CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

ANTHONY COLLINS

föredraget den 26 oktober 2023(1)

Förenade målen C‑182/22 och C‑189/22

JU (C‑182/22)

SO (C‑189/22)

mot

Scalable Capital GmbH

(begäran om förhandsavgörande från Amtsgericht München (Distriktsdomstolen i München, Tyskland))

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 82.1 – Rätt till ersättning för skada som orsakats av behandling som strider mot den förordningen – Immateriell skada – Stöld av uppgifter – Identitetsstöld eller bedrägeri”

I. Inledning

1. I två till stora delar identiska mål, JU mot Scalable Capital GmbH (nedan kallat Scalable Capital) (mål C‑182/22) och SO mot Scalable Capital (mål C‑189/22), har klagandena begärt ersättning för immateriell skada på grund av den sveda och värk som de påstår sig ha lidit av vad som den hänskjutande domstolen har betecknat som stöld(2) från okända tredje parters sida av deras personuppgifter som har lagrats i en trading-app som Scalable Capital bedriver. De tredje parterna har hittills inte använt uppgifterna för bedrägliga eller andra ändamål. Amtsgericht München (Distriktsdomstolen i München, Tyskland) önskar klarhet från EU-domstolen angående tolkningen av begreppet immateriell skada i artikel 82 i förordning (EU) 2016/679(3) och villkoren för att erhålla ersättning för sådan skada. Rätten vill i synnerhet få klarhet i huruvida stölden av de uppgifterna utgör en sådan ”identitetsstöld” som avses i skäl 75 i den allmänna dataskyddsförordningen.

II. Tillämpliga bestämmelser – unionsrätt

2. Skäl 75 i den allmänna dataskyddsförordningen har följande lydelse:

”Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter …”

3. I skäl 85 i den allmänna dataskyddsförordningen anges följande:

”En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. …”

4. Skäl 146 i den allmänna dataskyddsförordningen har följande lydelse:

”Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. … Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. … Registrerade bör få full och effektiv ersättning för den skada de lidit.”

5. I artikel 82 i den allmänna dataskyddsförordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande:

”1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

3. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

…”

III. Målet vid den nationella domstolen och tolkningsfrågorna

6. JU och SO öppnade investeringskonton i en trading-app som Scalable Capital bedriver. För autentisering av deras identiteter angav de båda personuppgifter i applikationer, däribland sina namn, födelsedatum, post- och e‑postadresser samt digitala kopior av sina identitetshandlingar.(4) Det är ostridigt att dessa uppgifter stals av okända gärningsmän.

7. Amtsgericht München (Distriktsdomstolen i München) anser att de stulna uppgifterna är relativt känsliga och att JU och SO har rätt till ersättning enligt artikel 82 i den allmänna dataskyddsförordningen. Med hänsyn till att storleken på den ersättning som JU och SO ska ådömas beror på hur artikel 82 i den allmänna dataskyddsförordningen ska tolkas, har rätten beslutat att vilandeförklara målet och att hänskjuta följande frågor till EU-domstolen för förhandsavgörande:

”1) Ska artikel 82 i den allmänna dataskyddsförordningen tolkas så, att rätten till ersättning, inbegripet fastställandet av ersättningens belopp, inte har en bestraffande karaktär och i synnerhet inte har en allmän eller individuell avskräckande funktion, utan endast syftar till att kompensera skadan och under vissa omständigheter ge den skadelidande gottgörelse?

2.a) Ska ersättningen för immateriell skada fastställas med utgångspunkt i att ersättningen även syftar till individuell gottgörelse – i detta sammanhang i betydelsen den skadelidandes personliga intresse av att se att beteendet som orsakat skadan bestraffas – eller är syftet med rätten till ersättning endast att kompensera skadan, i detta sammanhang i bemärkelsen att ersättning ska utges för den kränkning som orsakats?

2.b.1) Om rätten till ersättning för immateriell skada både syftar till att kompensera skadan och ge den skadelidande gottgörelse: Ska utgångspunkten för att fastställa ersättningen för immateriell skada vara att den kompenserande funktionen har ett strukturellt företräde, eller åtminstone företräde i form av huvudregel i förhållande till gottgörelsen som utgör ett undantag? Innebär detta att syftet att ge den skadelidande gottgörelse endast ska beaktas vid skador till följd av uppsåtligt handlande eller grov oaktsamhet?

