Preliminär utgåva
FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
ANTHONY COLLINS
föredraget den 26 oktober 2023(1)
Förenade målen C‑182/22 och C‑189/22
JU (C‑182/22)
SO (C‑189/22)
mot
Scalable Capital GmbH
(begäran om förhandsavgörande från Amtsgericht München (Distriktsdomstolen i München, Tyskland))
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 82.1 – Rätt till ersättning för skada som orsakats av behandling som strider mot den förordningen – Immateriell skada – Stöld av uppgifter – Identitetsstöld eller bedrägeri”
I. Inledning
1. I två till stora delar identiska mål, JU mot Scalable Capital GmbH (nedan kallat Scalable Capital) (mål C‑182/22) och SO mot Scalable Capital (mål C‑189/22), har klagandena begärt ersättning för immateriell skada på grund av den sveda och värk som de påstår sig ha lidit av vad som den hänskjutande domstolen har betecknat som stöld(2) från okända tredje parters sida av deras personuppgifter som har lagrats i en trading-app som Scalable Capital bedriver. De tredje parterna har hittills inte använt uppgifterna för bedrägliga eller andra ändamål. Amtsgericht München (Distriktsdomstolen i München, Tyskland) önskar klarhet från EU-domstolen angående tolkningen av begreppet immateriell skada i artikel 82 i förordning (EU) 2016/679(3) och villkoren för att erhålla ersättning för sådan skada. Rätten vill i synnerhet få klarhet i huruvida stölden av de uppgifterna utgör en sådan ”identitetsstöld” som avses i skäl 75 i den allmänna dataskyddsförordningen.
II. Tillämpliga bestämmelser – unionsrätt
2. Skäl 75 i den allmänna dataskyddsförordningen har följande lydelse:
”Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter …”
3. I skäl 85 i den allmänna dataskyddsförordningen anges följande:
”En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. …”
4. Skäl 146 i den allmänna dataskyddsförordningen har följande lydelse:
”Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. … Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. … Registrerade bör få full och effektiv ersättning för den skada de lidit.”
5. I artikel 82 i den allmänna dataskyddsförordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande:
”1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.
2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.
3. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.
…”
III. Målet vid den nationella domstolen och tolkningsfrågorna
6. JU och SO öppnade investeringskonton i en trading-app som Scalable Capital bedriver. För autentisering av deras identiteter angav de båda personuppgifter i applikationer, däribland sina namn, födelsedatum, post- och e‑postadresser samt digitala kopior av sina identitetshandlingar.(4) Det är ostridigt att dessa uppgifter stals av okända gärningsmän.
7. Amtsgericht München (Distriktsdomstolen i München) anser att de stulna uppgifterna är relativt känsliga och att JU och SO har rätt till ersättning enligt artikel 82 i den allmänna dataskyddsförordningen. Med hänsyn till att storleken på den ersättning som JU och SO ska ådömas beror på hur artikel 82 i den allmänna dataskyddsförordningen ska tolkas, har rätten beslutat att vilandeförklara målet och att hänskjuta följande frågor till EU-domstolen för förhandsavgörande:
”1) Ska artikel 82 i den allmänna dataskyddsförordningen tolkas så, att rätten till ersättning, inbegripet fastställandet av ersättningens belopp, inte har en bestraffande karaktär och i synnerhet inte har en allmän eller individuell avskräckande funktion, utan endast syftar till att kompensera skadan och under vissa omständigheter ge den skadelidande gottgörelse?
2.a) Ska ersättningen för immateriell skada fastställas med utgångspunkt i att ersättningen även syftar till individuell gottgörelse – i detta sammanhang i betydelsen den skadelidandes personliga intresse av att se att beteendet som orsakat skadan bestraffas – eller är syftet med rätten till ersättning endast att kompensera skadan, i detta sammanhang i bemärkelsen att ersättning ska utges för den kränkning som orsakats?
