Voorlopige editie

CONCLUSIE VAN ADVOCAAT-GENERAAL

M. COLLINS

van 26 oktober 2023 (1)

Gevoegde zaken C‑182/22 en C‑189/22

JU (C‑182/22),

SO (C‑189/22)

tegen

Scalable Capital GmbH

[verzoek van het Amtsgericht München (rechter in eerste aanleg München, Duitsland) om een prejudiciële beslissing]

„Verzoek om een prejudiciële beslissing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 82, lid 1 – Recht op vergoeding van schade ten gevolge van een gegevensverwerking die inbreuk maakt op deze verordening – Immateriële schade – Diefstal van gegevens – Identiteitsdiefstal of -fraude”

I.      Inleiding

1.        In de context van twee grotendeels identieke beroepen die door respectievelijk JU (zaak C‑182/22) en SO (zaak C‑189/22) tegen Scalable Capital GmbH zijn ingesteld, vorderen verzoekers vergoeding voor immateriële schade wegens de pijn en het lijden die hun zou zijn berokkend door hetgeen de verwijzende rechter omschrijft als diefstal(2), door onbekende derden, van hun persoonsgegevens die op een door Scalable Capital beheerde handelsapplicatie zijn opgeslagen. De derden hebben de gegevens tot nu toe niet voor frauduleuze of andere doeleinden gebruikt. Het Amtsgericht München (rechter in eerste aanleg München, Duitsland) verzoekt het Hof om uitlegging van het begrip „immateriële schade” in artikel 82 van verordening (EU) 2016/679(3) en de voorwaarden waaronder die schade voor vergoeding in aanmerking komt. De verwijzende rechter wenst met name te vernemen of diefstal van die gegevens „identiteitsdiefstal” als bedoeld in overweging 75 AVG vormt.

II.    Toepasselijke bepalingen – Unierecht

2.        Overweging 75 AVG luidt als volgt:

„Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; [...].”

3.        Overweging 85 AVG luidt:

„Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. [...]”

4.        Overweging 146 AVG is als volgt verwoord:

„De verwerkingsverantwoordelijke of de verwerker [moet] alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. [...] Het begrip ‚schade’ moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. [...] De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen.”

5.        Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) AVG bepaalt:

„1.      Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

2.      Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.

3.      Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

[...]”

III. Hoofdgedingen en prejudiciële vragen

6.        JU en SO hebben beleggingsrekeningen geopend op een door Scalable Capital beheerde handelsapplicatie. Om hun identiteit te laten verifiëren, heeft elk van beiden persoonsgegevens in de applicatie geregistreerd, waaronder zijn naam, geboortedatum, post- en e-mailadres en een digitale kopie van zijn identiteitskaart.(4) Het staat vast dat onbekende delinquenten die gegevens hebben gestolen.

7.        Het Amtsgericht München is van oordeel dat de gestolen gegevens relatief gevoelig zijn en dat JU en SO krachtens artikel 82 AVG recht op schadevergoeding hebben. Aangezien de hoogte van de aan JU en SO toe te kennen schadevergoeding volgens de verwijzende rechter afhangt van de uitlegging van artikel 82 AVG, heeft hij de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Moet artikel 82 [AVG] aldus worden uitgelegd dat het recht op schadevergoeding, met inbegrip van de vaststelling van de hoogte ervan, geen punitief karakter heeft, met name dat het geen algemene of specifieke afschrikkende werking heeft, maar dat het recht op schadevergoeding slechts een compenserende functie en in sommige gevallen een genoegdoeningsfunctie heeft?

2.a)      Moet voor de vaststelling van het recht op vergoeding voor immateriële schade ervan worden uitgegaan dat het ook een individuele genoegdoeningsfunctie heeft, die in casu moet worden opgevat als het strikt persoonlijke belang van de gelaedeerde dat het schadeveroorzakende gedrag wordt bestraft, of heeft het enkel een compenserende functie, die in casu moet worden begrepen als het compenseren van de geleden nadelige gevolgen?

2.b.1)      Indien moet worden aangenomen dat het recht op vergoeding voor immateriële schade zowel een compenserende functie als een genoegdoeningsfunctie heeft, moet dan bij de vaststelling ervan worden aangenomen dat de compenserende functie structureel voorrang heeft op de genoegdoeningsfunctie, of althans dat de verhouding tussen die twee functies een verhouding van regel en uitzondering is? Betekent dit dat er slechts sprake is van een genoegdoeningsfunctie wanneer inbreuken opzettelijk zijn begaan of het gevolg van grove nalatigheid zijn?