2.b.2) Om rätten till ersättning för immateriell skada inte syftar till att ge den skadelidande gottgörelse: Ska endast personuppgiftsincidenter till följd av uppsåtligt handlande eller grov oaktsamhet tillmätas särskild betydelse inom ramen för bedömningen av hur mycket [ett visst handlande] bidragit till skadan när ersättningsbeloppet ska fastställas?

3) Ska ersättningen för immateriell skada fastställas på grundval av ett hierarkiskt strukturellt förhållande eller åtminstone ett förhållande mellan huvudregel och undantag, där upplevelsen av kränkning till följd av en personuppgiftsincident ska tillmätas mindre betydelse än upplevelsen av kränkning och smärta i samband med en kroppsskada?

4) Får en nationell domstol, i en situation där en skada konstaterats men där den aktuella överträdelsens svårighetsgrad är ringa, utdöma ersättning som i materiellt hänseende är obetydlig och därmed eventuellt kan upplevas som rent symbolisk av den skadelidande eller i allmänhet?

5) Ska rättsföljderna vid immateriell skada fastställas på grundval av att en identitetsstöld, i den mening som avses i skäl 75 i den allmänna dataskyddsförordningen, anses föreligga först när en gärningsman faktiskt har antagit den registrerades identitet, det vill säga i någon form har utgett sig för att vara den registrerade, eller utgör redan den omständigheten att en gärningsman nu har tillgång till personuppgifter som gör det möjligt att identifiera den registrerade personen identitetsstöld i detta avseende?”

IV. Förfarandet vid EU-domstolen

8. Genom beslut av den 19 april 2022 förenade domstolens ordförande målen C‑182/22 och C‑189/22 vad gäller det skriftliga och det muntliga förfarandet samt domen.

9. Domstolens ordförande avslog den 1 juni 2022 Scalable Capitals begäran om att sekretess ska gälla för förevarande mål i enlighet med artikel 95.2 i domstolens rättegångsregler.

10. SO, Scalable Capital, Irland och Europeiska kommissionen har inkommit med skriftliga yttranden.

11. Jag kommer först att behandla de invändningar som har gjorts mot att tolkningsfrågorna kan tas upp till prövning, innan jag, med anledning av domstolens begäran, ger råd till den om hur den femte frågan ska besvaras.

V. Bedömning

A. Huruvida tolkningsfrågorna kan tas upp till prövning

12. Scalable Capital anser att en förlust av kontroll över personuppgifter, utan att detta medför ytterligare konsekvenser för den berörda personen, inte ger upphov till immateriell skada i den mening som avses i artikel 82.1 i den allmänna dataskyddsförordningen. Ordalydelsen och den allmänna systematiken i samt syftet med artikel 82 i den allmänna dataskyddsförordningen ger inte stöd för att det skulle finnas en presumtion för att en sådan skada uppkommer till följd av en sådan förlust av kontroll. Den hänskjutande domstolen gjorde således fel när den gjorde antagandet att JU och SO hade lidit immateriell skada. Begärandena om förhandsavgörande saknar följaktligen betydelse för avgörandet av målen vid den hänskjutande domstolen och kan därför inte tas upp till prövning.

13. Kommissionen anser att det är oklart vilken betydelse den femte frågan har för avgörandet av målen vid den hänskjutande domstolen. Den hänskjutande domstolen har enbart hänvisat till parternas skilda tolkningar av lagstiftningen och har påpekat att ”identitetsstöld endast föreligger när olovligt erhållna uppgifter används för att simulera den registrerades identitet”. I den femte frågan ombeds EU‑domstolen dessutom inte tolka någon specifik bestämmelse i den allmänna dataskyddsförordningen.

14. Enligt EU-domstolens fasta praxis presumeras nationella domstolars frågor om tolkningen av unionsrätten vara relevanta. En begäran från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den.(5)

15. Scalable Capitals invändning mot att samtliga tolkningsfrågor kan tas upp till prövning grundar sig på dess tolkning av artikel 82 i den allmänna dataskyddsförordningen, rätten till ersättning och den påstådda avsaknaden av immateriell skada. Tolkningsfrågorna avser registrerades rätt till ersättning enligt artikel 82 i den allmänna dataskyddsförordningen. Fastställandet av att en skada föreligger är en nödvändig förutsättning för att en sådan ersättning ska kunna erhållas.(6) Scalable Capitals invändning mot att begärandena om förhandsavgörande kan prövas i sak rör således själva sakprövningen av de frågor som tas upp i dem. Det ligger i sakens natur att argument som hänför sig till sakprövningen av de frågor som tas upp i en begäran om förhandsavgörande inte kan påverka huruvida den begäran kan prövas i sak.(7)