2.b.1) Om rätten till ersättning för immateriell skada både syftar till att kompensera skadan och ge den skadelidande gottgörelse: Ska utgångspunkten för att fastställa ersättningen för immateriell skada vara att den kompenserande funktionen har ett strukturellt företräde, eller åtminstone företräde i form av huvudregel i förhållande till gottgörelsen som utgör ett undantag? Innebär detta att syftet att ge den skadelidande gottgörelse endast ska beaktas vid skador till följd av uppsåtligt handlande eller grov oaktsamhet?
2.b.2) Om rätten till ersättning för immateriell skada inte syftar till att ge den skadelidande gottgörelse: Ska endast personuppgiftsincidenter till följd av uppsåtligt handlande eller grov oaktsamhet tillmätas särskild betydelse inom ramen för bedömningen av hur mycket [ett visst handlande] bidragit till skadan när ersättningsbeloppet ska fastställas?
3) Ska ersättningen för immateriell skada fastställas på grundval av ett hierarkiskt strukturellt förhållande eller åtminstone ett förhållande mellan huvudregel och undantag, där upplevelsen av kränkning till följd av en personuppgiftsincident ska tillmätas mindre betydelse än upplevelsen av kränkning och smärta i samband med en kroppsskada?
4) Får en nationell domstol, i en situation där en skada konstaterats men där den aktuella överträdelsens svårighetsgrad är ringa, utdöma ersättning som i materiellt hänseende är obetydlig och därmed eventuellt kan upplevas som rent symbolisk av den skadelidande eller i allmänhet?
5) Ska rättsföljderna vid immateriell skada fastställas på grundval av att en identitetsstöld, i den mening som avses i skäl 75 i den allmänna dataskyddsförordningen, anses föreligga först när en gärningsman faktiskt har antagit den registrerades identitet, det vill säga i någon form har utgett sig för att vara den registrerade, eller utgör redan den omständigheten att en gärningsman nu har tillgång till personuppgifter som gör det möjligt att identifiera den registrerade personen identitetsstöld i detta avseende?”
IV. Förfarandet vid EU-domstolen
8. Genom beslut av den 19 april 2022 förenade domstolens ordförande målen C‑182/22 och C‑189/22 vad gäller det skriftliga och det muntliga förfarandet samt domen.
9. Domstolens ordförande avslog den 1 juni 2022 Scalable Capitals begäran om att sekretess ska gälla för förevarande mål i enlighet med artikel 95.2 i domstolens rättegångsregler.
10. SO, Scalable Capital, Irland och Europeiska kommissionen har inkommit med skriftliga yttranden.
11. Jag kommer först att behandla de invändningar som har gjorts mot att tolkningsfrågorna kan tas upp till prövning, innan jag, med anledning av domstolens begäran, ger råd till den om hur den femte frågan ska besvaras.
V. Bedömning
A. Huruvida tolkningsfrågorna kan tas upp till prövning
12. Scalable Capital anser att en förlust av kontroll över personuppgifter, utan att detta medför ytterligare konsekvenser för den berörda personen, inte ger upphov till immateriell skada i den mening som avses i artikel 82.1 i den allmänna dataskyddsförordningen. Ordalydelsen och den allmänna systematiken i samt syftet med artikel 82 i den allmänna dataskyddsförordningen ger inte stöd för att det skulle finnas en presumtion för att en sådan skada uppkommer till följd av en sådan förlust av kontroll. Den hänskjutande domstolen gjorde således fel när den gjorde antagandet att JU och SO hade lidit immateriell skada. Begärandena om förhandsavgörande saknar följaktligen betydelse för avgörandet av målen vid den hänskjutande domstolen och kan därför inte tas upp till prövning.
13. Kommissionen anser att det är oklart vilken betydelse den femte frågan har för avgörandet av målen vid den hänskjutande domstolen. Den hänskjutande domstolen har enbart hänvisat till parternas skilda tolkningar av lagstiftningen och har påpekat att ”identitetsstöld endast föreligger när olovligt erhållna uppgifter används för att simulera den registrerades identitet”. I den femte frågan ombeds EU‑domstolen dessutom inte tolka någon specifik bestämmelse i den allmänna dataskyddsförordningen.
14. Enligt EU-domstolens fasta praxis presumeras nationella domstolars frågor om tolkningen av unionsrätten vara relevanta. En begäran från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den.(5)
15. Scalable Capitals invändning mot att samtliga tolkningsfrågor kan tas upp till prövning grundar sig på dess tolkning av artikel 82 i den allmänna dataskyddsförordningen, rätten till ersättning och den påstådda avsaknaden av immateriell skada. Tolkningsfrågorna avser registrerades rätt till ersättning enligt artikel 82 i den allmänna dataskyddsförordningen. Fastställandet av att en skada föreligger är en nödvändig förutsättning för att en sådan ersättning ska kunna erhållas.(6) Scalable Capitals invändning mot att begärandena om förhandsavgörande kan prövas i sak rör således själva sakprövningen av de frågor som tas upp i dem. Det ligger i sakens natur att argument som hänför sig till sakprövningen av de frågor som tas upp i en begäran om förhandsavgörande inte kan påverka huruvida den begäran kan prövas i sak.(7)
16. Vad gäller kommissionens invändning mot att den femte frågan kan tas upp till prövning är det inte uppenbart att den frågan vare sig har något att göra med de mål som har anhängiggjorts vid den hänskjutande domstolen eller att den är hypotetisk. Den hänskjutande domstolen har att pröva mål om ersättning enligt den allmänna dataskyddsförordningen. Parterna är oense om huruvida stöld av personuppgifter utgör identitetsstöld i den mening som avses i skäl 75 i den allmänna dataskyddsförordningen eller huruvida ”en gärningsman faktiskt [måste ha] antagit den registrerades identitet” för att en identitetsstöld ska föreligga.(8) Den hänskjutande domstolen har visserligen lämnat kortfattade synpunkter vad den femte fråga beträffar, men av begärandena om förhandsavgörande framgår att den frågan har samband med de andra fyra frågor som den hänskjutande domstolen har ställt om begreppet immateriell skada och rätten till ersättning enligt artikel 82 i den allmänna dataskyddsförordningen.
17. Jag föreslår därför att EU-domstolen avslår de olika invändningarna mot att de frågor som Amtsgericht München (Distriktsdomstolen i München) har ställt kan tas upp till prövning.
B. Prövning i sak
1. Parternas yttranden
18. Enligt SO görs det en tydlig åtskillnad mellan identitetsstöld och identitetsbedrägeri i skäl 85 i den allmänna dataskyddsförordningen. Identitetsstöld förutsätter att gärningsmannen kan missbruka en persons identitet genom att vilseleda andra i fråga om den identiteten. Identitetsbedrägeri kan begås till följd av en identitetsstöld. Av detta följer att identitetsstöld inte förutsätter att en persons identitet faktiskt missbrukas. Arten och omfattningen av de uppgifter som har stulits i förevarande fall ger upphov till en presumtion för att en identitetsstöld har ägt rum, vilket ger upphov till en rätt till ersättning enligt den bestämmelsen.
19. Scalable Capital har hävdat att identitetsstöld föreligger när en person missbrukar en enskilds personuppgifter i syfte att ”simulera” den enskildes identitet. Stöld av vissa uppgifter kan leda till eller underlätta identitetsstöld, men utgör inte i sig identitetsstöld. Detta synsätt stöds av en systematisk tolkning av skäl 75 i den allmänna dataskyddsförordningen, eftersom det framgår av de övriga exemplen i den bestämmelsen att en möjlighet att använda vissa personuppgifter inte utgör identitetsstöld. Syftet med artikel 82 i den allmänna dataskyddsförordningen är att ge ersättning för skada som enskilda faktiskt lider. Det syftet motverkas av en extensiv tolkning av begreppet identitetsstöld, eftersom en skadeståndstalan då skulle kunna grunda sig på en abstrakt möjlighet att skada kan uppkomma i framtiden.
20. Irland har gjort gällande att identitetsstöld hänför sig till omständigheter där en part faktiskt antar identiteten tillhörande den person vars uppgifter har tillskansats. För att identitetsstöld ska föreligga är det således inte tillräckligt att en part innehar uppgifter som identifierar en person. Ersättning för immateriell skada enligt artikel 82 i den allmänna dataskyddsförordningen ska under alla omständigheter bedömas utifrån omständigheterna i varje enskilt fall.
21. Kommissionen har påpekat att identitetsstöld inte definieras i den allmänna dataskyddsförordningen. I skälen 75 och 85 i den allmänna dataskyddsförordningen anges identitetsstöld som ett exempel på sådan behandling av personuppgifter som kan orsaka fysisk, materiell eller immateriell skada. Enligt kommissionen utgörs sådan identitetsstöld som avses i de skälen av olagligt förvärv av uppgifter i syfte att simulera den berörda personens identitet.(9) För att styrka identitetsstöld måste gärningsmannens avsikt att utge sig för att vara den berörda personen fastställas genom hänvisning till konkreta eller förberedande handlingar. Eftersom det enligt fast rättspraxis krävs att skadan ska vara ”faktisk och säker”,(10) är det inte fråga om identitetsstöld om en person enbart innehar uppgifter som identifierar den berörda personen, om vederbörande inte vidtar några som helst åtgärder för att utge sig för att vara den personen.
2. Analys
22. Den hänskjutande domstolen har ställt sin femte fråga för att få klarhet i huruvida redan den omständigheten att en registrerads känsliga personuppgifter(11) har stulits av en okänd gärningsman utgör identitetsstöld och därmed ger rätt till ersättning, eller huruvida gärningsmannen i själva verket måste anta den registrerades identitet eller vidta åtgärder i det syftet för att identitetsstöld ska föreligga. Den frågan har ställts mot bakgrund av ett konstaterande att okända gärningsmän har stulit vissa av JU:s och SO:s känsliga personuppgifter från Scalable Capitals trading-app. Även om ingen ytterligare (felaktig) användning av uppgifterna tycks ha skett går det inte att utesluta en sådan framtida (felaktig) användning, eftersom gärningsmännen är av okänd identitet och fortfarande inte har gripits.
23. I artikel 82 i den allmänna dataskyddsförordningen bekräftas i allmänna ordalag(12) rätten till ersättning för varje registrerad som har lidit ”materiell eller immateriell skada” till följd av en överträdelse av den allmänna dataskyddsförordningen och fördelar ansvaret mellan den eller de personuppgiftsansvariga och/eller personuppgiftsbiträdet/personuppgiftsbiträdena. I den bestämmelsen definieras vare sig den specifika arten eller formen av en sådan skada. I den allmänna dataskyddsförordningen görs det inte någon hänvisning till medlemsstaternas rättsordningar för fastställandet av innebörden av och tillämpningsområdet för begreppet ”immateriell skada”.(13) Det begreppet ska således behandlas som ett självständigt unionsrättsligt begrepp och tolkas enhetligt i samtliga medlemsstater.(14)
24. Ersättning enligt artikel 82 i den allmänna dataskyddsförordningen ska betalas ut om det kan styrkas att det har skett en överträdelse av den allmänna dataskyddsförordningen, att det har uppstått en ”faktisk skada som lidits” och att det finns ett orsakssamband mellan överträdelsen och skadan.(15) I den allmänna dataskyddsförordningen fastställs inte något system för strikt ansvar.(16) Den kompensatoriska karaktären hos det system som har införts genom artikel 82.1 i den allmänna dataskyddsförordningen utesluter dessutom utdömande av skadestånd med bestraffande funktion.(17) En sådan ersättning måste vara ”full och effektiv”, vilket innebär att ”den … fullt ut [ska] kompensera den skada som faktiskt vållats till följd av en överträdelse av [den allmänna dataskyddsförordningen]”.(18) Den immateriella skada som den registrerade har lidit måste inte vara av en viss allvarlighetsgrad.(19) Även om det inte finns någon miniminivå för den immateriella skadan måste det finnas klara och tydliga bevis för att den registrerade har lidit sådan skada. Det är otillräckligt att det föreligger en potentiell eller hypotetisk skada(20) eller enbart oro över att ens personuppgifter har stulits.
25. Artikel 82.3 i den allmänna dataskyddsförordningen befriar en personuppgiftsansvarig eller ett personuppgiftsbiträde från ansvar ”om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan”. Domstolen har inte haft tillfälle att pröva artikel 82.3 i den allmänna dataskyddsförordningen i detalj. Enligt en bokstavstolkning av den bestämmelsen tycks all (bidragande) försumlighet eller underlåtenhet från den personuppgiftsansvariges eller personuppgiftsbiträdets sida vara tillräcklig för att utesluta tillämpning av undantaget. Den bevisbörda(21) som åvilar personuppgiftsansvariga eller personuppgiftsbiträden enligt den bestämmelsen för att komma i åtnjutande av undantaget kan dessutom kräva att fortsatta åtgärder vidtas för att förebygga uppgiftsincidenter.(22)
26. Stöld av en registrerads personuppgifter ger rätt till ersättning för immateriell skada enligt artikel 82.1 i den allmänna dataskyddsförordningen när de tre villkor som anges i domen i målet Österreichische Post(23) är uppfyllda. I skäl 7 i den allmänna dataskyddsförordningen anges att ”[f]ysiska personer bör ha kontroll över sina egna personuppgifter”. Situationer där registrerade ”hindras att utöva kontroll över sina personuppgifter”(24) eller fysiska personer förlorar ”kontrollen över de egna personuppgifterna”(25) kan ge upphov till immateriell skada. Det är mot denna bakgrund som den hänskjutande domstolen har frågat huruvida stöld av personuppgifter utgör identitetsstöld.
27. De normativa bestämmelserna i den allmänna dataskyddsförordningen innehåller vare sig någon hänvisning till eller någon definition av identitetsstöld. I skälen 75 och 85 i den allmänna dataskyddsförordningen hänvisas det enbart till ”identitetsstöld eller bedrägeri”. I skäl 75 anges ”identitetsstöld eller bedrägeri” som ett av ett icke-uttömmande antal exempel(26) på risker för fysiska personers utövande av sina rättigheter och friheter till följd av att deras personuppgifter behandlas. I skäl 85 i den allmänna dataskyddsförordningen hänvisas det på samma sätt till ”identitetsstöld eller bedrägeri” som ett exempel(27) på skada till följd av underlåtenhet att snabbt åtgärda en personuppgiftsincident på lämpligt sätt.(28)
28. I ett antal skäl(29) och bestämmelser(30) i annan unionslagstiftning hänvisas det till begrepp som ”identitetsstöld”,(31) ”identitetsbedrägeri” och ”identitetsstöld eller bedrägeri”.(32) Jag har inte funnit någon bestämmelse i unionslagstiftningen där de begreppen definieras.(33)Unionslagstiftaren har således hänvisat till de begreppen i illustrativt syfte.(34)
29. Detta framgår även av en granskning av de olika språkversionerna av de begreppen i skälen 75 och 85 i den allmänna dataskyddsförordningen. I stort sett samma begrepp används i den tyska (Identitätsdiebstahl oder –betrug), den engelska (identity theft or fraud), den estniska (identiteedivargust või –pettust), den irländska (goid aitheantais nó calaois aitheantais), den litauiska (būti pavogta ar suklastota tapatybė), den nederländska (identiteitsdiefstal of –fraude), den polska (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), den rumänska (furt sau fraudă a identității) och den slovakiska (krádeži totožnosti alebo podvodu) språkversionen, medan andra språkversioner skiljer sig från dem i varierande grad: den tjeckiska (krádeži či zneužití identity), den franska (vol ou une usurpation d’identité), den grekiska (κατάχρηση ή υποκλοπή ταυτότητας), den portugisiska (usurpação ou roubo da identidade), den italienska (furto o usurpazione d’identità) och den spanska (usurpación de identidad o fraude). De olika språkversionerna av de relevanta skälen i den allmänna dataskyddsförordningen visar att begreppen identitetsstöld, identitetsbedrägeri, identitetsmissbruk, felaktig identitetsanvändning, tillskansning av identitet och usurpation av identitet överlappar varandra och åtminstone i viss mån kan anses betyda samma sak. Av detta följer att det i skälen 75 och 85 i den allmänna dataskyddsförordningen inte görs någon tydlig åtskillnad mellan identitetsstöld och identitetsbedrägeri, i motsats till vad SO har hävdat enligt punkt 18 i förevarande förslag till avgörande.
30. I skälen 75 och 85 i den allmänna dataskyddsförordningen görs åtskillnad mellan exemplet ”förlust av kontrollen” eller hindras att ”utöva kontroll” över personuppgifter och exemplet ”identitetsstöld eller bedrägeri”. Stöld av personuppgifter(35) utgör således inte i sig identitetsstöld, även om den stölden kan leda till en framtida (felaktig) användning av de uppgifterna. Identitetsstöld kräver en ytterligare åtgärd eller ett ytterligare steg som ger skadliga effekter för den registrerade som går utöver stölden av personuppgifter.(36) En person som stjäl en registrerads personuppgifter måste använda uppgifterna (på felaktigt sätt) eller vidta konkreta åtgärder för att (felaktigt) använda dem för olagliga syften utan den personens samtycke.(37) Sådana handlingar innefattar i regel bedrägeri eller någon annan form av vilseledande beteende och utförs vanligtvis för ekonomisk eller annan vinning eller för att skada den registrerade eller hans eller hennes närstående.(38)
31. Det nu sagda innebär att även om stöld av personuppgifter inte utgör identitetsstöld eller bedrägeri, kan den stölden ge upphov till immateriell skada och en rätt till ersättning enligt artikel 82.1 i den allmänna dataskyddsförordningen.(39) Det kan vara lättare att bevisa immateriell skada när en registrerad har utsatts för identitetsstöld eller bedrägeri till följd av att hans eller hennes personuppgifter har stulits.(40) En rätt till ersättning för immateriell skada enligt artikel 82.1 i den allmänna dataskyddsförordningen på grund av stöld av personuppgifter är emellertid inte beroende av att identitetsstöld eller bedrägeri föreligger.(41) Immateriell skada och rätten till ersättning enligt artikel 82.1 i den allmänna dataskyddsförordningen ska bedömas från fall till fall, med hänsyn tagen till alla relevanta omständigheter.
VI. Förslag till avgörande
32. Mot bakgrund av ovanstående överväganden föreslår jag att domstolen besvarar den femte fråga som Amtsgericht München (Distriktsdomstolen i München, Tyskland) har ställt för förhandsavgörande på följande sätt:
Artikel 82.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att
en okänd gärningsmans stöld av en registrerad persons känsliga personuppgifter kan ge upphov till en rätt till ersättning för immateriell skada om det kan styrkas att det har skett en överträdelse av den allmänna dataskyddsförordningen, att en faktisk skada har lidits och att det finns ett orsakssamband mellan överträdelsen och skadan. Utdömandet av sådan ersättning kräver inte att gärningsmannen antar den registrerades identitet, och vidare utgör inte innehav av uppgifter som identifierar den registrerade i sig identitetsstöld.