2.b.2)      Indien het recht op vergoeding voor immateriële schade geen genoegdoeningsfunctie heeft, wordt dan bij de vaststelling ervan alleen aan opzettelijke of grove nalatige inbreuken in verband met de gegevensbescherming meer gewicht toegekend bij de beoordeling van de schadeveroorzakende handelingen?

3)      Moet de vergoeding voor immateriële schade worden vastgesteld op basis van een structurele rangorde of althans een verhouding van regel en uitzondering, waarbij aan de ervaren nadelige gevolgen van een inbreuk in verband met de gegevensbescherming minder belang wordt toegekend dan aan de met lichamelijke letsels verbonden nadelige gevolgen en pijn?

4)      Indien moet worden aangenomen dat er schade is ontstaan, kan een nationale rechter dan in het licht van het niet-ernstige karakter van de schade een schadevergoeding toekennen die materieel gering is en derhalve door de gelaedeerde of in het algemeen als louter symbolisch kan worden ervaren?

5)      Moet voor het begrip van de vergoeding voor immateriële schade bij de beoordeling van de gevolgen ervan worden aangenomen dat er slechts sprake is van identiteitsdiefstal in de zin van overweging 75 van de [AVG] wanneer een delinquent de identiteit van de betrokkene daadwerkelijk heeft aangenomen, met andere woorden dat hij zich op een of andere wijze heeft uitgegeven voor de betrokkene, of houdt het enkele feit dat delinquenten inmiddels over gegevens beschikken op basis waarvan de betrokkene kan worden geïdentificeerd, reeds een dergelijke identiteitsdiefstal in?”

IV.    Procedure bij het Hof

8.        Bij beschikking van 19 april 2022 heeft de president van het Hof de zaken C‑182/22 en C‑189/22 gevoegd voor de schriftelijke en de mondelinge behandeling alsmede voor het arrest.

9.        Op 1 juni 2022 heeft de president van het Hof het verzoek van Scalable Capital overeenkomstig artikel 95, lid 2, van het Reglement voor de procesvoering van het Hof van Justitie om over te gaan tot anonimisering van de onderhavige zaak, afgewezen.

10.      SO, Scalable Capital, Ierland en de Europese Commissie hebben schriftelijke opmerkingen ingediend.

11.      Ik zal eerst ingaan op de geformuleerde bezwaren tegen de ontvankelijkheid van de prejudiciële vragen. Vervolgens zal ik het Hof op zijn verzoek adviseren over de wijze waarop het de vijfde vraag zou moeten beantwoorden.

V.      Beoordeling

A.      Ontvankelijkheid

12.      Volgens Scalable Capital leidt het verlies van controle over persoonsgegevens zonder verdere gevolgen voor de betrokkene niet tot immateriële schade in de zin van artikel 82, lid 1, AVG. De bewoordingen, de algemene opzet en het doel van artikel 82 AVG bieden geen steun voor het bestaan van een vermoeden dat dergelijke schade zich voordoet ten gevolge van een dergelijk verlies van controle. De verwijzende rechter heeft derhalve ten onrechte aangenomen dat JU en SO immateriële schade hebben geleden. De verzoeken om een prejudiciële beslissing zijn bijgevolg irrelevant voor de beslechting van de bij de verwijzende rechter aanhangige gedingen en zijn dan ook niet-ontvankelijk.

13.      Volgens de Commissie is het onduidelijk of de vijfde vraag relevant is voor de beslechting van de bij de verwijzende rechter aanhangige gedingen. De verwijzende rechter verwijst louter naar de uiteenlopende uitleggingen van het recht door partijen en merkt op dat „er alleen sprake is van identiteitsdiefstal wanneer onrechtmatig verkregen gegevens worden gebruikt om zich voor te doen als de betrokkene”. Met de vijfde vraag wordt het Hof evenmin verzocht om een specifieke bepaling van de AVG uit te leggen.

14.      Volgens vaste rechtspraak van het Hof geldt er een vermoeden van relevantie voor vragen over de uitlegging van het Unierecht die de nationale rechter heeft gesteld. Het Hof kan slechts weigeren uitspraak te doen over dergelijke vragen wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht kennelijk geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die het nodig heeft om een nuttig antwoord te geven op de gestelde vragen.(5)

15.      De door Scalable Capital aangevoerde exceptie van niet-ontvankelijkheid van alle prejudiciële vragen is gebaseerd op haar uitlegging van artikel 82 AVG, het recht op schadevergoeding en het gestelde ontbreken van immateriële schade. De prejudiciële vragen hebben betrekking op het recht van betrokkenen op schadevergoeding krachtens artikel 82 AVG. De vaststelling van het bestaan van schade is een noodzakelijke voorwaarde om schadevergoeding te krijgen.(6) De door Scalable Capital opgeworpen exceptie van niet-ontvankelijkheid van de verzoeken om een prejudiciële beslissing raakt dus de kern van de vragen die daarin aan de orde zijn gesteld. Naar hun aard kunnen argumenten met betrekking tot de kern van de in een verzoek om een prejudiciële beslissing aan de orde gestelde vragen niet van invloed zijn op de ontvankelijkheid van dat verzoek.(7)

16.      Wat de door de Commissie aangevoerde exceptie van niet-ontvankelijkheid van de vijfde vraag betreft, ligt het niet voor de hand dat deze vraag geen verband houdt met de gedingen voor de verwijzende rechter of van hypothetische aard is. Bij de verwijzende rechter zijn vorderingen tot schadevergoeding op grond van de AVG ingesteld. Partijen twisten over de vraag of diefstal van persoonsgegevens kan worden aangemerkt als identiteitsdiefstal als bedoeld in overweging 75 AVG dan wel of er slechts sprake is van identiteitsdiefstal „wanneer een delinquent daadwerkelijk de identiteit van de betrokkene heeft aangenomen”(8). De uiteenzettingen van de verwijzende rechter over zijn vijfde vraag zijn weliswaar summier, maar uit de verzoeken om een prejudiciële beslissing blijkt dat die vraag verband houdt met zijn andere vier vragen over het begrip „immateriële schade” en het recht op schadevergoeding krachtens artikel 82 AVG.

17.      Derhalve geef ik het Hof in overweging de verschillende excepties betreffende de ontvankelijkheid van de vragen van het Amtsgericht München af te wijzen.

B.      Ten gronde

1.      Opmerkingen van partijen

18.      Volgens SO maakt overweging 85 AVG een duidelijk onderscheid tussen identiteitsdiefstal en identiteitsfraude. Identiteitsdiefstal veronderstelt dat de delinquent misbruik kan maken van iemands identiteit door anderen daaromtrent te misleiden. Na identiteitsdiefstal kan identiteitsfraude worden gepleegd. Hieruit volgt dat identiteitsdiefstal niet vereist dat daadwerkelijk misbruik wordt gemaakt van iemands identiteit. De aard en de omvang van de gestolen gegevens in deze zaak doen vermoeden dat er identiteitsdiefstal heeft plaatsgevonden, hetgeen recht op schadevergoeding geeft.

19.      Scalable Capital voert aan dat identiteitsdiefstal plaatsvindt wanneer iemand misbruik maakt van de persoonsgegevens van een ander om „zich voor te doen als„ die andere persoon. De diefstal van bepaalde gegevens kan identiteitsdiefstal met zich meebrengen of mogelijk maken, maar vormt op zich geen identiteitsdiefstal. Deze benadering vindt steun in een systematische uitlegging van overweging 75 AVG, aangezien uit de andere voorbeelden in deze overweging blijkt dat de mogelijkheid om gebruik te maken van bepaalde persoonsgegevens geen identiteitsdiefstal vormt. Artikel 82 AVG beoogt vergoeding toe te kennen voor schade die personen daadwerkelijk lijden Een ruime uitlegging van het begrip „identiteitsdiefstal” strookt niet met dit doel, aangezien daardoor een vordering tot schadevergoeding zou worden gegrond op de abstracte mogelijkheid dat er zich in de toekomst schade zou kunnen voordoen.

20.      Ierland stelt zich op het standpunt dat identiteitsdiefstal verwijst naar situaties waarin een partij daadwerkelijk de identiteit aanneemt van degene wiens gegevens wederrechtelijk zijn toegeëigend. Om te kunnen spreken van identiteitsdiefstal volstaat het dus niet dat een partij beschikt over identificatiegegevens van een persoon. Vergoeding voor immateriële schade op grond van artikel 82 AVG moet hoe dan ook per geval ten gronde worden beoordeeld.

21.      De Commissie merkt op dat de AVG geen definitie van identiteitsdiefstal bevat. De overwegingen 75 en 85 AVG verwijzen naar identiteitsdiefstal als een voorbeeld van persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade. Volgens de Commissie is de in deze overwegingen bedoelde identiteitsdiefstal onrechtmatige verkrijging van gegevens om „zich voor te doen als„ de betrokkene.(9) Om identiteitsdiefstal te bewijzen, moet de bedoeling van de auteur van de handeling om zich als de betrokkene voor te doen worden aangetoond aan de hand van concrete handelingen of voorbereidende handelingen daartoe. Aangezien schade volgens vaste rechtspraak „reëel en zeker” moet zijn(10), kan het enkele bezit van identificatiegegevens van de betrokkene zonder stappen te ondernemen om zich voor de betrokkene uit te geven, geen identiteitsdiefstal vormen.

2.      Analyse

22.      De verwijzende rechter wenst met zijn vijfde vraag te vernemen of de enkele diefstal van de gevoelige persoonsgegevens(11) van betrokkene door een onbekende delinquent identiteitsdiefstal vormt die recht geeft op schadevergoeding, dan wel of er slechts sprake is van identiteitsdiefstal indien de delinquent zich daadwerkelijk de identiteit van de betrokkene toe-eigent of daartoe stappen zet. Deze vraag is gerezen bij de vaststelling dat onbekende delinquenten bepaalde gevoelige persoonsgegevens van JU en SO hadden gestolen op de handelsapplicatie van Scalable Capital. Hoewel het er niet op lijkt dat gebruik (misbruik) is gemaakt van de gegevens, kan dergelijk gebruik (misbruik) in de toekomst niet worden uitgesloten aangezien de identiteit van de delinquenten nog steeds onbekend is en zij nog niet zijn aangehouden.

23.      Artikel 82 AVG bevestigt in ruime(12) bewoordingen dat elke betrokkene die „materiële of immateriële schade” heeft geleden ten gevolge van een inbreuk op de AVG, recht heeft op schadevergoeding, en verdeelt de aansprakelijkheid tussen de verwerkingsverantwoordelijke(n) en/of de verwerker(s). In deze bepaling is noch de specifieke aard, noch de vorm van die schade gepreciseerd. De AVG verwijst voor de omschrijving van de betekenis en de draagwijdte van de term „immateriële schade” niet naar het recht van de lidstaten.(13) Deze term moet derhalve worden beschouwd als een autonoom Unierechtelijke begrip dat in alle lidstaten uniform moet worden uitgelegd.(14)

24.      Schadevergoeding op grond van artikel 82 AVG is verschuldigd indien wordt bewezen dat er een inbreuk op de AVG, „daadwerkelijk geleden schade” en een causaal verband tussen die inbreuk en die schade bestaan.(15) De AVG voorziet niet in een stelsel van risicoaansprakelijkheid.(16) De compensatoire aard van de bij artikel 82, lid 1, AVG ingevoerde regeling sluit ook de toekenning van punitieve schadevergoeding uit.(17) Een dergelijke vergoeding moet volledig en daadwerkelijk zijn, hetgeen vereist dat „de ten gevolge van de inbreuk [op de AVG] werkelijk geleden schade volledig [wordt vergoed]”.(18) De door de betrokkene geleden immateriële schade hoeft niet een bepaalde mate van ernst te bereiken.(19) Hoewel er geen sprake is van een de-minimisdrempel met betrekking tot de omvang van immateriële schade, moeten er duidelijke en nauwkeurige bewijzen voorliggen dat de betrokkene die schade heeft geleden. Potentiële of hypothetische schade(20), of louter ongerustheid over de diefstal van iemands persoonsgegevens is ontoereikend.

25.      Artikel 82, lid 3, AVG stelt een verwerkingsverantwoordelijke of verwerker vrij van aansprakelijkheid „indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit”. Het Hof heeft nog niet de gelegenheid gehad om artikel 82, lid 3, AVG nader te onderzoeken. Een letterlijke uitlegging van deze bepaling lijkt te suggereren dat elke nalatigheid (medeschuld) of fout van de verwerkingsverantwoordelijke of de verwerker volstaat om de toepassing van de vrijstelling uit te sluiten. Voorts kan de bewijslast(21) die deze bepaling oplegt aan verwerkingsverantwoordelijken of verwerkers die willen gebruikmaken van de vrijstelling, vereisen dat doorlopende maatregelen worden opgelegd om inbreuken in verband met persoonsgegevens te voorkomen.(22)

26.      Diefstal van persoonsgegevens van de betrokkene geeft recht op vergoeding voor immateriële schade krachtens artikel 82, lid 1, AVG indien aan de drie voorwaarden van het arrest Österreichische Post(23) is voldaan. In overweging 7 AVG staat dat „[n]atuurlijke personen [...] controle over hun eigen persoonsgegevens [dienen] te hebben”. De omstandigheid dat de betrokkenen „worden verhinderd controle over hun persoonsgegevens uit te oefenen”(24) of dat natuurlijke personen „controle over hun persoonsgegevens [verliezen]”(25), kan resulteren in immateriële schade. In dat verband wenst de verwijzende rechter te vernemen of diefstal van persoonsgegevens identiteitsdiefstal vormt.

27.      Het dispositief van de AVG bevat geen verwijzing naar of een definitie van „identiteitsdiefstal”. In de overwegingen 75 en 85 AVG wordt alleen verwezen naar „identiteitsdiefstal of -fraude”. Overweging 75 noemt „identiteitsdiefstal of -fraude” in een niet-uitputtende lijst van voorbeelden(26)van risico’s voor de rechten en vrijheden van natuurlijke personen die voortvloeien uit de verwerking van hun persoonsgegevens. In overweging 85 AVG wordt enkel verwezen naar „identiteitsdiefstal of -fraude” als een voorbeeld(27)van schade die ontstaat wanneer een inbreuk in verband met persoonsgegevens niet tijdig en op passende wijze wordt aangepakt.(28)

28.      Een aantal overwegingen(29) en bepalingen(30) in andere Uniewetgeving verwijzen naar begrippen zoals „identiteitsdiefstal”(31), „identiteitsfraude” en „identiteitsdiefstal of -fraude”.(32) Ik heb geen Unierechtelijke bepaling gevonden waarin die termen zijn gedefinieerd.(33)De Uniewetgever verwijst dus naar die termen bij wijze van voorbeeld.(34)

29.      Dit volgt ook duidelijk uit de verschillende taalversies van deze termen in de overwegingen 75 en 85 AVG. Terwijl de Duitse (Identitätsdiebstahl oder -betrug), de Engelse (identity theft or fraud), de Estse (identiteedivargust või -pettust), de Ierse (goid aitheantais nó calaois aitheantais), de Litouwse (būti pavogta ar suklastota tapatybė), de Nederlandse (identiteitsdiefstal of -fraude), de Poolse (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), de Roemeense (furt sau fraudă a identității) en de Slowaakse (krádeži totožnosti alebo podvodu) taalversies grotendeels met elkaar overeenstemmen, wijken andere taalversies in mindere of meerdere mate daarvan af: Tsjechisch (krádeži či zneužití identity), Frans (vol ou une usurpation d’identité), Grieks (κατάχρηση ή υποκλοπή ταυτότητας), Portugees (usurpação ou roubo da identidade), Italiaans (furto o usurpazione d’identità) en Spaans (usurpación de identidad o fraude). Uit de verschillende taalversies van de betreffende overwegingen van de AVG blijkt dat de termen identiteitsdiefstal, identiteitsfraude, identiteitsmisbruik, onrechtmatig gebruik van identiteit en toe-eigening van identiteit elkaar overlappen en, althans tot op zekere hoogte, als onderling uitwisselbaar kunnen worden beschouwd. Hieruit volgt dat de overwegingen 75 en 85 AVG, anders dan SO betoogt in punt 18 van deze conclusie, geen duidelijk onderscheid maken tussen identiteitsdiefstal en identiteitsfraude.

30.      De overwegingen 75 en 85 AVG maken een onderscheid tussen het voorbeeld „verlies van controle” of verhinderd worden „controle [...] uit te oefenen” over persoonsgegevens enerzijds en het voorbeeld „identiteitsdiefstal of -fraude” anderzijds. Bijgevolg vormt diefstal van persoonsgegevens(35) op zichzelf geen identiteitsdiefstal, ook al kan diefstal van persoonsgegevens ertoe leiden dat die gegevens in de toekomst worden gebruikt of misbruikt. Identiteitsdiefstal vereist een extra handeling of stap met nadelige gevolgen voor de betrokkene die verder gaan dan diefstal van persoonsgegevens.(36) Een persoon die persoonsgegevens van een betrokkene steelt, moet die gegevens zonder diens toestemming voor onrechtmatige doeleinden gebruiken of misbruiken of daartoe concrete stappen nemen.(37) Een dergelijke handeling komt doorgaans neer op fraude of enige andere vorm van bedrog en wordt in het algemeen verricht voor financieel of ander gewin of om de betrokkene of zijn entourage te benadelen.(38)

31.      Uit het voorgaande volgt dat diefstal van persoonsgegevens weliswaar geen identiteitsdiefstal of -fraude vormt, maar wel kan resulteren in immateriële schade en recht op schadevergoeding krachtens artikel 82, lid 1, AVG kan geven.(39) Immateriële schade kan wellicht gemakkelijker worden aangetoond wanneer is vastgesteld dat een betrokkene het slachtoffer van identiteitsdiefstal of -fraude is geworden doordat zijn of haar persoonsgegevens zijn gestolen.(40) Een recht op vergoeding voor immateriële schade krachtens artikel 82, lid 1, AVG vanwege diefstal van persoonsgegevens hangt echter niet af van het bestaan van identiteitsdiefstal of -fraude.(41) Immateriële schade en het recht op schadevergoeding krachtens artikel 82, lid 1, AVG dienen per geval te worden beoordeeld, waarbij alle relevante omstandigheden in aanmerking moeten worden genomen.

VI.    Conclusie

32.      Gelet op het voorgaande geef ik het Hof in overweging de vijfde prejudiciële vraag van het Amtsgericht München te beantwoorden als volgt:

„Artikel 82, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus worden uitgelegd dat

diefstal van gevoelige persoonsgegevens van een betrokkene door een onbekende delinquent recht kan geven op vergoeding voor immateriële schade, indien wordt aangetoond dat er een inbreuk op de algemene verordening gegevensbescherming, daadwerkelijk geleden schade en een causaal verband tussen de schade en die inbreuk bestaan. Voor de toekenning van die vergoeding is niet vereist dat de delinquent de identiteit van de betrokkene aanneemt en het bezit van identificatiegegevens van de betrokkene houdt op zich geen identiteitsdiefstal in.”

1      Oorspronkelijke taal: Engels.

2      De verwijzende rechter geeft geen precieze juridische kwalificatie van de handelingen van de delinquenten naar nationaal recht. De term „diefstal” is ruim en kan de wederrechtelijke toe-eigening van gegevens door derden omvatten.

3      Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1) (hierna: „AVG”).

4      De verwijzingsbeslissingen vermelden ook dat „verzoekers risicoprofiel niet kon worden opgemaakt uit de verrichte transacties aangezien de beleggingsrekening werd beheerd door een robo-adviseur”.

5      Zie in die zin arrest van 2 september 2021, OTP Jelzálogbank e.a. (C‑932/19, EU:C:2021:673, punt 26 en aldaar aangehaalde rechtspraak).

6      Het Hof heeft artikel 82 AVG aldus uitgelegd dat het bestaan van „geleden schade” een van de drie voorwaarden is waaraan voldaan moet zijn om op grond van deze bepaling schadevergoeding te krijgen. Een inbreuk op de AVG doet op zich geen recht op schadevergoeding ontstaan. Arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens) (C‑300/21, EU:C:2023:370, punten 32 en 42) (hierna: „arrest Österreichische Post”).

7      Zie naar analogie arrest van 12 december 2019, Slovenské elektrárne  (C‑376/18, EU:C:2019:1068, punt 29).

8      Zie de bewoordingen van de vijfde vraag van de verwijzende rechter.

9      Zie Europees Comité voor gegevensbescherming, richtsnoeren 01/2021 betreffende voorbeelden inzake melding van inbreuken in verband met persoonsgegevens – Vastgesteld op 14 december 2021 – versie 2.0 beschikbaar op https://edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_nl.pdf (hierna: „richtsnoeren van 2021”).

10      Arrest van 4 april 2017, Ombudsman/Staelen (C‑337/15 P, EU:C:2017:256, punten 91‑95 en 127‑131).

11      Artikel 4, punt 1, AVG bepaalt dat onder „persoonsgegevens” wordt verstaan: „alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.

12      Zie overweging 146 AVG.

13      Het Hof heeft het begrip „immateriële schade” in het kader van artikel 82 AVG niet gedefinieerd. Ik deel de analyse van advocaat-generaal Pitruzzella dat de ergernis of het onbehagen van iemand als gevolg van het feit dat zijn gegevens „gehackt” zijn, ontoereikend is. Om met succes schadevergoeding te vorderen, moet de betrokkene aantonen dat de vrees voor misbruik van zijn gegevens hem „emotionele schade” heeft berokkend. Zie de conclusie van advocaat-generaal Pitruzzella in de zaak Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punten 81‑83).

14      Arrest Österreichische Post, punt 30.

15      Zie artikel 82, lid 2, AVG en arrest Österreichische Post, punten 32 en 50.

16      Arrest Österreichische Post, punten 33 en 34. Zie ook de conclusie van advocaat-generaal Pitruzzella in de zaak Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punt 61).

17      Arrest Österreichische Post, punt 58. Zie ook de conclusie van advocaat-generaal Campos Sánchez-Bordona in de zaak Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens) (C‑300/21, EU:C:2022:756, punten 27‑55) en de conclusie van advocaat-generaal Pitruzzella in de zaak Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punt 74).

18      Arrest Österreichische Post, punt 58.

19      Arrest Österreichische Post, punten 31‑33, 51 en 58. Zie ook overweging 146 AVG. Zie daarentegen de conclusie van advocaat-generaal Campos Sánchez-Bordona in de zaak Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens) (C‑300/21, EU:C:2022:756, punt 105) en die van advocaat-generaal Pitruzzella in de zaak Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punt 78).

20      Zie in die zin arrest Österreichische Post, punt 37.

21      Het lijkt erop dat verwerkingsverantwoordelijken en/of verwerkers, om voor de vrijstelling in aanmerking te komen, kunnen worden verzocht om het tegendeel te bewijzen.

22      Advocaat-generaal Pitruzzella is van mening dat verwerkingsverantwoordelijken van systemen van publieke of private entiteiten die grote hoeveelheden persoonsgegevens bevatten, om aansprakelijkheid op grond van artikel 82 AVG te ontlopen, passende maatregelen moeten treffen om met name externe aanvallen af te weren: zie zijn conclusie in de zaak Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punten 65‑67). Dergelijke proactieve maatregelen kunnen belastend en duur zijn. Artikel 82 AVG op zich legt verwerkingsverantwoordelijken en verwerkers reeds een zeer grote zorgvuldigheidsplicht.

23      Zie punten 32 en 50 van dat arrest. Zie ook punt 24 en voetnoot 6 van deze conclusie.

24      Overweging 75 AVG.

25      Overweging 85 AVG.

26      Dit blijkt duidelijk uit het gebruik van de termen „kan” en „met name” in die overweging.

27      Dit blijkt duidelijk uit het gebruik van de termen „kan” en „zoals” in die overweging. Zie naar analogie arrest van 22 december 2008, Wallentin-Hermann (C‑549/07, EU:C:2008:771, punt 22).

28      In artikel 4, punt 12, AVG wordt „inbreuk in verband met persoonsgegevens” gedefinieerd als „een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

29      De overwegingen van een considerans vergemakkelijken de uitlegging en het begrip van Uniewetgeving doordat daarin onder andere de met die wetgeving nagestreefde doelstellingen en de context waarin die wetgeving is vastgesteld worden aangegeven. Zij dragen ertoe bij de betekenis van dubbelzinnige wettelijke bepalingen te achterhalen. De overwegingen van een considerans kunnen niet worden gebruikt om een bepaling contra legem uit te leggen. Arrest van 19 november 1998, Nilsson e.a. (C‑162/97, EU:C:1998:554, punt 54).

30      Zie bijvoorbeeld artikel 86, onder e), van het besluit van de Raad en de Commissie van 22 juli 2013 betreffende de sluiting van de Stabilisatie- en associatieovereenkomst tussen de Europese Gemeenschappen en hun lidstaten enerzijds, en de Republiek Servië, anderzijds (PB 2013, L 278, blz. 14), en artikel 2, lid 2, onder b), en de artikelen 21 en 25 van verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de EU-informatiesystemen op het gebied van grenzen en visa en tot wijziging van verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, beschikking 2004/512/EG van de Raad en besluit 2008/633/JBZ van de Raad (PB 2019, L 135, blz. 27).

31      In overweging 14 van richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van kaderbesluit 2005/222/JBZ van de Raad (PB 2013, L 218, blz. 8) staat dat „[h]et nemen van doeltreffende maatregelen tegen identiteitsdiefstal en andere identiteitsgerelateerde strafbare feiten [...] een ander belangrijk onderdeel van een geïntegreerde aanpak van cybercriminaliteit [is]”. Overweging 31 van richtlijn (EU) 2019/713 van het Europees Parlement en de Raad van 17 april 2019 betreffende de bestrijding van fraude met en vervalsing van niet-contante betaalmiddelen en ter vervanging van kaderbesluit 2001/413/JBZ van de Raad (PB 2019, L 123, blz. 18) luidt: „Fraude met en vervalsing van niet-contante betaalmiddelen kunnen voor de slachtoffers ervan ernstige economische en niet-economische gevolgen hebben. Indien dergelijke fraude gepaard gaat met bijvoorbeeld identiteitsdiefstal, zijn de gevolgen ervan vaak nog ernstiger vanwege reputatie- en beroepsschade, aantasting van de kredietwaardigheid van een persoon en ernstige emotionele schade.” Overweging 33 van die richtlijn luidt: „De lidstaten dienen maatregelen vast te stellen waarmee zulke slachtoffers bijstand en ondersteuning kunnen ontvangen, die voortbouwen op de door die richtlijn voorgeschreven maatregelen, maar meer rechtstreeks tegemoetkomen aan de specifieke behoeften van slachtoffers van fraude in verband met identiteitsdiefstal.”

32      De termen „identiteitsdiefstal of -fraude” worden zonder definitie gebruikt in overwegingen van andere Uniewetgeving. Zie bijvoorbeeld overweging 46 van verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van verordening (EG) nr. 45/2001 en besluit nr. 1247/2002/EG (PB 2018, L 295, blz. 39) en de overwegingen 51 en 61 van richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89).

33      Bijlage II bij verordening (EU) 2018/1798 van de Commissie van 21 november 2018 tot uitvoering van verordening (EG) nr. 808/2004 van het Europees Parlement en de Raad betreffende communautaire statistieken over de informatiemaatschappij voor referentiejaar 2019 (PB 2018, L 296, blz. 2) bevat een aantal voorbeelden van of verwijst naar „online identiteitsdiefstal”, waaronder de omstandigheid dat iemand de persoonsgegevens van een respondent steelt en zich voor die persoon uitgeeft, bijvoorbeeld door te winkelen op naam van de respondent.

34      Zie daarentegen artikel 226‑4‑1 van de Code pénal français (Frans strafwetboek) [gewijzigd bij loi n° 2020‑936 du 30 juillet 2020 (wet nr. 2020‑936 van 30 juli 2020) – artikel 19], waarin is bepaald: „Wederrechtelijke toe-eigening van andermans identiteit of het gebruik van identificatiegegevens van allerlei aard van die andere persoon om de gemoedsrust van hem of die van anderen te verstoren of om zijn eer of goede naam aan te tasten, wordt bestraft met een vrijheidsstraf van één jaar en een geldboete van 15 000 EUR. Dat strafbare feit wordt bestraft met dezelfde straffen indien het is gepleegd op een openbaar onlinecommunicatienetwerk. Indien het strafbare feit is gepleegd door de echtgenoot of de ongehuwd samenwonende partner van het slachtoffer of door de partner met wie het slachtoffer een pacte civil de solidarité (geregistreerd partnerschap) is aangegaan, wordt het bestraft met een vrijheidsstraf van twee jaar en een geldboete van 30 000 EUR.” § 1028A, onderafdeling a, lid 1, van de Amerikaanse 18 U.S. Code, waarin het Amerikaanse federale misdrijf van „gekwalificeerde identiteitsdiefstal” is vastgesteld, bepaalt dat „[w]hoever, during and in relation to any felony violation enumerated in subsection (c), knowingly transfers, possesses, or uses, without lawful authority, a means of identification of another person shall, in addition to the punishment provided for such felony, be sentenced to a term of imprisonment of 2 years [eenieder die tijdens het plegen van een in onderafdeling c) genoemd ernstig strafbaar feit en in verband daarmee een identificatiemiddel van een andere persoon bewust en zonder rechtmatige machtiging overdraagt, in bezit heeft of gebruikt, wordt bestraft met de straf die op dat strafbaar feit is gesteld en met een vrijheidsstraf van twee jaar]”. Zie ook § 1028, onderafdeling a, punt 7, van de Amerikaanse 18 U.S. Code, waarin het federale misdrijf van „identiteitsdiefstal” is vastgelegd.

35      En het daaruit voortvloeiende verlies van controle over de gestolen persoonsgegevens.

36      Voor identiteitsdiefstal is vereist dat de delinquent de betrokkene ten onrechte vertegenwoordigt door de identiteit van de betrokkene aan te nemen of zich voor de betrokkene uit te geven.

37      Anders dan SO betoogt in punt 18 van deze conclusie, wekken de aard en de omvang van de gestolen gegevens geen vermoeden van identiteitsdiefstal indien die gegevens niet zijn gebruikt of misbruikt en daartoe geen concrete stappen zijn genomen.

38      Voor voorbeelden van identiteitsdiefstal, zie Agentschap van de Europese Unie voor cyberbeveiliging – Enisa Dreigingslandschap – januari 2019-april 2020. Beschikbaar op https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft, punt 7.1 van de richtsnoeren van 2021, beschikbaar op https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf(europa.eu), en Europees Comité voor gegevensbescherming, „Richtsnoeren 01/2022 betreffende de rechten van de betrokkene – Recht van toegang” – versie 1.0 – vastgesteld op 18 januari 2022, punt 105, beschikbaar op https://edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_nl.pdf.

39      Indien is voldaan aan de drie voorwaarden die in punt 24 van deze conclusie zijn geformuleerd.

40      Advocaat-generaal Campos Sánchez-Bordona heeft in zijn conclusie in de zaak Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens) (C‑300/21, EU:C:2022:756, punten 98 en 99) opgemerkt dat de in de overwegingen 75 en 85 AVG opgenomen voorbeelden betrekking hebben op risico’s of schade die „aanzienlijk” of „zwaarwegender” kunnen zijn. In de praktijk zal het bestaan van identiteitsdiefstal of -fraude helpen om aan te tonen of er sprake is van schade.

41      Dit volgt uit het feit dat „identiteitsdiefstal of -fraude” in de overwegingen 75 en 85 AVG is vermeld naast andere voorbeelden van risico’s of schade, zoals „discriminatie”, „financiële verliezen” en „reputatieschade”.