16. Vad gäller kommissionens invändning mot att den femte frågan kan tas upp till prövning är det inte uppenbart att den frågan vare sig har något att göra med de mål som har anhängiggjorts vid den hänskjutande domstolen eller att den är hypotetisk. Den hänskjutande domstolen har att pröva mål om ersättning enligt den allmänna dataskyddsförordningen. Parterna är oense om huruvida stöld av personuppgifter utgör identitetsstöld i den mening som avses i skäl 75 i den allmänna dataskyddsförordningen eller huruvida ”en gärningsman faktiskt [måste ha] antagit den registrerades identitet” för att en identitetsstöld ska föreligga.(8) Den hänskjutande domstolen har visserligen lämnat kortfattade synpunkter vad den femte fråga beträffar, men av begärandena om förhandsavgörande framgår att den frågan har samband med de andra fyra frågor som den hänskjutande domstolen har ställt om begreppet immateriell skada och rätten till ersättning enligt artikel 82 i den allmänna dataskyddsförordningen.

17. Jag föreslår därför att EU-domstolen avslår de olika invändningarna mot att de frågor som Amtsgericht München (Distriktsdomstolen i München) har ställt kan tas upp till prövning.

B. Prövning i sak

1. Parternas yttranden

18. Enligt SO görs det en tydlig åtskillnad mellan identitetsstöld och identitetsbedrägeri i skäl 85 i den allmänna dataskyddsförordningen. Identitetsstöld förutsätter att gärningsmannen kan missbruka en persons identitet genom att vilseleda andra i fråga om den identiteten. Identitetsbedrägeri kan begås till följd av en identitetsstöld. Av detta följer att identitetsstöld inte förutsätter att en persons identitet faktiskt missbrukas. Arten och omfattningen av de uppgifter som har stulits i förevarande fall ger upphov till en presumtion för att en identitetsstöld har ägt rum, vilket ger upphov till en rätt till ersättning enligt den bestämmelsen.

19. Scalable Capital har hävdat att identitetsstöld föreligger när en person missbrukar en enskilds personuppgifter i syfte att ”simulera” den enskildes identitet. Stöld av vissa uppgifter kan leda till eller underlätta identitetsstöld, men utgör inte i sig identitetsstöld. Detta synsätt stöds av en systematisk tolkning av skäl 75 i den allmänna dataskyddsförordningen, eftersom det framgår av de övriga exemplen i den bestämmelsen att en möjlighet att använda vissa personuppgifter inte utgör identitetsstöld. Syftet med artikel 82 i den allmänna dataskyddsförordningen är att ge ersättning för skada som enskilda faktiskt lider. Det syftet motverkas av en extensiv tolkning av begreppet identitetsstöld, eftersom en skadeståndstalan då skulle kunna grunda sig på en abstrakt möjlighet att skada kan uppkomma i framtiden.

20. Irland har gjort gällande att identitetsstöld hänför sig till omständigheter där en part faktiskt antar identiteten tillhörande den person vars uppgifter har tillskansats. För att identitetsstöld ska föreligga är det således inte tillräckligt att en part innehar uppgifter som identifierar en person. Ersättning för immateriell skada enligt artikel 82 i den allmänna dataskyddsförordningen ska under alla omständigheter bedömas utifrån omständigheterna i varje enskilt fall.

21. Kommissionen har påpekat att identitetsstöld inte definieras i den allmänna dataskyddsförordningen. I skälen 75 och 85 i den allmänna dataskyddsförordningen anges identitetsstöld som ett exempel på sådan behandling av personuppgifter som kan orsaka fysisk, materiell eller immateriell skada. Enligt kommissionen utgörs sådan identitetsstöld som avses i de skälen av olagligt förvärv av uppgifter i syfte att simulera den berörda personens identitet.(9) För att styrka identitetsstöld måste gärningsmannens avsikt att utge sig för att vara den berörda personen fastställas genom hänvisning till konkreta eller förberedande handlingar. Eftersom det enligt fast rättspraxis krävs att skadan ska vara ”faktisk och säker”,(10) är det inte fråga om identitetsstöld om en person enbart innehar uppgifter som identifierar den berörda personen, om vederbörande inte vidtar några som helst åtgärder för att utge sig för att vara den personen.

2. Analys

22. Den hänskjutande domstolen har ställt sin femte fråga för att få klarhet i huruvida redan den omständigheten att en registrerads känsliga personuppgifter(11) har stulits av en okänd gärningsman utgör identitetsstöld och därmed ger rätt till ersättning, eller huruvida gärningsmannen i själva verket måste anta den registrerades identitet eller vidta åtgärder i det syftet för att identitetsstöld ska föreligga. Den frågan har ställts mot bakgrund av ett konstaterande att okända gärningsmän har stulit vissa av JU:s och SO:s känsliga personuppgifter från Scalable Capitals trading-app. Även om ingen ytterligare (felaktig) användning av uppgifterna tycks ha skett går det inte att utesluta en sådan framtida (felaktig) användning, eftersom gärningsmännen är av okänd identitet och fortfarande inte har gripits.

23. I artikel 82 i den allmänna dataskyddsförordningen bekräftas i allmänna ordalag(12) rätten till ersättning för varje registrerad som har lidit ”materiell eller immateriell skada” till följd av en överträdelse av den allmänna dataskyddsförordningen och fördelar ansvaret mellan den eller de personuppgiftsansvariga och/eller personuppgiftsbiträdet/personuppgiftsbiträdena. I den bestämmelsen definieras vare sig den specifika arten eller formen av en sådan skada. I den allmänna dataskyddsförordningen görs det inte någon hänvisning till medlemsstaternas rättsordningar för fastställandet av innebörden av och tillämpningsområdet för begreppet ”immateriell skada”.(13) Det begreppet ska således behandlas som ett självständigt unionsrättsligt begrepp och tolkas enhetligt i samtliga medlemsstater.(14)

24. Ersättning enligt artikel 82 i den allmänna dataskyddsförordningen ska betalas ut om det kan styrkas att det har skett en överträdelse av den allmänna dataskyddsförordningen, att det har uppstått en ”faktisk skada som lidits” och att det finns ett orsakssamband mellan överträdelsen och skadan.(15) I den allmänna dataskyddsförordningen fastställs inte något system för strikt ansvar.(16) Den kompensatoriska karaktären hos det system som har införts genom artikel 82.1 i den allmänna dataskyddsförordningen utesluter dessutom utdömande av skadestånd med bestraffande funktion.(17) En sådan ersättning måste vara ”full och effektiv”, vilket innebär att ”den … fullt ut [ska] kompensera den skada som faktiskt vållats till följd av en överträdelse av [den allmänna dataskyddsförordningen]”.(18) Den immateriella skada som den registrerade har lidit måste inte vara av en viss allvarlighetsgrad.(19) Även om det inte finns någon miniminivå för den immateriella skadan måste det finnas klara och tydliga bevis för att den registrerade har lidit sådan skada. Det är otillräckligt att det föreligger en potentiell eller hypotetisk skada(20) eller enbart oro över att ens personuppgifter har stulits.

25. Artikel 82.3 i den allmänna dataskyddsförordningen befriar en personuppgiftsansvarig eller ett personuppgiftsbiträde från ansvar ”om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan”. Domstolen har inte haft tillfälle att pröva artikel 82.3 i den allmänna dataskyddsförordningen i detalj. Enligt en bokstavstolkning av den bestämmelsen tycks all (bidragande) försumlighet eller underlåtenhet från den personuppgiftsansvariges eller personuppgiftsbiträdets sida vara tillräcklig för att utesluta tillämpning av undantaget. Den bevisbörda(21) som åvilar personuppgiftsansvariga eller personuppgiftsbiträden enligt den bestämmelsen för att komma i åtnjutande av undantaget kan dessutom kräva att fortsatta åtgärder vidtas för att förebygga uppgiftsincidenter.(22)

26. Stöld av en registrerads personuppgifter ger rätt till ersättning för immateriell skada enligt artikel 82.1 i den allmänna dataskyddsförordningen när de tre villkor som anges i domen i målet Österreichische Post(23) är uppfyllda. I skäl 7 i den allmänna dataskyddsförordningen anges att ”[f]ysiska personer bör ha kontroll över sina egna personuppgifter”. Situationer där registrerade ”hindras att utöva kontroll över sina personuppgifter”(24) eller fysiska personer förlorar ”kontrollen över de egna personuppgifterna”(25) kan ge upphov till immateriell skada. Det är mot denna bakgrund som den hänskjutande domstolen har frågat huruvida stöld av personuppgifter utgör identitetsstöld.

27. De normativa bestämmelserna i den allmänna dataskyddsförordningen innehåller vare sig någon hänvisning till eller någon definition av identitetsstöld. I skälen 75 och 85 i den allmänna dataskyddsförordningen hänvisas det enbart till ”identitetsstöld eller bedrägeri”. I skäl 75 anges ”identitetsstöld eller bedrägeri” som ett av ett icke-uttömmande antal exempel(26) på risker för fysiska personers utövande av sina rättigheter och friheter till följd av att deras personuppgifter behandlas. I skäl 85 i den allmänna dataskyddsförordningen hänvisas det på samma sätt till ”identitetsstöld eller bedrägeri” som ett exempel(27) på skada till följd av underlåtenhet att snabbt åtgärda en personuppgiftsincident på lämpligt sätt.(28)

28. I ett antal skäl(29) och bestämmelser(30) i annan unionslagstiftning hänvisas det till begrepp som ”identitetsstöld”,(31) ”identitetsbedrägeri” och ”identitetsstöld eller bedrägeri”.(32) Jag har inte funnit någon bestämmelse i unionslagstiftningen där de begreppen definieras.(33)Unionslagstiftaren har således hänvisat till de begreppen i illustrativt syfte.(34)

29. Detta framgår även av en granskning av de olika språkversionerna av de begreppen i skälen 75 och 85 i den allmänna dataskyddsförordningen. I stort sett samma begrepp används i den tyska (Identitätsdiebstahl oder –betrug), den engelska (identity theft or fraud), den estniska (identiteedivargust või –pettust), den irländska (goid aitheantais nó calaois aitheantais), den litauiska (būti pavogta ar suklastota tapatybė), den nederländska (identiteitsdiefstal of –fraude), den polska (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), den rumänska (furt sau fraudă a identității) och den slovakiska (krádeži totožnosti alebo podvodu) språkversionen, medan andra språkversioner skiljer sig från dem i varierande grad: den tjeckiska (krádeži či zneužití identity), den franska (vol ou une usurpation d’identité), den grekiska (κατάχρηση ή υποκλοπή ταυτότητας), den portugisiska (usurpação ou roubo da identidade), den italienska (furto o usurpazione d’identità) och den spanska (usurpación de identidad o fraude). De olika språkversionerna av de relevanta skälen i den allmänna dataskyddsförordningen visar att begreppen identitetsstöld, identitetsbedrägeri, identitetsmissbruk, felaktig identitetsanvändning, tillskansning av identitet och usurpation av identitet överlappar varandra och åtminstone i viss mån kan anses betyda samma sak. Av detta följer att det i skälen 75 och 85 i den allmänna dataskyddsförordningen inte görs någon tydlig åtskillnad mellan identitetsstöld och identitetsbedrägeri, i motsats till vad SO har hävdat enligt punkt 18 i förevarande förslag till avgörande.

30. I skälen 75 och 85 i den allmänna dataskyddsförordningen görs åtskillnad mellan exemplet ”förlust av kontrollen” eller hindras att ”utöva kontroll” över personuppgifter och exemplet ”identitetsstöld eller bedrägeri”. Stöld av personuppgifter(35) utgör således inte i sig identitetsstöld, även om den stölden kan leda till en framtida (felaktig) användning av de uppgifterna. Identitetsstöld kräver en ytterligare åtgärd eller ett ytterligare steg som ger skadliga effekter för den registrerade som går utöver stölden av personuppgifter.(36) En person som stjäl en registrerads personuppgifter måste använda uppgifterna (på felaktigt sätt) eller vidta konkreta åtgärder för att (felaktigt) använda dem för olagliga syften utan den personens samtycke.(37) Sådana handlingar innefattar i regel bedrägeri eller någon annan form av vilseledande beteende och utförs vanligtvis för ekonomisk eller annan vinning eller för att skada den registrerade eller hans eller hennes närstående.(38)

31. Det nu sagda innebär att även om stöld av personuppgifter inte utgör identitetsstöld eller bedrägeri, kan den stölden ge upphov till immateriell skada och en rätt till ersättning enligt artikel 82.1 i den allmänna dataskyddsförordningen.(39) Det kan vara lättare att bevisa immateriell skada när en registrerad har utsatts för identitetsstöld eller bedrägeri till följd av att hans eller hennes personuppgifter har stulits.(40) En rätt till ersättning för immateriell skada enligt artikel 82.1 i den allmänna dataskyddsförordningen på grund av stöld av personuppgifter är emellertid inte beroende av att identitetsstöld eller bedrägeri föreligger.(41) Immateriell skada och rätten till ersättning enligt artikel 82.1 i den allmänna dataskyddsförordningen ska bedömas från fall till fall, med hänsyn tagen till alla relevanta omständigheter.

