–

GP ved Rechtsanwalt H. Schöning,

–

juris GmbH ved Rechtsanwälte E. Brandt og C. Werkmeister,

–

Irland ved Chief State Solicitor M. Browne samt A. Joyce og M. Lane, som befuldmægtigede, bistået af D. Fennelly, BL,

–

Europa-Kommissionen ved A. Bouchagiar, M. Heller og H. Kranenborg, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 82, stk. 1 og 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«), sammenholdt med denne forordnings artikel 29 og 83 og i lyset af 85. og 146. betragtning til denne.

2

Denne anmodning er blevet indgivet i forbindelse med en tvist mellem GP, der er en fysisk person, og juris GmbH, der er et selskab med hjemsted i Tyskland, vedrørende en erstatning for de skader, som GP hævder at have lidt som følge af forskellige behandlinger af hans personoplysninger, som er blevet foretaget med henblik på markedsføring til trods for de indsigelser, som han har fremsat over for dette selskab.

3

85., 146. og 148. betragtning til databeskyttelsesforordningen har følgende ordlyd:

[...]

[...]

4

Denne forordnings artikel 4 med overskriften »Definitioner« har følgende ordlyd:

»I denne forordning forstås ved:

[...]

[...]

[...]«

5

Den nævnte forordnings artikel 5 fastsætter en række principper for behandling af personoplysninger.

6

Databeskyttelsesforordningens artikel 21 med overskriften »Ret til indsigelse«, der er indeholdt i forordningens kapitel III vedrørende »[d]en registreredes rettigheder«, fastsætter i stk. 3 følgende:

»Hvis den registrerede gør indsigelse mod behandling med henblik på direkte markedsføring, må personoplysningerne ikke længere behandles til dette formål.«

7

Databeskyttelsesforordningens kapitel IV med overskriften »Dataansvarlig og databehandler« indeholder forordningens artikel 24-43.

8

Denne forordnings artikel 24 med overskriften »Den dataansvarliges ansvar« bestemmer i stk. 1 og 2 følgende:

»1.   Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2.   Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.«

9

Den samme forordnings artikel 25 med overskriften »Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger« bestemmer i stk. 1 følgende:

»Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.«

10

Databeskyttelsesforordningens artikel 29 med overskriften »Behandling, der udføres for den dataansvarlige eller databehandleren«, bestemmer følgende:

»Databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.«

11

Denne forordnings artikel 32 med overskriften »Behandlingssikkerhed« har følgende ordlyd:

»1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

[...]

[...]

2.   Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

[...]

4.   Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret.«

12

Databeskyttelsesforordningens kapitel VIII med overskriften »Retsmidler, ansvar og sanktioner« indeholder forordningens artikel 77-84.

13

Denne forordnings artikel 79 med overskriften »Adgang til effektive retsmidler over for en dataansvarlig eller databehandler« fastsætter i stk. 1 følgende:

»Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.«

14

Databeskyttelsesforordningens artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« bestemmer i stk. 1-3 følgende:

»1.   Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2.   Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. [...]

3.   En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.«

15

Databeskyttelsesforordningens artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« bestemmer i stk. 2, 3 og 5 følgende:

»2.   [...] Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

[...]

3.   Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

[...]

5.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20000000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

[...]«

16

Denne forordnings artikel 84 med overskriften »Sanktioner« fastsætter i stk. 1 følgende:

»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.«

17

Sagsøgeren i hovedsagen, som er en fysisk person, der udøver virksomhed som selvstændig advokat, var kunde hos juris, som er et selskab, der driver en juridisk database.

18

Efter at sagsøgeren i hovedsagen havde erfaret, at hans personoplysninger også blev anvendt af juris med henblik på direkte markedsføring, tilbagekaldte han den 6. november 2018 skriftligt alle sine samtykker til at modtage oplysninger fra dette selskab pr. e-mail eller telefonisk, og han modsatte sig enhver behandling af disse oplysninger, bortset fra behandling til brug for fremsendelse af nyhedsbreve, som han fortsat ønskede at modtage.

