deres personoplysninger« (24), eller fysiske personer, som er genstand for »tab af kontrol over deres personoplysninger« (25), kan have lidt immateriel skade. Det er i denne sammenhæng, at den forelæggende ret ønsker oplyst, om tyveri af personoplysninger udgør identitetstyveri.
27. De dispositive bestemmelser i databeskyttelsesforordningen hverken henviser til eller definerer identitetstyveri. 75. og 85. betragtning til databeskyttelsesforordningen henviser blot til »identitetstyveri eller ‑svig«. I 75. betragtning anføres »identitetstyveri eller ‑svig« som et af en ikke-udtømmende liste over eksempler (26)på risici for fysiske personers udøvelse af deres rettigheder og frihedsrettigheder som følge af behandlingen af deres personoplysninger. I 85. betragtning til databeskyttelsesforordningen henvises der ligeledes til »identitetstyveri eller ‑svig« som et eksempel (27)på skade, der skyldes, at et brud på persondatasikkerheden ikke håndteres på en passende og rettidig måde (28).
28. En række betragtninger (29) og bestemmelser (30) i anden EU-lovgivning henviser til begreber som »identitetstyveri« (31), »identitetssvig« og »identitetstyveri eller ‑svig« (32). Jeg har ikke fundet nogen bestemmelse i EU-lovgivningen, som definerer disse begreber (33). EU-lovgiver henviser således til disse begreber som illustrative eksempler (34).
29. En undersøgelse af de forskellige sprogversioner af disse udtryk i 75. og 85. betragtning til databeskyttelsesforordningen viser det samme. Mens de tyske (Identitätsdiebstahl oder ‑betrug), de engelske (identity theft or fraud), de estiske (identiteedivargust või ‑pettust), de irske (goid aitheantais nó calaois aitheantais), de litauiske (būti pavogta ar suklastota tapatybė), de nederlandske (identiteitsdiefstal of ‑fraude), de polske (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), de rumænske (furt sau fraudă a identității) og de slovakiske (krádeži totožnosti alebo podvodu) sprogversioner stort set er ens, afviger andre sprogversioner i varierende grad herfra. Det gælder f.eks. de tjekkiske (krádeži či zneužití identitet), de franske (vol ou une usurpation d’identité), de græske (κατάχρηση ή υποκλοπή ταυτότητας), de portugisiske (usurpação ou roubo da identidade), de italienske (furto o usurpazione d’identità) og de spanske (usurpación de identidad o fraude) sprogversioner. De forskellige sprogversioner af de relevante betragtninger til databeskyttelsesforordningen tyder på, at begreberne identitetstyveri, identitetssvig, misbrug af identitet, uretmæssig udnyttelse af identitet, uretmæssig tilegnelse af identitet og tilranelse af identitet overlapper hinanden og, i det mindste til en vis grad, kan betragtes som indbyrdes udskiftelige. Det følger heraf, at 75. og 85. betragtning til databeskyttelsesforordningen ikke sondrer klart mellem identitetstyveri og identitetssvig, i modsætning til det, som SO har gjort gældende, jf. punkt 18 i dette forslag til afgørelse.
30. 75. og 85. betragtning til databeskyttelsesforordningen sondrer mellem »tab af kontrol« eller »forhindret i at udøve kontrol« over personoplysninger og »identitetstyveri eller ‑svig«. Følgelig udgør tyveri af personoplysninger (35) ikke i sig selv identitetstyveri, selv om det pågældende tyveri kan medføre fremtidig (mis)brug af de pågældende oplysninger. Der kræves en yderligere handling eller et yderligere skridt med skadelige virkninger for den registrerede, der strækker sig ud over tyveri af personoplysninger, for at der er tale om identitetstyveri (36). En person, der stjæler en registreret persons personoplysninger, skal (mis)bruge dem eller tage konkrete skridt til at (mis)bruge dem til ulovlige formål uden den registreredes samtykke (37). Sådanne handlinger omfatter typisk svig eller en anden form for bedrag og udføres generelt med henblik på økonomisk eller anden vinding eller for at skade den registrerede eller de mennesker, vedkommende omgiver sig med (38).
31. Det følger af det ovenstående, at selv om tyveri af personoplysninger ikke udgør identitetstyveri eller identitetssvig, kan et sådant tyveri medføre immateriel skade og ret til erstatning i henhold til databeskyttelsesforordningens artikel 82, stk. 1 (39). Det kan være lettere at føre bevis for immateriel skade, hvis det fastslås, at den registrerede har været offer for identitetstyveri eller ‑svig som følge af tyveri af vedkommendes personoplysninger (40). Retten til erstatning for immateriel skade i henhold til databeskyttelsesforordningens artikel 82, stk. 1, som følge af tyveri af personoplysninger er dog ikke betinget af, at der foreligger identitetstyveri eller ‑svig (41). Immateriel skade og retten til erstatning i henhold til databeskyttelsesforordningens artikel 82, stk. 1, skal vurderes fra sag til sag under hensyntagen til alle relevante omstændigheder.
VI. Forslag til afgørelse
32. På baggrund af ovenstående betragtninger foreslår jeg, at Domstolen besvarer det femte spørgsmål, som Amtsgericht München (byretten i München, Tyskland) har forelagt, således:
»Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at
en ukendt gerningsmands tyveri af en registreret persons følsomme personoplysninger kan give ret til erstatning for immateriel skade, såfremt det godtgøres, at der foreligger en overtrædelse af databeskyttelsesforordningen, en faktisk lidt skade og en årsagssammenhæng mellem overtrædelsen og den pågældende skade. Tilkendelsen af en sådan erstatning kræver ikke, at gerningsmanden har påtaget sig den registreredes identitet, og besiddelsen af oplysninger, der identificerer den registrerede, udgør ikke i sig selv identitetstyveri.«