VI. Förslag till avgörande

32. Mot bakgrund av ovanstående överväganden föreslår jag att domstolen besvarar den femte fråga som Amtsgericht München (Distriktsdomstolen i München, Tyskland) har ställt för förhandsavgörande på följande sätt:

Artikel 82.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att

en okänd gärningsmans stöld av en registrerad persons känsliga personuppgifter kan ge upphov till en rätt till ersättning för immateriell skada om det kan styrkas att det har skett en överträdelse av den allmänna dataskyddsförordningen, att en faktisk skada har lidits och att det finns ett orsakssamband mellan överträdelsen och skadan. Utdömandet av sådan ersättning kräver inte att gärningsmannen antar den registrerades identitet, och vidare utgör inte innehav av uppgifter som identifierar den registrerade i sig identitetsstöld.

1 Originalspråk: engelska.

2 Den hänskjutande domstolen har inte preciserat den rättsliga kvalificeringen av gärningsmännens agerande enligt nationell rätt. ”Stöld” är ett brett begrepp och kan innefatta tillskansning av uppgifter från tredje parts sida.

3 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad den allmänna dataskyddsförordningen).

4 I besluten om hänskjutande anges även att ”[v]ärdepappersdepån förvaltades av en så kallad fondrobot, vilket innebär att det inte var möjligt att dra några slutsatser om kärandens riskprofil”.

5 Se, för ett liknande resonemang, dom av den 2 september 2021, OTP Jelzálogbank m.fl. (C‑932/19, EU:C:2021:673, punkt 26 och där angiven rättspraxis).

6 Domstolen har tolkat artikel 82 i den allmänna dataskyddsförordningen så, att förekomsten av en ”skada” som har ”uppkommit” är ett av de tre villkor som måste vara uppfyllda för att ersättning ska kunna erhållas enligt den bestämmelsen. En överträdelse av den allmänna dataskyddsförordningen ger inte i sig upphov till en rätt till ersättning. Dom av den 4 maj 2023, Österreichische Post (Immateriell skada på grund av olaglig behandling av personuppgifter) (C‑300/21, EU:C:2023:370), punkterna 32 och 42 (nedan kallad domen i målet Österreichische Post).

7 Se, analogt, dom av den 12 december 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, punkt 29).

8 Se lydelsen i den hänskjutande domstolens femte fråga.

9 Se Europeiska dataskyddsstyrelsen, Riktlinjer 01/2021 om exempel på anmälan av personuppgiftsincidenter, Antagna den 14 december 2021, Version 2.0. Tillgängliga på https://edpb_guidelines_012021_pdbnotification_adopted_sv.pdf (europa.eu) (nedan kallade 2021 års riktlinjer).

10 Dom av den 4 april 2017, ombudsmannen/Staelen (C‑337/15 P, EU:C:2017:256, punkterna 91–95 och 127–131).

11 I artikel 4.1 i den allmänna dataskyddsförordningen föreskrivs att med ”personuppgifter” avses ”varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

12 Se skäl 146 i den allmänna dataskyddsförordningen.

13 Domstolen har inte definierat begreppet ”immateriell skada” inom ramen för artikel 82 i den allmänna dataskyddsförordningen. Jag instämmer med generaladvokat Pitruzzella att det inte är tillräckligt att vara irriterad eller missnöjd över att ens uppgifter har ”hackats”. För att vinna framgång med en sådan talan måste den registrerade visa att rädslan för att hans eller hennes uppgifter kommer att missbrukas har vållat honom eller henne en ”emotionell skada”. Se förslag till avgörande av generaladvokaten Pitruzella i målet Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punkterna 81–83).

14 Domen i målet Österreichische Post, punkt 30.

15 Se artikel 82.2 i den allmänna dataskyddsförordningen och domen i målet Österreichische Post, punkerna 32 och 50.

16 Domen i målet Österreichische Post, punkterna 33 och 34. Se även förslag till avgörande av generaladvokaten Pitruzzella i målet Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punkt 61).

17 Domen i målet Österreichische Post, punkt 58. Se även förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Österreichische Post (Ideell skada på grund av olaglig behandling av uppgifter) (C‑300/21, EU:C:2022:756, punkterna 27–55) och förslag till avgörande av generaladvokaten Pitruzzella i målet Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punkt 74).

18 Domen i målet Österreichische Post, punkt 58.

19 Domen i målet Österreichische Post, punkterna 31–33, 51 och 58). Se även skäl 146 i den allmänna dataskyddsförordningen. Se, däremot, förslag till avgörande av generaladvokaten General Campos Sánchez-Bordona i målet Österreichische Post (Ideell skada på grund av olaglig behandling av uppgifter) (C‑300/21, EU:C:2022:756, punkt 105) och förslag till avgörande av generaladvokaten Pitruzzella i målet Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punkt 78).

20 Se, för ett liknande resonemang, dom i målet Österreichische Post, punkt 37.

21 För att omfattas av undantaget förefaller det krävas att den eller de personuppgiftsansvariga och/eller personuppgiftsbiträdet eller personuppgiftsbiträdena lägger fram negativ bevisning.

22 Generaladvokat Pitruzzella anser att för att undgå ansvar enligt artikel 82 i den allmänna dataskyddsförordningen måste personuppgiftsansvariga för system tillhörande offentliga eller privata organisationer som behandlar stora mängder personuppgifter vidta lämpliga åtgärder för att motverka i synnerhet externa angrepp. Se hans förslag till avgörande i målet Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punkterna 65–67). Sådana proaktiva åtgärder kan vara betungande och kostsamma. Personuppgiftsansvariga och personuppgiftsbiträden åläggs en mycket omfattande omsorgsplikt genom artikel 82 i dataskyddsförordningen i sig.

23 Se punkterna 32 och 50 i den domen. Se även punkt 24 och fotnot 6 i förevarande förslag till avgörande.

24 Skäl 75 i den allmänna dataskyddsförordningen.

25 Skäl 85 i den allmänna dataskyddsförordningen.

26 Detta framgår av användningen av orden ”kan”, ”skulle kunna” och ”i synnerhet” i det skälet.

27 Detta framgår av användningen av orden ”kan” och ”såsom” i det skälet. Se, analogt, dom av den 22 december 2008, Wallentin-Hermann (C‑549/07, EU:C:2008:771, punkt 22).

28 I artikel 4.12 i den allmänna dataskyddsförordningen definieras ”personuppgiftsincident” som ”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats”

29 Skäl underlättar tolkningen och förståelsen av unionslagstiftningen genom att bland annat ange de mål som eftersträvas med den och det sammanhang i vilket den har antagits. De gör det lättare att fastställa innebörden av tvetydiga lagstiftningsbestämmelser. Skäl kan inte åberopas för att tolka en bestämmelse contra legem. Dom av den 19 november 1998, Nilsson m.fl. (C‑162/97, EU:C:1998:554, punkt 54).

30 Se, exempelvis, artikel 86 e i rådets och kommissionens beslut 2013/490/EU av den 22 juli 2013 om ingående av stabiliserings- och associeringsavtalet mellan Europeiska gemenskaperna och deras medlemsstater, å ena sidan, och Republiken Serbien, å andra sidan (EUT L 278, 2013, s. 14) och artiklarna 2.2 b, 21 och 25 i Europaparlamentets och rådets förordning (EU) 2019/817 av den 20 maj 2019 om inrättande av en ram för interoperabilitet mellan EU‑informationssystem på området gränser och viseringar, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 och (EU) 2018/1861 samt rådets beslut 2004/512/EG och 2008/633/RIF (EUT L 135, 2019, s. 27).

31 I skäl 14 i Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 2013, s. 8) anges att ”[i]nförandet av effektiva åtgärder mot identitetsstöld och andra identitetsrelaterade brott utgör en annan viktig del i en samlad ansats mot it-relaterad brottslighet”. I skäl 31 i Europaparlamentets och rådets direktiv (EU) 2019/713 av den 17 april 2019 om bekämpande av bedrägeri och förfalskning som rör andra betalningsmedel än kontanter och om ersättande av rådets rambeslut 2001/413/RIF (EUT L 123, 2019, s. 18) anges att ”[b]edrägeri och förfalskning som rör andra betalningsmedel än kontanter kan få allvarliga ekonomiska och icke-ekonomiska följder för brottsoffren. Om sådant bedrägeri innefattar till exempel identitetsstöld förvärras dess följder ofta eftersom det ger upphov till renomméskada, yrkesmässig skada, skada i fråga om en persons kreditvärdighet och allvarlig emotionell skada”. I skäl 33 i det direktivet anges att ”[m]edlemsstaterna bör anta åtgärder för hjälp och stöd till sådana offer som bygger på de åtgärder som krävs enligt det direktivet, men som mer direkt svarar mot de särskilda behov som offer för bedrägeri som rör identitetsstöld har”.

32 Begreppen ”identitetsstöld eller bedrägeri” används, utan definition, i skälen i annan unionslagstiftning. Se, exempelvis, skäl 46 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39) och skälen 51 och 61 of Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).

33 Bilaga II till kommissionens förordning (EU) 2018/1798 av den 21 november 2018 om genomförande av Europaparlamentets och rådets förordning (EG) nr 808/2004 om gemenskapsstatistik om informationssamhället för referensåret 2019 (EUT L 296, 2018, s. 2) innehåller ett antal exempel på och hänvisningar till identitetsstöld. Bland dessa ges ”någon har stulit uppgiftslämnarens personuppgifter och t.ex. köpt varor i hans/hennes namn” som ett exempel på ”identitetsstöld online”.

34 Se, däremot, artikel 226–4-1 i Code pénal français (den franska strafflagen) (ändrad genom LOI n°2020–936 du 30 juillet 2020 (lag nr 2020–936 av den 30 juli 2020) – artikel 19), där följande föreskrivs: ”Den som stjäl en annan persons identitet eller använder en eller flera uppgifter av något slag genom vilka den personen kan identifieras i syfte att störa hans eller hennes sinnesfrid eller skada hans eller hennes anseende eller rykte ska dömas till ett års fängelse och 15 000 euro i böter. Samma påföljder ska tillämpas när brottet begås i ett allmänt kommunikationsnät online. När sådana gärningar begås av brottsoffrets make/maka eller sambo, eller av en partner som har anknytning till brottsoffret genom ett avtal om registrerat partnerskap (’pacte civil de solidarité’) ska vederbörande dömas till två års fängelse och 30 000 euro i böter.” I 18 U.S. Code § 1028A(a)(1) fastställs det amerikanska federala brottet grov identitetsstöld. Där föreskrivs att ”den som under och i samband med något av de brott som anges i underavsnitt c och som medvetet överför, innehar eller använder en annan persons identitetshandling, utan lagenligt tillstånd, ska utöver den påföljd som föreskrivs för det brottet dömas till två års fängelse. Se även 18 U.S. Code § 1028(a)(7), om fastställande av det amerikanska federala brottet identitetsstöld.

35 Och den därav följande förlusten av kontroll över de stulna personuppgifterna.

36 Identitetsstöld kräver att gärningsmannen ger en felaktig bild av den registrerade, till exempel genom att utge sig för att vara den registrerade.

37 Tvärtemot vad SO har hävdat enligt punkt 18 i förevarande förslag till avgörande ger de stulna uppgifternas art och omfattning inte upphov till en presumtion för identitetsstöld, om de uppgifterna inte har använts på felaktigt sätt eller konkreta åtgärder har vidtagits i det syftet.

38 För exempel på identitetsstöld, se Europeiska unionens cybersäkerhetsbyrå – Identity theft – Enisa Threat Landscape – From January 2019 to April 2020, tillgänglig på https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft, avsnitt 7.1 i 2021 års riktlinjer, tillgängliga på https://edpb_guidelines_012021_pdbnotification_adopted_sv.pdf (europa.eu) och punkt 105 i Europeiska dataskyddsstyrelsens riktlinjer, Guidelines 01/2022 on data subject rights – Right of access –Version 1.0 – Adopted on 18 January 2022, punkt 105, tillgängliga på https://edpb.europa.eu/system/files/2022–01/edpb_guidelines_012022_right-of-access_0.pdf och punkt 7.1.

39 När de tre villkor som beskrivs i punkt 24 i förevarande förslag till avgörande är uppfyllda.

40 I sitt förslag till avgörande i målet Österreichische Post (Immateriell skada på grund av olaglig behandling av personuppgifter) (C‑300/21, EU:C:2022:756, punkterna 98 och 99), angav generaladvokaten Campos Sánchez-Bordona att de exempel på risker eller skador som ges i skälen 75 och 85 i den allmänna dataskyddsförordningen kan vara ”betydande” eller av ”allvarligare karaktär”. Förekomsten av identitetsstöld eller bedrägeri bidrar i praktiken till att det fastställs att en skada föreligger.

41 Detta följer av det faktum att ”identitetsstöld eller bedrägeri” i skäl 75 och 85 i den allmänna dataskyddsförordningen anges tillsammans med andra exempel på risk eller skada, såsom ”diskriminering”, ”ekonomisk förlust” och ”skadat anseende”.