19

På trods af denne henvendelse modtog sagsøgeren i hovedsagen i januar 2019 to reklameskrivelser, der med navns nævnelse blev sendt til hans forretningsadresse. Ved skrivelse af 18. april 2019 stilet til juris gjorde han dette selskab opmærksom på sin tidligere indsigelse mod enhver markedsføring, han anførte over for selskabet, at udarbejdelsen af disse reklameskrivelser havde bevirket en ulovlig behandling af hans oplysninger, og han afkrævede selskabet erstatning for sin skade i henhold til databeskyttelsesforordningens artikel 82. Efter at sagsøgeren i hovedsagen den 3. maj 2019 havde modtaget en ny reklameskrivelse, gentog han sin indsigelse, som denne gang blev forkyndt for juris ved stævningsmand.

20

Hver af de nævnte reklameskrivelser indeholdt en »personlig testkode«, der gjorde det muligt på juris’ hjemmeside at få adgang til en formular til bestilling af produkter fra dette selskab, som indeholdt oplysninger om sagsøgeren i hovedsagen, således som en notar på sagsøgerens begæring konstaterede den 7. juni 2019.

21

Sagsøgeren i hovedsagen har anlagt sag ved Landgericht Saarbrücken (den regionale ret i første instans i Saarbrücken, Tyskland), som er den forelæggende ret i den foreliggende sag, med påstand om i henhold til databeskyttelsesforordningens artikel 82, stk. 1, at opnå erstatning for sin materielle skade, der er knyttet til de omkostninger, som han har afholdt til stævningsmand og notar, samt for sin immaterielle skade. Han har bl.a. gjort gældende, at han har lidt et tab af kontrol over sine personoplysninger som følge af de behandlinger af disse oplysninger, som juris på trods af hans indsigelser har foretaget, og at han kan opnå erstatning herfor uden at skulle godtgøre virkningerne eller alvoren af det indgreb, der er sket i hans rettigheder, som er sikret ved artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og præciseret i databeskyttelsesforordningen.

22

Juris har i sit svarskrift afvist ethvert ansvar, idet selskabet har gjort gældende, at det havde indført et system til håndtering af indsigelser mod markedsføring, og at den forsinkede hensyntagen til indsigelserne fra sagsøgeren i hovedsagen skyldes enten, at en af dets medarbejdere ikke overholdt de givne instrukser, eller at det ville have været urimeligt omkostningskrævende at tage hensyn til disse indsigelser. Selskabet har anført, at den blotte tilsidesættelse af en forpligtelse, der følger af databeskyttelsesforordningen, såsom den, der følger af denne forordnings artikel 21, stk. 3, ikke i sig selv kan udgøre en »skade« som omhandlet i forordningens artikel 82, stk. 1.

23

For det første er den forelæggende ret indledningsvis gået ud fra den forudsætning, at den i databeskyttelsesforordningens artikel 82, stk. 1, fastsatte ret til erstatning er betinget af, at tre betingelser er opfyldt, nemlig en tilsidesættelse af denne forordning, en materiel eller immateriel skade samt en årsagsforbindelse mellem denne tilsidesættelse og denne skade. Henset til udsagnene fra sagsøgeren i hovedsagen ønsker den forelæggende ret dernæst oplyst, om det ikke desto mindre skal fastslås, at en tilsidesættelse af databeskyttelsesforordningen i sig selv udgør en immateriel skade, der giver ret til erstatning, navnlig når den tilsidesatte bestemmelse i denne forordning giver den berørte person en subjektiv ret. Eftersom en økonomisk erstatning for en immateriel skade i tysk ret er betinget af, at der er sket en alvorlig krænkelse af beskyttede rettigheder, ønsker den forelæggende ret endelig oplyst, om en tilsvarende begrænsning skal finde anvendelse for så vidt angår erstatningskrav i henhold til databeskyttelsesforordningen i lyset af de angivelser vedrørende begrebet »skade«, der fremgår af 85. og 146. betragtning til denne forordning.

24

For det andet anser den forelæggende ret det for muligt, at det følger af databeskyttelsesforordningens artikel 82, at når der er konstateret en overtrædelse af denne forordning, anses denne overtrædelse for at kunne tilregnes den dataansvarlige, således at der foreligger et formodet culpaansvar eller endog et objektivt ansvar for den dataansvarlige. Efter at have fremhævet, at databeskyttelsesforordningens artikel 82, stk. 3, ikke præciserer de konkrete beviskrav til den fritagelse, der er fastsat i dette stykke, har den forelæggende ret desuden anført, at hvis det var muligt for den dataansvarlige at frigøre sig for sit ansvar ved blot i generelle vendinger at gøre gældende, at en af dennes medarbejdere havde udvist en culpøs adfærd, ville dette i væsentlig grad begrænse den effektive virkning af den ret til erstatning, der er fastsat i forordningens artikel 82, stk. 1.

25

For det tredje ønsker den forelæggende ret bl.a. oplyst, om kriterierne i databeskyttelsesforordningens artikel 83, stk. 2 og 5, for at fastsætte størrelsen af administrative bøder også kan eller endog skal tages i betragtning inden for rammerne af databeskyttelsesforordningens artikel 82 i forhold til at opgøre størrelsen af den økonomiske erstatning for en skade, navnlig for en immateriel skade, der skal betales i henhold til denne artikel 82.

26

For det fjerde og til sidst har denne ret anført, at det i den tvist, som den skal afgøre, forholder sig således, at personoplysningerne vedrørende sagsøgeren i hovedsagen har været genstand for flere behandlinger med henblik på markedsføring på trods af den berørtes gentagne indsigelser. Den forelæggende ret ønsker derfor at få fastslået, om der, når der foreligger en sådan flerhed af overtrædelser af databeskyttelsesforordningen, skal tages hensyn til disse overtrædelser individuelt eller samlet med henblik på at fastsætte størrelsen af den erstatning, der eventuelt skal betales i henhold til denne forordnings artikel 82.

27

På denne baggrund har Landgericht Saarbrücken (den regionale ret i første instans i Saarbrücken) besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:

28

Indledningsvis har juris i det væsentlige gjort gældende, at det første spørgsmål ikke kan antages til realitetsbehandling, eftersom det tager sigte på at få fastslået, om adgangen til den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, er underlagt et krav om, at den skade, som påberåbes af den registrerede, således som den registrerede er defineret i denne forordnings artikel 4, nr. 1), har en vis alvorsgrad. Dette spørgsmål er uden relevans for afgørelsen af tvisten i hovedsagen, idet den skade, som sagsøgeren i hovedsagen har påberåbt sig, dvs. et tab af kontrol over sine personoplysninger, ikke har fundet sted som et led i kontraktforholdet mellem parterne i denne tvist, eftersom disse oplysninger har været genstand for en lovlig behandling.

29

I denne henseende bemærkes, at det udelukkende tilkommer den nationale ret, for hvilken en tvist er indbragt, og som har ansvaret for den retlige afgørelse, som skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen, hvilke spørgsmål er omfattet af en formodning for at være relevante. Når de forelagte spørgsmål vedrører fortolkningen eller gyldigheden af en EU-retlig regel, er Domstolen derfor principielt forpligtet til at træffe afgørelse, medmindre det klart fremgår, at den ønskede fortolkning savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en hensigtsmæssig besvarelse af disse spørgsmål (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 23 og den deri nævnte retspraksis).

30

I den foreliggende sag vedrører det første spørgsmål de betingelser, der skal være opfyldt, for at retten til erstatning som fastsat i databeskyttelsesforordningens artikel 82 kan udøves. Desuden fremgår det ikke klart, at den ønskede fortolkning er uden forbindelse med tvisten i hovedsagen, eller at den rejste problemstilling er af hypotetisk karakter. For det første vedrører denne tvist nemlig et krav om erstatning, som er omfattet af den ordning for beskyttelse af personoplysninger, der er indført ved databeskyttelsesforordningen. For det andet er formålet med dette spørgsmål i det væsentlige at få afgjort, om det med henblik på anvendelsen af ansvarsreglerne i denne forordning ikke alene er nødvendigt, at der foreligger en immateriel skade, som adskiller sig fra tilsidesættelsen af den nævnte forordning, men tillige at denne skade overskrider en vis alvorstærskel.

31

Det første spørgsmål kan derfor antages til realitetsbehandling.

32

Med sit første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en overtrædelse af bestemmelser i denne forordning, som tillægger den registrerede rettigheder, i sig selv er tilstrækkelig til at udgøre en »immateriel skade« som omhandlet i denne bestemmelse, uafhængigt af alvorsgraden af den skade, som den registrerede har lidt.

33

Indledningsvis skal der erindres om, at databeskyttelsesforordningens artikel 82, stk. 1, bestemmer, at »[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren«.

34

Domstolen har allerede fortolket databeskyttelsesforordningens artikel 82, stk. 1, således, at den blotte overtrædelse af denne forordning ikke er tilstrækkelig til at give ret til erstatning, eftersom en af betingelserne for ret til erstatning som fastsat i denne artikel 82, stk. 1, er, at der foreligger en materiel eller immateriel »skade«, eller at der er »forvold[t] skade«, ligesom denne forordning skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative (jf. i denne retning dom af 25.1.2024, MediaMarktSaturn,C-687/21, EU:C:2024:72, præmis 58 og den deri nævnte retspraksis).

35

Den person, der på grundlag af denne bestemmelse fremsætter et erstatningskrav vedrørende en immateriel skade, er således forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende en sådan skade (jf. i denne retning dom af 25.1.2024, MediaMarktSaturn,C-687/21, EU:C:2024:72, præmis 60 og 61 og den deri nævnte retspraksis).

36

Det skal på dette punkt bemærkes, at Domstolen har fortolket databeskyttelsesforordningens artikel 82, stk. 1, således, at denne bestemmelse er til hinder for en national regel eller praksis, hvorefter erstatning for en immateriel skade som omhandlet i denne bestemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad, samtidig med at Domstolen har fremhævet, at den registrerede ikke desto mindre skal godtgøre, at overtrædelsen af denne forordning har forvoldt vedkommende en sådan immateriel skade (jf. i denne retning dom af 25.1.2024, MediaMarktSaturn,C-687/21, EU:C:2024:72, præmis 59 og 60 og den deri nævnte retspraksis).

37

Selv om den bestemmelse i databeskyttelsesforordningen, der er blevet overtrådt, tillægger fysiske personer rettigheder, kan en sådan overtrædelse ikke i sig selv udgøre en »immateriel skade« i denne forordnings forstand.

38

Det fremgår ganske vist af databeskyttelsesforordningens artikel 79, stk. 1, at enhver registreret har adgang til effektive retsmidler over for den dataansvarlige eller en eventuel databehandler, hvis vedkommende finder, at »vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning«.

39

Denne bestemmelse begrænser sig imidlertid til at tillægge den person, der mener, at vedkommendes rettigheder i henhold til databeskyttelsesforordningen er blevet overtrådt, en søgsmålsret, uden at den pågældende fritages for sin forpligtelse efter denne forordnings artikel 82, stk. 1, til at bevise, at vedkommende faktisk har lidt materiel eller immateriel skade.

40

Det følger heraf, at en tilsidesættelse af bestemmelser i databeskyttelsesforordningen, der tillægger den registrerede rettigheder, ikke i sig selv er tilstrækkelig til at begrunde en materiel ret til erstatning i henhold til denne forordning, idet en sådan ret kræver, at de to øvrige betingelser for denne ret, der er nævnt i nærværende doms præmis 34, også er opfyldt.

41

I det foreliggende tilfælde har sagsøgeren i hovedsagen på grundlag af databeskyttelsesforordningen nedlagt påstand om erstatning for en immateriel skade, nemlig et tab af kontrol over sine personoplysninger, der på trods af hans indsigelser har været genstand for behandlinger, uden at være forpligtet til at bevise, at denne skade har overskredet en vis alvorstærskel.

42

I denne henseende skal det bemærkes, at et »tab af kontrol« udtrykkeligt nævnes i 85. betragtning til databeskyttelsesforordningen blandt de skader, der kan opstå som følge af et brud på persondatasikkerheden. Endvidere har Domstolen fastslået, at tabet af kontrol med personoplysninger – selv i et kort tidsrum – kan udgøre en »immateriel skade« som omhandlet i denne forordnings artikel 82, stk. 1, der giver ret til erstatning, forudsat at den nævnte registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være (jf. i denne retning dom af 25.1.2024, MediaMarktSaturn,C-687/21, EU:C:2024:72, præmis 66 og den deri nævnte retspraksis).

43

Henset til ovenstående begrundelser skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en overtrædelse af bestemmelser i denne forordning, som tillægger den registrerede rettigheder, ikke i sig selv er tilstrækkelig til at udgøre en »immateriel skade« som omhandlet i denne bestemmelse, uafhængigt af alvorsgraden af den skade, som den registrerede har lidt.

44

Med sit andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82 skal fortolkes således, at det er tilstrækkeligt til, at den dataansvarlige kan fritages for sit erstatningsansvar i henhold til nævnte artikels stk. 3, at vedkommende gør gældende, at den pågældende skade er forårsaget af en fejl begået af en person, der udfører arbejde for den dataansvarlige som omhandlet i denne forordnings artikel 29.

45

Der skal i denne forbindelse erindres om, at databeskyttelsesforordningens artikel 82 i stk. 2 bestemmer, at enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning, og i stk. 3 bestemmer, at en dataansvarlig er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

46

Domstolen har allerede fastslået, at det fremgår af en kombineret analyse af stk. 2 og 3 i denne artikel 82, at denne artikel fastsætter en ordning med culpaansvar, hvorefter den dataansvarlige formodes at have været involveret i den behandling, der udgør den omhandlede overtrædelse af databeskyttelsesforordningen, således at bevisbyrden ikke påhviler den person, der har lidt skade, men den dataansvarlige (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein,C-667/21, EU:C:2023:1022, præmis 92-94).

47

Med hensyn til om en dataansvarlig kan fritages for sit erstatningsansvar i henhold til databeskyttelsesforordningens artikel 82, stk. 3, alene fordi denne skade er forårsaget af en culpøs adfærd udvist af en person, der udfører arbejde for den dataansvarlige som omhandlet i denne forordnings artikel 29, fremgår det for det første af denne artikel 29, at personer, der udfører arbejde for den dataansvarlige, såsom dennes ansatte, der har adgang til personoplysninger, som udgangspunkt kun kan behandle disse oplysninger efter instruks fra den dataansvarlige og i overensstemmelse med denne instruks (jf. i denne retning dom af 22.6.2023, Pankki S,C-579/21, EU:C:2023:501, præmis 73 og 74).

48

For det andet bestemmer databeskyttelsesforordningens artikel 32, stk. 4, om sikkerheden i forbindelse med behandling af personoplysninger, at den dataansvarlige tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

49

En ansat hos den dataansvarlige er rent faktisk en fysisk person, der udfører arbejde for denne dataansvarlige. Det påhviler således den nævnte dataansvarlige at sikre sig, at vedkommendes instrukser gennemføres korrekt af dennes ansatte. En dataansvarlig kan derfor ikke frigøre sig for sit ansvar i henhold til databeskyttelsesforordningens artikel 82, stk. 3, blot ved at påberåbe sig, at en person, der udfører arbejde for vedkommende, har udvist uagtsomhed eller forsømmelse.

50

I det foreliggende tilfælde har juris i sit skriftlige indlæg for Domstolen i det væsentlige gjort gældende, at den dataansvarlige bør fritages for sit erstatningsansvar i henhold til databeskyttelsesforordningens artikel 82, stk. 3, når den overtrædelse, der har forvoldt den pågældende skade, kan tilskrives en adfærd udvist af en af dennes ansatte, som ikke har overholdt den dataansvarliges instrukser, og forudsat at denne overtrædelse ikke skyldes en tilsidesættelse af sidstnævntes forpligtelser, der navnlig er fastsat i denne forordnings artikel 24, 25 og 32.

51

Det skal i denne forbindelse fremhæves, at de omstændigheder, der knytter sig til den fritagelse, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 3, skal være strengt begrænset til de omstændigheder, hvor den dataansvarlige kan påvise, at skaden ikke kan tilregnes den pågældende (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite,C-340/21, EU:C:2023:986, præmis 70). I tilfælde af et brud på persondatasikkerheden begået af en person, der udfører arbejde for den dataansvarlige, kan den dataansvarlige derfor kun nyde godt af denne fritagelse, såfremt vedkommende beviser, at der ikke er nogen årsagsforbindelse mellem den eventuelle tilsidesættelse af vedkommendes forpligtelse til at beskytte oplysningerne efter databeskyttelsesforordningens artikel 5, 24 og 32, og den skade, som den registrerede har lidt (jf. analogt dom af 14.12.2023, Natsionalna agentsia za prihodite,C-340/21, EU:C:2023:986, præmis 72).

52

For at den dataansvarlige kan fritages for sit erstatningsansvar i henhold til databeskyttelsesforordningens artikel 82, stk. 3, er det derfor ikke tilstrækkeligt, at denne godtgør at have givet instrukser til de personer, der udfører arbejde for vedkommende som omhandlet i denne forordnings artikel 29, og at en af de nævnte personer har tilsidesat sin forpligtelse til at følge disse instrukser, således at denne har bidraget til den pågældende skades indtræden.

53

Hvis det blev anerkendt, at den dataansvarlige kunne fritages for sit erstatningsansvar ved blot at påberåbe sig en fejl begået af en person, der udførte arbejde for vedkommende, ville dette nemlig skade den effektive virkning af den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, således som den forelæggende ret i det væsentlige har anført, og dette ville ikke være i overensstemmelse med denne forordnings formål, som består i at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandlingen af deres personoplysninger.

54

Henset til det ovenstående skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 82 skal fortolkes således, at det ikke er tilstrækkeligt til, at den dataansvarlige kan fritages for sit erstatningsansvar i henhold til nævnte artikels stk. 3, at vedkommende gør gældende, at den pågældende skade er forårsaget af en fejl begået af en person, der udfører arbejde for den dataansvarlige som omhandlet i denne forordnings artikel 29.

55

Med sit tredje og fjerde spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, dels skal foretages en analog anvendelse af kriterierne for udmåling af de administrative bøder i denne forordnings artikel 83, dels skal tages hensyn til den omstændighed, at flere overtrædelser af databeskyttelsesforordningen, som vedrører en og samme behandlingsaktivitet, berører den person, der kræver erstatning.

56

Hvad for det første angår en eventuel hensyntagen til de i databeskyttelsesforordningens artikel 83 fastsatte kriterier med henblik på at opgøre det erstatningsbeløb, der skal betales i henhold til denne forordnings artikel 82, er det ubestridt, at disse to bestemmelser forfølger forskellige formål. Mens denne forordnings artikel 83 fastsætter de »[g]enerelle betingelser for pålæggelse af administrative bøder«, regulerer forordningens artikel 82 »[retten] til erstatning og erstatningsansvar«.

57

Det følger heraf, at de kriterier, som er fastsat i databeskyttelsesforordningens artikel 83 med henblik på at udmåle de administrative bøder, og som ligeledes er nævnt i 148. betragtning til denne forordning, ikke kan anvendes til at opgøre erstatningsbeløbet i henhold til denne forordnings artikel 82.

58

Som Domstolen allerede har fremhævet, indeholder databeskyttelsesforordningen ikke nogen bestemmelse om opgørelsen af den erstatning, der skal betales i henhold til den ret til erstatning, der er fastsat i denne forordnings artikel 82. Følgelig skal de nationale retter med henblik på denne opgørelse og i henhold til princippet om procesautonomi anvende den enkelte medlemsstats nationale regler vedrørende den økonomiske erstatnings omfang, for så vidt som dette sker under overholdelse af de EU-retlige principper om ækvivalens og effektivitet, således som disse er defineret i Domstolens faste praksis (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein,C-667/21, EU:C:2023:1022, præmis 83 og 101 og den deri nævnte retspraksis, og af 25.1.2024, MediaMarktSaturn,C-687/21, EU:C:2024:72, præmis 53).

59

I denne sammenhæng har Domstolen fremhævet, at databeskyttelsesforordningens artikel 82 ikke har en straffende, men en kompenserende funktion i modsætning til andre af forordningens bestemmelser, der ligeledes findes i dens kapitel VIII, nemlig artikel 83 og 84, som for deres vedkommende i det væsentlige har et strafformål, idet de giver mulighed for henholdsvis at pålægge administrative bøder og andre sanktioner. Forholdet mellem reglerne i artikel 82 og i artikel 83 og 84 viser, at disse to kategorier af bestemmelser er forskellige, men også komplementære med hensyn til tilskyndelse til at overholde databeskyttelsesforordningen, idet det bemærkes, at retten for enhver til at kræve erstatning for en skade styrker den operationelle karakter af de beskyttelsesregler, der er fastsat ved denne forordning, og kan virke afskrækkende på gentagelse af ulovlig adfærd (dom af 25.1.2024, MediaMarktSaturn,C-687/21, EU:C:2024:72, præmis 47 og den deri nævnte retspraksis).

60

Domstolen har i øvrigt af den omstændighed, at den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, ikke har en afskrækkende eller ligefrem straffende funktion, udledt, at grovheden af den overtrædelse af forordningen, der har forvoldt den hævdede materielle eller immaterielle skade, ikke kan påvirke størrelsen af den erstatning, der tildeles i henhold til denne bestemmelse. Det følger heraf, at erstatningsbeløbet ikke kan fastsættes på et niveau, der overstiger fuld erstatning for denne skade (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein,C-667/21, EU:C:2023:1022, præmis 86).

61

Under henvisning til sjette punktum i 146. betragtning til databeskyttelsesforordningen, hvori det er anført, at dette instrument har til formål at sikre de registrerede »fuld erstatning for den skade, som de har lidt«, har Domstolen fremhævet, at henset til den kompenserende funktion af den ret til erstatning, som er fastsat i forordningens artikel 82, skal en økonomisk erstatning på grundlag af denne bestemmelse anses for at være »fuld«, hvis den fuldstændigt kompenserer den skade, der konkret er lidt på grund af overtrædelsen af denne forordning, uden at det med henblik på en sådan ydelse af fuldstændig kompensation er nødvendigt at pålægge betaling af erstatning med karakter af straf (dom af 21.12.2023, Krankenversicherung Nordrhein,C-667/21, EU:C:2023:1022, præmis 84 og den deri nævnte retspraksis).

62

Henset til de forskelle i ordlyd og formål, der er mellem databeskyttelsesforordningens artikel 82 læst i lyset af 146. betragtning til forordningen, og denne forordnings artikel 83 læst i lyset af 148. betragtning til forordningen, kan det således ikke lægges til grund, at de vurderingskriterier, der er specifikt fastsat i denne artikel 83, finder analog anvendelse inden for rammerne af denne artikel 82, uagtet at de retsmidler, der er fastsat i disse to bestemmelser, rent faktisk supplerer hinanden med henblik på at sikre overholdelsen af databeskyttelsesforordningen.

63

Hvad for det andet angår den måde, hvorpå de nationale retter skal opgøre størrelsen af en økonomisk erstatning i henhold til databeskyttelsesforordningens artikel 82 i tilfælde af flere overtrædelser af denne forordning, der berører den samme registrerede, skal det indledningsvis fremhæves, at det som anført i nærværende doms præmis 58 tilkommer hver enkelt medlemsstat at fastsætte de kriterier, der gør det muligt at fastsætte størrelsen af denne erstatning, forudsat at dette sker under overholdelse af de EU-retlige principper om ækvivalens og effektivitet.

64

Dernæst og henset til, at databeskyttelsesforordningens artikel 82 – som påpeget i nærværende doms præmis 60 og 61 – ikke har en straffende, men en kompenserende funktion, kan den omstændighed, at den dataansvarlige har begået flere overtrædelser over for en og samme registrerede, ikke udgøre et relevant kriterium med henblik på opgørelsen af den erstatning, der skal tilkendes denne person i medfør af denne artikel 82. Ved fastsættelsen af størrelsen af den økonomiske erstatning, der skal betales som kompensation, skal der nemlig alene tages hensyn til den skade, som den registrerede konkret har lidt.

65

Følgelig skal det tredje og det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, ikke skal foretages en analog anvendelse af kriterierne for udmåling af de administrative bøder i denne forordnings artikel 83 og ikke skal tages hensyn til den omstændighed, at flere overtrædelser af databeskyttelsesforordningen, som vedrører en og samme behandlingsaktivitet, berører den person, der kræver erstatning.

66

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret: