–

BL ved Rechtsanwalt D. Pudelko,

–

MediaMarktSaturn Hagen-Iserlohn GmbH, tidligere Saturn Electro-Handelsgesellschaft mbH Hagen, ved Rechtsanwalt B. Hackl,

–

Irland ved Chief State Solicitor M. Browne og A. Joyce samt M. Lane, som befuldmægtigede, bistået af D. Fennelly, BL,

–

Europa-Parlamentet ved O. Hrstková Šolcová og J.-C. Puffer, som befuldmægtigede,

–

Europa-Kommissionen ved A. Bouchagiar, M. Heller og H. Kranenborg, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 2, stk. 1, artikel 4, nr. 7), artikel 5, stk. 1, litra f), artikel 6, stk. 1, artikel 24, artikel 32, stk. 1, litra b), artikel 32, stk. 2, og artikel 82 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«) og om vurderingen af gyldigheden af denne artikel 82.

2

Denne anmodning er blevet indgivet i forbindelse med en tvist mellem BL, en fysisk person, og MediaMarktSaturn Hagen-Iserlohn GmbH, tidligere Saturn Electro-Handelsgesellschaft mbH Hagen (herefter »Saturn«), vedrørende erstatning for den immaterielle skade, som den nævnte person hævder at have lidt som følge af videregivelsen til tredjemand af visse af dennes personoplysninger på grund af en fejl begået af dette selskabs medarbejdere.

3

11., 74., 76., 83., 85. og 146. betragtning til databeskyttelsesforordningen har følgende ordlyd:

[...]

[...]

[...]

[...]

[...]

4

I databeskyttelsesforordningens kapitel I om »[g]enerelle bestemmelser« fastsætter artikel 2, der for sin del har overskriften »Materielt anvendelsesområde«, følgende i stk. 1:

»Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.«

5

Denne forordnings artikel 4 med overskriften »Definitioner« bestemmer følgende:

»I denne forordning forstås ved:

[...]

[...]

[...]

[...]«

6

Databeskyttelsesforordningens kapitel II, der har overskriften »Principper«, indeholder forordningens artikel 5-11.

7

Forordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter følgende:

»1.   Personoplysninger skal:

[...]

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

8

Den nævnte forordnings artikel 6 med overskriften »Lovlig behandling« definerer i stk. 1 de betingelser, der skal være opfyldt for at en behandling er lovlig.

9

Databeskyttelsesforordningens kapitel IV med overskriften »Dataansvarlig og databehandler« indeholder artikel 24-43.

10

I dette kapitel IV’s afdeling 1 med overskriften »Generelle forpligtelser« fastsætter denne artikel 24, der for sin del har overskriften »Den dataansvarliges ansvar«, følgende i stk. 1 og 2:

»1.   Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2.   Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.«

11

I nævnte kapitel IV’s afdeling 2 med overskriften »Personoplysningssikkerhed« bestemmer databeskyttelsesforordningens artikel 32, der for sin del har overskriften »Behandlingssikkerhed«, følgende i stk. 1, litra b), og stk. 2:

»1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

[...]

[...]

2.   Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.«

12

Databeskyttelsesforordningens kapitel VIII med overskriften »Retsmidler, ansvar og sanktioner« omfatter forordningens artikel 77-84.

13

Denne forordnings artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« har følgende ordlyd:

»1.   Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2.   Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. [...]

3.   En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

[...]«

14

Databeskyttelsesforordningens artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« fastsætter følgende:

»1.   Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.

2.   [...] Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

[...]

[...]

3.   Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

[...]«

15

Denne forordnings artikel 84 med overskriften »Sanktioner« bestemmer følgende i stk. 1:

»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.«

16

Sagsøgeren i hovedsagen tog til Saturns forretning, hvor han erhvervede et elektrisk husholdningsapparat. Der blev med henblik herpå udarbejdet en købs- og kreditaftale af en af selskabets medarbejdere. Ved denne lejlighed lagrede denne medarbejder flere personoplysninger om denne kunde i Saturns edb-system, nemlig hans fornavn og efternavn, hans adresse, hans opholdssted, hans arbejdsgivers navn, hans indkomst og hans bankoplysninger.

17

De kontraktlige dokumenter, der indeholdt disse personoplysninger, blev printet ud og underskrevet af begge parter. Sagsøgeren i hovedsagen medbragte derefter dokumenterne til de medarbejdere hos Saturn, der arbejdede på vareudleveringsstedet. En anden kunde, som ubemærket havde mast sig frem foran sagsøgeren i hovedsagen, modtog derefter ved en fejl såvel det apparat, som sagsøgeren i hovedsagen havde bestilt, som de omhandlede dokumenter, og tog det hele med.

18

Da fejlen hurtigt blev opdaget, fik en af Saturns medarbejdere tilbageleveret apparatet og dokumenterne og returnerede dem derefter til sagsøgeren i hovedsagen inden for en halv time efter deres udlevering til den anden kunde. Virksomheden ønskede at yde sagsøgeren i hovedsagen erstatning for denne fejl ved vederlagsfrit at levere det pågældende apparat til hans bopæl, men den berørte fandt, at denne erstatning var utilstrækkelig.

19

Sagsøgeren i hovedsagen har anlagt sag ved Amtsgericht Hagen (byretten i Hagen, Tyskland), som er den forelæggende ret i den foreliggende sag, med påstand – bl.a. på grundlag af databeskyttelsesforordningens bestemmelser – om erstatning for den immaterielle skade, som han hævder at have lidt som følge af den fejl, som Saturns medarbejdere begik, og den deraf følgende risiko for tab af kontrol over hans personoplysninger.

20

Saturn har heroverfor for det første gjort gældende, at der ikke er sket en tilsidesættelse af databeskyttelsesforordningen, og at en sådan overtrædelse kun kan foreligge, hvis den overskrider en vis alvorstærskel, som ikke er nået i det foreliggende tilfælde. For det andet har dette selskab gjort gældende, at sagsøgeren i hovedsagen ikke har lidt nogen skade, eftersom det hverken er blevet konstateret eller gjort gældende, at den involverede tredjemand skulle have misbrugt den berørtes personoplysninger.

21

Den forelæggende ret er for det første i tvivl om gyldigheden af databeskyttelsesforordningens artikel 82, da denne artikel forekommer denne ret upræcis med hensyn til dens retsvirkninger i tilfælde af erstatning for en immateriel skade.

22

For det andet ønsker den forelæggende ret for det tilfælde, at Domstolen ikke erklærer denne artikel 82 ugyldig, oplyst, om udøvelsen af den ret til erstatning, der er fastsat i denne bestemmelse, forudsætter, at det godtgøres, at der ikke alene foreligger en tilsidesættelse af databeskyttelsesforordningen, men også en skade, navnlig en immateriel skade, som den person, der kræver erstatning, har lidt.

23

For det tredje ønsker den forelæggende ret afklaret, om den blotte omstændighed, at udprintede dokumenter, der indeholder personoplysninger, uden tilladelse er blevet videregivet til en tredjemand på grund af en fejl begået af den dataansvarliges medarbejdere, gør det muligt at fastslå, at der foreligger en tilsidesættelse af databeskyttelsesforordningen.

24

For det fjerde ønsker den forelæggende ret, idet den er af den opfattelse, at »det påhviler [den sagsøgte virksomhed] at føre bevis for, at den ikke har gjort sig skyldig«, oplyst, om der allerede foreligger en overtrædelse af databeskyttelsesforordningen – navnlig henset til den forpligtelse, som påhviler den dataansvarlige, til at gennemføre passende foranstaltninger for at sikre de behandlede oplysningers sikkerhed i henhold til denne forordnings artikel 2, 5, 6 og 24 – når det fastslås, at der er sket en sådan uagtsom udlevering af dokumenter.

25

For det femte er den forelæggende ret i tvivl om, hvorvidt det kan fastslås, at der foreligger en »immateriel skade« som omhandlet i databeskyttelsesforordningens artikel 82, selv når det synes, at den uautoriserede tredjemand ikke har fået kendskab til de omhandlede personoplysninger, inden de dokumenter, hvoraf disse fremgik, blev tilbageleveret, alene af den grund, at den person, hvis oplysninger er blevet videregivet således, føler en frygt for den risiko, som ifølge denne ret ikke kan udelukkes, for, at denne tredjemand videregiver oplysningerne til andre personer, eller at oplysningerne i fremtiden misbruges.

26

For det sjette er den nævnte ret i tvivl om den eventuelle betydning – i forbindelse med et søgsmål om erstatning for immateriel skade på grundlag af denne artikel 82 – af graden af grovhed, som en overtrædelse, der er begået under omstændigheder som de i hovedsagen omhandlede, udgør, henset til, at den dataansvarlige efter dennes opfattelse kunne have truffet mere effektive sikkerhedsforanstaltninger.

27

Endelig ønsker den forelæggende ret for det syvende at få kendskab til, hvilket formål der forfølges med erstatningen for en immateriel skade i henhold til databeskyttelsesforordningen, og om det kan lægges til grund, at sidstnævnte kan have karakter af en sanktion, der svarer til en konventionalbod.

28

På denne baggrund har Amtsgericht Hamburg (byretten i Hagen) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

29

Med det første spørgsmål ønsker den forelæggende ret oplyst, om databeskyttelsesforordningens artikel 82 er ugyldig, idet den ikke er tilstrækkelig bestemt for så vidt angår retsfølgerne ved immateriel skade.

30

Europa-Parlamentet har gjort gældende, at dette spørgsmål ikke kan antages til realitetsbehandling, idet den forelæggende ret – der har rejst en særlig kompleks problematik, nemlig vurderingen af gyldigheden af en EU-retlig bestemmelse – ikke har opfyldt kravene i artikel 94, litra c), i Domstolens procesreglement.

31

I henhold til procesreglementets artikel 94, litra c), skal anmodningen om præjudiciel afgørelse, ud over de spørgsmål, som forelægges Domstolen til præjudiciel afgørelse, bl.a. indeholde en fremstilling af grundene til, at den forelæggende ret finder, at der er tvivl om fortolkningen eller gyldigheden af visse EU-retlige bestemmelser.

32

I denne henseende er fremstillingen af begrundelsen for den præjudicielle forelæggelse nødvendig for at sætte ikke blot Domstolen i stand til at give brugbare svar, men også for at sætte medlemsstaternes regeringer samt andre berørte parter i stand til at indgive indlæg i henhold til artikel 23 i statutten for Den Europæiske Unions Domstol. Det er nærmere bestemt i lyset af de ugyldighedsgrunde, der er anført i forelæggelsesafgørelsen, at Domstolen skal undersøge gyldigheden af en EU-retlig bestemmelse, således at manglen på enhver angivelse af de præcise grunde, der har ført den forelæggende ret til at rejse spørgsmålet herom, medfører, at spørgsmålene om den nævnte gyldighed må afvises (jf. i denne retning dom af 15.6.2017, T.KUP, C-349/16, EU:C:2017:469, præmis 16-18, og af 22.6.2023, Vitol, C-268/22, EU:C:2023:508, præmis 52-55).

33

I den foreliggende sag har den forelæggende ret ikke fremlagt nogen præcise oplysninger, der gør det muligt for Domstolen at undersøge gyldigheden af databeskyttelsesforordningens artikel 82.

34

Det første spørgsmål skal derfor afvises.

35

Med det tredje og det fjerde spørgsmål, som skal behandles samlet og først, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 5, 24, 32 og 82, sammenholdt med hinanden, skal fortolkes således, at den omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand – i forbindelse med et erstatningssøgsmål på grundlag af denne artikel 82 – i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den pågældende dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32.

36

Databeskyttelsesforordningens artikel 24 fastsætter en generel forpligtelse for den dataansvarlige til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen af personoplysninger er i overensstemmelse med denne forordning (dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 24).

37

Databeskyttelsesforordningens artikel 32 præciserer for sit vedkommende den dataansvarliges og en eventuel databehandlers forpligtelser med hensyn til sikkerheden omkring denne behandling. Denne artikels stk. 1 bestemmer således, at den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er knyttet til den nævnte behandling, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål. Det fremgår ligeledes af den nævnte artikels stk. 2, at der ved vurderingen af, hvilket sikkerhedsniveau der er passende, navnlig skal tages hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 26 og 27).

38

Det fremgår således af ordlyden af databeskyttelsesforordningens artikel 24 og 32, at spørgsmålet om, hvorvidt de foranstaltninger, der er blevet gennemført af den dataansvarlige, er passende, skal vurderes konkret, under hensyntagen til de forskellige kriterier, der er der er omhandlet i disse artikler, og til de behov for databeskyttelse, der specifikt er forbundet med den pågældende behandling, samt til de risici, som denne behandling indebærer, og dette så meget desto mere som den nævnte dataansvarlige skal kunne påvise, at de nævnte foranstaltninger er i overensstemmelse med denne forordning, hvilken mulighed den dataansvarlige ville blive frataget, hvis en uafkræftelig formodning blev anerkendt (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 30-32).

39

Denne ordlydsfortolkning understøttes af en læsning af artikel 24 og 32, sammenholdt med artikel 5, stk. 2, og artikel 82 i den nævnte forordning, i lyset af 74., 76. og 83. betragtning dertil, hvoraf det navnlig følger, at den dataansvarlige er forpligtet til at begrænse risiciene for brud på persondatasikkerheden og ikke at forhindre enhver overtrædelse heraf (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 33-38).

40

Domstolen har følgelig fortolket databeskyttelsesforordningens artikel 24 og 32 således, at en uautoriseret videregivelse af, eller en uautoriseret adgang til, personoplysninger foretaget af »tredjemand« som omhandlet i denne forordnings artikel 4, nr. 10), ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den omhandlede dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32 (dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 39).

41

I det foreliggende tilfælde kan omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand, indikere, at de tekniske og organisatoriske foranstaltninger, som den pågældende dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32. En sådan omstændighed kan navnlig skyldes forsømmelighed eller fejl i den dataansvarliges organisation, som ikke tager konkret hensyn til de risici, der er forbundet med behandlingen af de omhandlede oplysninger.

42

I denne henseende skal det fremhæves, at det følger af databeskyttelsesforordningens artikel 5, 24 og 32, sammenholdt med 74. betragtning hertil, at i forbindelse med et erstatningssøgsmål på grundlag af denne forordnings artikel 82 påhviler bevisbyrden for, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for disse oplysninger som omhandlet i den nævnte forordnings artikel 5, stk. 1, litra f), og artikel 32, den pågældende dataansvarlige. En sådan fordeling af bevisbyrden kan ikke alene tilskynde de ansvarlige for behandlingen af disse data til at vedtage de sikkerhedsforanstaltninger, der kræves i henhold til databeskyttelsesforordningen, men også sikre den effektive virkning af den ret til erstatning, der er fastsat i denne forordnings artikel 82, og respektere EU-lovgivers hensigter, der er nævnt i 11. betragtning hertil (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 49-56).

43

Domstolen har derfor fortolket princippet om den dataansvarliges ansvar, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 2, og konkretiseret i denne forordnings artikel 24 således, at den dataansvarlige i forbindelse med et erstatningssøgsmål på grundlag af denne forordnings artikel 82 bærer bevisbyrden for, at de sikkerhedsforanstaltninger, som vedkommende har gennemført i henhold til den nævnte forordnings artikel 32, er passende (dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 57).

44

En ret, ved hvilken der er anlagt et sådant søgsmål om erstatning for skade på grundlag af databeskyttelsesforordningens artikel 82, kan således ikke udelukkende tage hensyn til den omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand, med henblik på at afgøre, om der foreligger en tilsidesættelse af en forpligtelse, der er fastsat i denne forordning. Denne ret skal nemlig ligeledes tage hensyn til alle de beviser, som den dataansvarlige har fremlagt for at godtgøre, at de tekniske og organisatoriske foranstaltninger, som denne har truffet for at opfylde sine forpligtelser i henhold til den nævnte forordnings artikel 24 og 32, er passende.

45

Henset til ovenstående betragtninger skal det tredje og det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 5, 24, 32 og 82, sammenholdt med hinanden, skal fortolkes således, at den omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand – i forbindelse med et erstatningssøgsmål på grundlag af denne artikel 82 – ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den pågældende dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32.

46

Med det syvende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82 skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, navnlig i tilfælde af immateriel skade, opfylder en straffende funktion.

47

I denne henseende har Domstolen udtalt, at databeskyttelsesforordningens artikel 82 ikke har en straffende, men en kompenserende funktion i modsætning til andre af forordningens bestemmelser, der ligeledes findes i dens kapitel VIII, nemlig artikel 83 og 84, som for deres vedkommende i det væsentlige har et strafformål, idet de giver mulighed for henholdsvis at pålægge administrative bøder og andre sanktioner. Forholdet mellem reglerne i artikel 82 og i artikel 83 og 84 viser, at disse to kategorier af bestemmelser er forskellige, men også komplementære med hensyn til tilskyndelse til at overholde databeskyttelsesforordningen, idet det bemærkes, at retten for enhver til at kræve erstatning for en skade styrker den operationelle karakter af de beskyttelsesregler, der er fastsat ved denne forordning, og kan virke afskrækkende på gentagelse af ulovlig adfærd (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 38 og 40, og af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 85).

48

Domstolen har præciseret, at eftersom den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, ikke har en sådan afskrækkende eller ligefrem straffende funktion, kan grovheden af den overtrædelse af forordningen, der har forvoldt den pågældende skade, ikke påvirke størrelsen af den erstatning, der tildeles i henhold til denne bestemmelse, heller ikke når der er tale om en skade, der ikke er materiel, men immateriel, således at erstatningsbeløbet ikke kan fastsættes på et niveau, der overstiger fuld erstatning for denne skade (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 86 og 87).

49

Det følger af det ovenstående, at det ikke er nødvendigt at tage stilling til den sammenhæng, som den forelæggende ret har henvist til, mellem formålet med retten til erstatning, der er fastsat i denne artikel 82, stk. 1, og den straffende funktion af en konventionalbod.

50

Følgelig skal det syvende spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, navnlig i tilfælde af immateriel skade, opfylder en kompenserende funktion, og ikke en straffende funktion, da en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der konkret er lidt på grund af overtrædelsen af denne forordning.

51

Med det sjette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82 skal fortolkes således, at denne artikel kræver, at der med henblik på erstatning for en skade på grundlag af denne bestemmelse tages hensyn til graden af grovhed af den dataansvarliges overtrædelse af denne forordning.

52

I denne henseende følger det af databeskyttelsesforordningens artikel 82 dels, at det bl.a. er en betingelse for, at den dataansvarlige kan ifalde ansvar, at denne har pådraget sig skyld, hvilket formodes at være tilfældet, medmindre den dataansvarlige beviser, at den pågældende ikke er skyld i den begivenhed, der medførte skaden, dels at denne artikel 82 ikke kræver, at der tages hensyn til graden af grovheden af denne skyld ved fastsættelsen af størrelsen af den erstatning, der tildeles for en immateriel skade på grundlag af denne bestemmelse (dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 103).

53

Hvad angår vurderingen af den erstatning, der eventuelt skal betales i henhold til databeskyttelsesforordningens artikel 82, skal de nationale retter, eftersom denne forordning ikke indeholder en bestemmelse, der har et sådant formål, med henblik på denne vurdering anvende den enkelte medlemsstats nationale regler vedrørende den økonomiske erstatnings omfang, for så vidt som dette sker under overholdelse af de EU-retlige principper om ækvivalens og effektivitet (jf. i den retning dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 83 og 101 og den deri nævnte retspraksis).

54

Domstolen har endvidere præciseret, at henset til den kompenserende funktion af retten til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, kræver denne bestemmelse ikke, at der tages hensyn til graden af grovhed af overtrædelsen af denne forordning, som den dataansvarlige formodes at have begået, ved fastsættelsen af størrelsen af den erstatning, der tilkendes som erstatning for en immateriel skade på grundlag af den nævnte bestemmelse, men kræver, at dette beløb fastsættes således, at det fuldstændigt kompenserer den skade, der konkret er lidt på grund af overtrædelsen af den nævnte forordning (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 84-87 og 102 og den deri nævnte retspraksis).

55

Henset til ovenstående betragtninger skal det sjette spørgsmål besvares med, at databeskyttelsesforordningens artikel 82 skal fortolkes således, at denne artikel ikke kræver, at der med henblik på erstatning for en skade på grundlag af denne bestemmelse tages hensyn til graden af grovhed af den dataansvarliges overtrædelse.

56

Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den person, der fremsætter et erstatningskrav i henhold til denne bestemmelse, er forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende materiel eller immateriel skade.

57

I denne henseende bemærkes, at databeskyttelsesforordningens artikel 82, stk. 1, fastsætter, at »[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren«.

58

Det fremgår af ordlyden af denne bestemmelse, at den blotte overtrædelse af databeskyttelsesforordningen ikke er tilstrækkelig til at give ret til erstatning. En af betingelserne for ret til erstatning som fastsat i denne artikel 82, stk. 1, er nemlig, at der foreligger »skade«, eller at der er »forvold[t] skade«, ligesom denne forordning skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative. (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 32 og 42, domme af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 77, og Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 14, og dom af 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, præmis 82).

59

Hvad særligt angår immateriel skade har Domstolen også udtalt, at databeskyttelsesforordningens artikel 82, stk. 1, er til hinder for en national regel eller praksis, hvorefter erstatning for en immateriel skade som omhandlet i denne bestemmelse er betinget af, at den skade, som den registrerede, som defineret i denne forordnings artikel 4, nr. 1), har lidt, har en vis grad af grovhed (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 51, og domme af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 78, og Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 16).

60

Domstolen har præciseret, at en registreret, der er berørt af en overtrædelse af databeskyttelsesforordningen, som har skabt skadevirkninger for den pågældende, imidlertid skal godtgøre, at disse virkninger udgør en immateriel skade som omhandlet i forordningens artikel 82, eftersom den blotte overtrædelse af denne forordnings bestemmelser ikke er tilstrækkelig til at give ret til erstatning (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 42 og 50, og domme af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 84, og Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 21 og 23).

61

Henset til ovenstående betragtninger skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den person, der fremsætter et erstatningskrav i henhold til denne bestemmelse, er forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende materiel eller immateriel skade.

62

Med det femte spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at i det tilfælde, hvor et dokument, der indeholder personoplysninger, er blevet udleveret til en uautoriseret tredjemand, som bevisligt ikke har fået kendskab til disse oplysninger, kan en »immateriel skade« som omhandlet i denne bestemmelse udgøres af den blotte omstændighed, at den registrerede frygter, at der efter denne videregivelse, som har gjort det muligt at lave en kopi af det nævnte dokument, inden det er blevet returneret, vil ske en udbredelse eller endog misbrug af den pågældendes oplysninger i fremtiden.

63

Det skal præciseres, at den forelæggende ret har anført, at det dokument, hvoraf de omhandlede oplysninger fremgik, i det foreliggende tilfælde blev tilbageleveret til sagsøgeren i hovedsagen inden for en halv time efter udleveringen til en uautoriseret tredjemand, og at denne ikke fik kendskab til disse oplysninger, før dokumentet blev returneret, men at den nævnte sagsøger har gjort gældende, at denne udlevering gav denne tredjemand mulighed for at tage kopier af dokumentet, inden det blev tilbageleveret, og at udleveringen således har givet ham anledning til en frygt for, at de nævnte oplysninger vil blive misbrugt i fremtiden.

64

Da der i databeskyttelsesforordningens artikel 82, stk. 1, ikke er nogen henvisning til medlemsstaternes nationale ret, skal begrebet »immateriel skade« i denne bestemmelses forstand undergives en selvstændig og ensartet fortolkning, der er særlig for EU-retten (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 30 og 44, og af 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 15).

65

Domstolen har fastslået, at det ikke alene fremgår af ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragtning til denne forordning, som opfordrer til at anlægge en bred fortolkning af begrebet »immateriel skade« som omhandlet i denne førstnævnte bestemmelse, men ligeledes af formålet, der består i at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger, som er omhandlet i den nævnte forordning, at den frygt, som en registreret nærer for, at dennes personoplysninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af denne forordning, i sig selv kan udgøre en »immateriel skade« som omhandlet i denne artikel 82, stk. 1 (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 79-86).

66

Domstolen har i øvrigt – ligeledes støttet på både ordlyds-, system- og formålsbetragtninger – fastslået, at tabet af kontrol med personoplysninger i et kort tidsrum kan påføre den registrerede en »immateriel skade« som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1, der giver ret til erstatning, forudsat at den nævnte registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være, idet Domstolen har udtalt, at den blotte tilsidesættelse af bestemmelserne i denne forordning ikke er tilstrækkelig til at give ret til erstatning på dette grundlag (jf. i denne retning dom af 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 18-23).

67

Desuden skal det i det foreliggende tilfælde bemærkes, at det både er i overensstemmelse med ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, og med det beskyttelsesformål, der forfølges med denne forordning, at begrebet »immateriel skade« omfatter en situation, hvor den registrerede har en velbegrundet frygt for, at visse af vedkommendes personoplysninger i fremtiden vil blive udbredt eller misbrugt af tredjemand – hvilket det tilkommer den nationale ret at efterprøve – som følge af den omstændighed, at et dokument, der indeholder de nævnte oplysninger, er blevet udleveret til en uautoriseret tredjemand, der var i stand til at tage kopier heraf, inden det blev tilbageleveret.

68

Det forholder sig imidlertid ikke desto mindre således, at det tilkommer sagsøgeren i et erstatningssøgsmål på grundlag af databeskyttelsesforordningens artikel 82 at godtgøre, at der foreligger en sådan skade. Navnlig kan en rent hypotetisk risiko for misbrug fra en uautoriseret tredjemands side ikke give anledning til erstatning. Dette er tilfældet, når ingen tredjemand har fået kendskab til de omhandlede personoplysninger.

69

Det femte spørgsmål skal derfor besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at i det tilfælde, hvor et dokument, der indeholder personoplysninger, er blevet udleveret til en uautoriseret tredjemand, som bevisligt ikke har fået kendskab til disse oplysninger, kan en »immateriel skade« som omhandlet i denne bestemmelse ikke udgøres af den blotte omstændighed, at den registrerede frygter, at der efter denne videregivelse, som har gjort det muligt at lave en kopi af det nævnte dokument, inden det er blevet returneret, vil ske en udbredelse eller endog misbrug af den pågældendes oplysninger i fremtiden.

70

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret: