Voorlopige editie

ARREST VAN HET HOF (Derde kamer)

25 januari 2024 (*)

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Uitlegging van de artikelen 5, 24, 32 en 82 – Beoordeling van de geldigheid van artikel 82 – Niet-ontvankelijkheid van het verzoek tot beoordeling van de geldigheid – Recht op vergoeding van schade veroorzaakt door de verwerking van persoonsgegevens in strijd met deze verordening – Doorgeven van gegevens aan een niet-bevoegde derde ten gevolge van een door werknemers van de verwerkingsverantwoordelijke begane vergissing – Beoordeling of de door de verwerkingsverantwoordelijke getroffen beschermingsmaatregelen passend zijn – Compensatoire functie van het recht op schadevergoeding – Impact van de ernst van de inbreuk – Noodzaak om aan te tonen dat de genoemde inbreuk schade heeft veroorzaakt – Begrip ,immateriële schade’”

In zaak C‑687/21,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Amtsgericht Hagen (rechter in eerste aanleg Hagen, Duitsland) bij beslissing van 11 oktober 2021, ingekomen bij het Hof op 16 november 2021, in de procedure

BL

tegen

MediaMarktSaturn Hagen-Iserlohn GmbH, voorheen Saturn Electro-Handelsgesellschaft mbH Hagen,

wijst

HET HOF (Derde kamer),

samengesteld als volgt: K. Jürimäe, kamerpresident, N. Piçarra, M. Safjan, N. Jääskinen (rapporteur) en M. Gavalec, rechters,

advocaat-generaal: M. Campos Sánchez-Bordona,

griffier: A. Calot Escobar,

gezien de stukken,

gelet op de opmerkingen van:

–        BL, vertegenwoordigd door D. Pudelko, Rechtsanwalt,

–        MediaMarktSaturn Hagen-Iserlohn GmbH, voorheen Saturn Electro-Handelsgesellschaft mbH Hagen, vertegenwoordigd door B. Hackl, Rechtsanwalt,

–        Ierland, vertegenwoordigd door M. Browne, Chief State Solicitor, A. Joyce en M. Lane als gemachtigden, bijgestaan door D. Fennelly, BL,

–        het Europees Parlement, vertegenwoordigd door O. Hrstková Šolcová en J.‑C. Puffer als gemachtigden,

–        de Europese Commissie, vertegenwoordigd door A. Bouchagiar, M. Heller en H. Kranenborg als gemachtigden,

gelet op de beslissing, de advocaat-generaal gehoord, om de zaak zonder conclusie te berechten,

het navolgende

Arrest

1        Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 2, lid 1, artikel 4, punt 7, artikel 5, lid 1, onder f), artikel 6, lid 1, artikel 24, artikel 32, lid 1, onder b), en lid 2, alsmede artikel 82 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1; hierna: „AVG”), en de beoordeling van de geldigheid van dat artikel 82.

2        Dit verzoek is ingediend in het kader van een geding tussen BL, een natuurlijke persoon, en MediaMarktSaturn Hagen-Iserlohn GmbH, voorheen Saturn Electro-Handelsgesellschaft mbH Hagen (hierna: „Saturn”), over de vergoeding van de immateriële schade die BL stelt te hebben geleden omdat werknemers van die onderneming per vergissing enkele van zijn persoonsgegevens aan een derde hebben doorgezonden.

 Toepasselijke bepalingen

3        De overwegingen 11, 74, 76, 83, 85 en 146 AVG luiden als volgt:

„(11)      Doeltreffende bescherming van persoonsgegevens in de gehele [Europese] Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, [...]

[...]

(74)      De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en doeltreffende maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

[...]

(76)      De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico.

[...]

(83)      Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden.

[...]

(85)      Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. [...]

[...]

(146)      De verwerkingsverantwoordelijke of de verwerker [moet] alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Het begrip ‚schade’ moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere regels in het Unierecht of het lidstatelijke recht onverlet. Onder verwerking die inbreuk maakt op deze verordening, valt eveneens een verwerking die inbreuk maakt op gedelegeerde handelingen en uitvoeringshandelingen die werden vastgesteld overeenkomstig deze verordening, alsmede het lidstatelijke recht waarin in deze verordening vervatte regels worden gespecificeerd. De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen. [...]”

4        Hoofdstuk I („Algemene bepalingen”) van die verordening bevat een artikel 2, met als opschrift „Materieel toepassingsgebied”, dat in lid 1 het volgende bepaalt:

„Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

5        Artikel 4 („Definities”) van die verordening luidt als volgt:

„Voor de toepassing van deze verordening wordt verstaan onder:

1)      ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); [...]

[...]

7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; [...]

[...]

10)      ‚derde’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

[...]

12)      ‚inbreuk in verband met persoonsgegevens’: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

[...]”

6        Hoofdstuk II AVG („Beginselen”) bevat de artikelen 5 tot en met 11 ervan.

7        Artikel 5 („Beginselen inzake verwerking van persoonsgegevens”) van deze verordening bepaalt het volgende:

„1.      Persoonsgegevens moeten:

[...]

f)      door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).

2.      De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

8        De AVG bepaalt in artikel 6 („Rechtmatigheid van de verwerking”), lid 1, onder welke voorwaarden de verwerking rechtmatig is.

9        Hoofdstuk IV AVG, getiteld „Verwerkingsverantwoordelijke en verwerker”, bevat de artikelen 24 tot en met 43.

10      Dit hoofdstuk IV bevat een afdeling 1, met als opschrift „Algemene verplichtingen”, waarvan artikel 24 („Verantwoordelijkheid van de verwerkingsverantwoordelijke”), leden 1 en 2, bepaalt:

„1.      Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

2.      Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

11      Datzelfde hoofdstuk bevat een afdeling 2, met als opschrift „Persoonsgegevensbeveiliging”, waarvan artikel 32 AVG („Beveiliging van de verwerking”), leden 1 en 2, geformuleerd is als volgt:

1.      Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

[...]

b)      het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

[...]

2.      Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.”

12      Hoofdstuk VIII AVG („Beroep, aansprakelijkheid en sancties”) bevat de artikelen 77 tot en met 84 ervan.

13      Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) van die verordening luidt als volgt:

„1.      Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

2.      Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. [...]

3.      Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

[...]”

14      Artikel 83 AVG heeft als opschrift „Algemene voorwaarden voor het opleggen van administratieve geldboeten” en bepaalt:

„1.      Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.

2.      [...] Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

a)      de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

b)      de opzettelijke of nalatige aard van de inbreuk;

[...]

d)      de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;

[...]

k)      elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

3.      Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.

[...]”

15      Artikel 84 AVG, getiteld „Sancties”, bepaalt in lid 1:

„De lidstaten stellen de regels inzake andere sancties vast die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83, en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. Die sancties zijn doeltreffend, evenredig en afschrikkend.”

 Hoofdgeding en prejudiciële vragen

16      Verzoeker in het hoofdgeding is naar de bedrijfsruimte van verweerster gegaan, waar hij een elektrisch huishoudelijk toestel heeft verworven. Hiervoor werd door een werknemer van deze onderneming een verkoop- en kredietovereenkomst opgesteld. Daarbij voerde die werknemer verschillende persoonsgegevens van die klant in het elektronisch gegevensverwerkingssysteem van Saturn in, met name zijn voor- en achternaam, adres, woonplaats, de naam van zijn werkgever, zijn inkomen en bankgegevens.

17      De documenten aangaande de overeenkomst waarin deze persoonsgegevens zijn opgenomen, werden geprint en door beide partijen ondertekend. Verzoeker in het hoofdgeding heeft deze documenten vervolgens bezorgd aan de werknemers van Saturn die in het afgifteloket werkzaam waren. Een andere klant, die ongemerkt was voorgedrongen, ontving vervolgens per vergissing zowel het door verzoeker bestelde toestel als de betrokken documenten en nam alles mee.

18      De vergissing kwam snel aan het licht en een werknemer van Saturn heeft het toestel en de documenten teruggekregen en heeft deze vervolgens, binnen het halfuur na de afgifte aan de andere klant, overhandigd aan verzoeker in het hoofdgeding. Saturn stelde verzoeker in het hoofdgeding voor om deze vergissing te compenseren door het toestel kosteloos bij hem aan huis te leveren, maar de betrokkene vond die compensatie onvoldoende.

19      Verzoeker in het hoofdgeding heeft bij het Amtsgericht Hagen (rechter in eerste aanleg Hagen, Duitsland), de verwijzende rechter in de onderhavige zaak, met name op grond van de AVG een vordering ingesteld ter vergoeding van de immateriële schade die hij stelt te hebben geleden ten gevolge van de door de werknemers van Saturn begane vergissing en de daaruit voortvloeiende risico’s voor het verlies van controle over zijn persoonsgegevens.

20      In haar verweer betoogt Saturn ten eerste dat de bepalingen van de AVG niet werden geschonden en dat dit slechts het geval kon zijn indien de inbreuk een bepaalde drempel van zwaarwegendheid overschreed, die in casu niet is bereikt. Ten tweede betoogt deze onderneming dat verzoeker in het hoofdgeding geen schade heeft geleden, aangezien niet is vastgesteld of zelfs maar aangevoerd dat de betrokken derde misbruik zou hebben gemaakt van de persoonsgegevens van betrokkene.

21      De verwijzende rechter vraagt zich in de eerste plaats af of artikel 82 AVG, dat volgens hem niet bepaalt wat de rechtsgevolgen ervan zijn in geval van vergoeding van immateriële schade, geldig is.

22      In de tweede plaats vraagt hij zich af, ingeval artikel 82 door het Hof niet ongeldig wordt verklaard, of voor de uitoefening van het recht op schadevergoeding waarin dat artikel voorziet niet alleen moet worden aangetoond dat de AVG is geschonden, maar ook dat de persoon die om schadevergoeding verzoekt – immateriële – schade heeft geleden.

23      In de derde plaats wenst de verwijzende rechter te vernemen of het enkele feit dat geprinte documenten met persoonsgegevens zonder toestemming aan een derde werden doorgegeven ten gevolge van een vergissing van werknemers van de verwerkingsverantwoordelijke, een schending van de AVG kan vormen.

24      In de vierde plaats wenst die rechter, hoewel hij van mening is dat „de [verwerende] onderneming haar onschuld moet bewijzen”, te vernemen of de vaststelling dat een dergelijke overhandiging van documenten door nalatigheid heeft plaatsgevonden, volstaat om te kunnen spreken van een schending van de AVG, meer bepaald wat betreft de op de verwerkingsverantwoordelijke rustende verplichting om passende maatregelen uit te voeren om de veiligheid van de verwerkte gegevens te waarborgen krachtens de artikelen 2, 5, 6 en 24 van die verordening.

25      In de vijfde plaats vraagt de verwijzende rechter zich af of „immateriële schade” in de zin van artikel 82 AVG kan worden vastgesteld op de enkele grond dat de persoon wiens gegevens aldus werden doorgegeven, bevreesd is voor het volgens die rechter niet uit te sluiten risico dat deze gegevens later door die derde aan andere personen zouden worden meegedeeld of zelfs zouden worden misbruikt.

26      In de zesde plaats vraagt diezelfde rechter zich – in het kader van een op dat artikel 82 gebaseerde vordering tot vergoeding van immateriële schade – af in welke mate rekening moet worden gehouden met de ernst van een inbreuk die in omstandigheden zoals die van het hoofdgeding is gepleegd, gelet op het feit dat de verwerkingsverantwoordelijke volgens hem meer doeltreffende beveiligingsmaatregelen had kunnen treffen.

27      Ten slotte, in de zevende plaats, wenst hij te vernemen wat het doel is van de krachtens de AVG te vergoeden immateriële schade, waarbij hij suggereert dat deze vergoeding het karakter zou kunnen krijgen van een sanctie, zoals een contractuele boete.

28      In die omstandigheden heeft het Amtsgericht Hagen de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Is de bepaling betreffende schadevergoeding in de [AVG] (te weten artikel 82 AVG) ongeldig omdat niet is bepaald wat de rechtsgevolgen zijn bij de vergoeding van immateriële schade?

2)      Moet voor een recht op schadevergoeding, behalve het [ongeoorloofd] bekendmaken van de te beschermen gegevens aan een onbevoegde derde, een door de verzoeker uiteen te zetten immateriële schade kunnen worden vastgesteld?

3)      Volstaat het voor een schending van de [AVG] dat de persoonsgegevens van de betrokkene (naam, adres, beroep, inkomen, werkgever) door een vergissing van werknemers van de betrokken onderneming abusievelijk aan een derde in geprinte vorm op een papieren document worden doorgegeven?

4)      Is er sprake van een onrechtmatige verdere verwerking door het onbedoeld doorgeven (verstrekken) aan een derde, wanneer de onderneming door toedoen van haar werknemers de gegevens, die overigens in het elektronisch gegevensverwerkingssysteem worden ingevoerd, abusievelijk in geprinte vorm heeft doorgegeven aan een onbevoegde derde [artikel 2, lid 1, artikel 5, lid 1, onder f), artikel 6, lid 1, en artikel 24 [AVG]]?

5)      Is er al sprake van immateriële schade in de zin van artikel 82 [AVG] wanneer de derde, die het document met de persoonsgegevens heeft ontvangen, van deze gegevens geen kennis heeft genomen voordat hij het papier met de inlichtingen heeft teruggegeven, of vormt het onbehagen van degene wiens persoonsgegevens onrechtmatig zijn doorgegeven reeds immateriële schade in de zin van dat artikel, omdat bij elke onrechtmatige verstrekking van persoonsgegevens de niet uit te sluiten mogelijkheid bestaat dat de gegevens toch onder een onbekend aantal personen verder verspreid zouden kunnen worden of zelfs zouden kunnen worden misbruikt?

6)      Hoe ernstig is de schending, wanneer het onbedoeld doorgeven aan de derde te vermijden valt door een betere controle van de bij de onderneming werkzame hulpkrachten en/of door een betere organisatie van de gegevensbeveiliging, bijvoorbeeld door de afgifte van goederen te scheiden van het beheer van de documenten betreffende de overeenkomst en met name betreffende de financiering, door middel van een afzonderlijk bewijs van afgifte of door het binnen de onderneming doorsturen van een mededeling aan de werknemers van het afgifteloket, en dus zonder tussenkomst van de klant, aan wie de geprinte documenten, met inbegrip van de goedkeuring tot afgifte, zijn overhandigd [artikel 32, lid 1, onder b), en lid 2, evenals artikel 4, punt 7, [AVG]]?

7)      Moet de vergoeding van immateriële schade worden beschouwd als de toekenning van een boete, zoals bij een contractuele boete?”

 Beantwoording van de prejudiciële vragen

 Eerste vraag

29      Met zijn eerste vraag wenst de verwijzende rechter te vernemen of artikel 82 AVG ongeldig is omdat het niet bepaalt wat de rechtsgevolgen zijn bij vergoeding van immateriële schade.

30      Het Europees Parlement betoogt dat deze vraag niet-ontvankelijk is omdat de verwijzende rechter niet aan de vereisten van artikel 94, onder c), van het Reglement voor de procesvoering van het Hof heeft voldaan, terwijl die rechter met deze vraag een bijzonder complexe problematiek aan de orde stelt, namelijk de beoordeling van de geldigheid van een Unierechtelijke bepaling.

31      Overeenkomstig artikel 94, onder c), van het Reglement voor de procesvoering moet de verwijzingsbeslissing, naast de tekst van de prejudiciële vragen die aan het Hof worden gesteld, met name een uiteenzetting bevatten van de redenen die de verwijzende rechter ertoe hebben gebracht om zich over de uitlegging of de geldigheid van bepalingen van het recht van de Unie vragen te stellen.

32      In dit opzicht is de motivering van de prejudiciële verwijzing van wezenlijk belang om niet alleen het Hof in staat te stellen bruikbare antwoorden te geven, maar ook om de regeringen van de lidstaten en de andere belanghebbende partijen toe te laten opmerkingen in te dienen overeenkomstig artikel 23 van het Statuut van het Hof van Justitie van de Europese Unie. Meer in het bijzonder dient het Hof de geldigheid van een Unierechtelijke bepaling te onderzoeken in het licht van de redenen van ongeldigheid die in de verwijzingsbeslissing zijn opgenomen, zodat het ontbreken van iedere vermelding van de precieze redenen waarom de verwijzende rechter twijfelt over de geldigheid van een Unierechtelijke bepaling, leidt tot de niet-ontvankelijkheid van de vragen inzake die geldigheid (zie in die zin arresten van 15 juni 2017, T.KUP, C‑349/16, EU:C:2017:469, punten 16‑18, en 22 juni 2023, Vitol, C‑268/22, EU:C:2023:508, punten 52‑55).

33      In casu geeft de verwijzende rechter echter geen enkel specifiek element aan op grond waarvan het Hof de geldigheid van artikel 82 AVG kan onderzoeken.

34      Bijgevolg moet de eerste prejudiciële vraag niet-ontvankelijk worden verklaard.

 Derde en vierde vraag

35      Met zijn derde en vierde vraag, die samen en in de eerste plaats moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of de artikelen 5, 24, 32 en 82 AVG, in hun onderlinge samenhang gelezen, aldus moeten worden uitgelegd dat het feit dat, in het kader van een vordering tot schadevergoeding op grond van dat artikel 82, werknemers van de verwerkingsverantwoordelijke abusievelijk aan een onbevoegde derde een document hebben afgegeven waarin persoonsgegevens zijn opgenomen, op zich volstaat om aan te nemen dat de door de betrokken verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet „passend” waren in de zin van de artikelen 24 en 32 AVG.

36      Artikel 24 AVG voorziet in een algemene verplichting voor de verantwoordelijke voor de verwerking van persoonsgegevens teneinde passende technische en organisatorische maatregelen te treffen om te waarborgen en te kunnen aantonen dat die verwerking in overeenstemming met deze verordening wordt uitgevoerd (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 24).

37      Artikel 32 AVG verduidelijkt de verplichtingen van de verwerkingsverantwoordelijke en een eventuele verwerker met betrekking tot de beveiliging van deze verwerking. Zo is in artikel 32, lid 1, AVG bepaald dat laatstgenoemden passende technische en organisatorische maatregelen moeten treffen om een beveiligingsniveau te waarborgen dat is afgestemd op de aan die verwerking verbonden risico’s, waarbij zij rekening moeten houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de doeleinden van de betrokken verwerking. Evenzo is in artikel 32, lid 2, AVG bepaald dat bij de beoordeling van het passende beveiligingsniveau met name rekening moet worden gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens, hetzij per ongeluk hetzij op onrechtmatige wijze (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punten 26 en 27).

38      Uit de bewoordingen van de artikelen 24 en 32 AVG blijkt dat het passend karakter van de door de verwerkingsverantwoordelijke getroffen maatregelen concreet moet worden beoordeeld, rekening houdend met de verschillende in die artikelen genoemde criteria en de behoeften van gegevensbescherming die specifiek inherent zijn aan de betrokken verwerking en de risico’s daarvan, temeer daar de verantwoordelijke moet kunnen aantonen dat die maatregelen in overeenstemming zijn met deze verordening. Deze mogelijkheid zou hem worden ontnomen indien een onweerlegbaar vermoeden zou worden aanvaard (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punten 30‑32).

39      Deze letterlijke uitlegging vindt steun in de gecombineerde lezing van de genoemde artikelen 24 en 32 met artikel 5, lid 2, en artikel 82 van die verordening, gelezen in het licht van de overwegingen 74, 76 en 83 ervan, waaruit meer bepaald voortvloeit dat de verwerkingsverantwoordelijke verplicht is de risico’s van een inbreuk in verband met persoonsgegevens te beperken, en niet om iedere inbreuk te voorkomen (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punten 33‑38).

40      Bijgevolg heeft het Hof de artikelen 24 en 32 AVG aldus uitgelegd dat een ongeoorloofde verstrekking van persoonsgegevens of ongeoorloofde toegang tot persoonsgegevens door „derden” in de zin van artikel 4, punt 10, van deze verordening, op zich niet volstaat om aan te nemen dat de door de betrokken verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet „passend” waren in de zin van die artikelen 24 en 32 (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 39).

41      In casu kan de omstandigheid dat werknemers van de verwerkingsverantwoordelijke die abusievelijk aan een onbevoegde derde een document hebben afgegeven waarin persoonsgegevens zijn opgenomen, erop wijzen dat de door de betrokken verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet „passend” waren in de zin van die artikelen 24 en 32. Een dergelijke omstandigheid kan met name het gevolg zijn van nalatigheid of een gebrek in de organisatie van de verwerkingsverantwoordelijke, die niet specifiek rekening houdt met de risico’s van de desbetreffende gegevensverwerking.

42      In dit verband is het belangrijk te benadrukken dat uit een gecombineerde lezing van de artikelen 5, 24 en 32 AVG, gelezen in het licht van overweging 74 ervan, volgt dat in het kader van een vordering tot schadevergoeding op grond van artikel 82 van die verordening, blijkt dat het aan de verwerkingsverantwoordelijke staat om te bewijzen dat de persoonsgegevens op een dusdanige manier worden verwerkt dat een passende beveiliging ervan in de zin van artikel 5, lid 1, onder f), en artikel 32 van deze verordening gewaarborgd is. Een dergelijke verdeling van de bewijslast moedigt de verantwoordelijken voor de verwerking van die gegevens niet alleen aan om de door de AVG vereiste beveiligingsmaatregelen te treffen, maar ook om de doeltreffendheid van het in artikel 82 van die verordening bedoelde recht op schadevergoeding te waarborgen en om de in overweging 11 ervan genoemde bedoelingen van de Uniewetgever na te leven (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punten 49‑56).

43      Derhalve heeft het Hof het beginsel van verantwoordelijkheid van de verwerkingsverantwoordelijke, dat is geformuleerd in artikel 5, lid 2, AVG en dat nader is uitgewerkt in artikel 24 ervan, aldus uitgelegd dat het in het kader van een vordering tot schadevergoeding op grond van artikel 82 van deze verordening aan de betrokken verwerkingsverantwoordelijke staat om aan te tonen dat de beveiligingsmaatregelen die hij op grond van artikel 32 van die verordening heeft getroffen, passend zijn (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 57).

44      Aldus dient een rechter die is aangezocht om uitspraak te doen in het kader van een op artikel 82 AVG gebaseerde vordering tot vergoeding van schade niet alleen rekening te houden met het feit dat werknemers van de verwerkingsverantwoordelijke abusievelijk aan een onbevoegde derde een document hebben afgegeven waarin persoonsgegevens zijn opgenomen, om te bepalen of een uit deze verordening voortvloeiende verplichting is geschonden. Die rechter dient namelijk ook rekening te houden met de bewijselementen die de verwerkingsverantwoordelijke heeft aangeleverd om aan te tonen dat de technische en organisatorische maatregelen die hij heeft getroffen om aan zijn verplichtingen krachtens de artikelen 24 en 32 van die verordening te voldoen, passend zijn.

45      Gelet op het voorgaande moet op de derde en vierde vraag worden geantwoord dat de artikelen 5, 24, 32 en 82 AVG, in hun onderlinge samenhang gelezen, aldus moeten worden uitgelegd dat het feit dat, in het kader van een vordering tot schadevergoeding op grond van dat artikel 82, werknemers van de verwerkingsverantwoordelijke abusievelijk aan een onbevoegde derde een document hebben afgegeven waarin persoonsgegevens zijn opgenomen, op zich niet volstaat om aan te nemen dat de door de betrokken verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet „passend” waren in de zin van die artikelen 24 en 32.

 Zevende vraag

46      Met zijn zevende vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82 AVG aldus moet worden uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet, met name in geval van immateriële schade, een punitieve functie heeft.

47      In dit verband heeft het Hof geoordeeld dat artikel 82 AVG geen punitieve maar een compensatoire functie heeft, in tegenstelling tot andere bepalingen van deze verordening die eveneens zijn opgenomen in hoofdstuk VIII ervan, namelijk in de artikelen 83 en 84 van die verordening, die in wezen een punitieve doelstelling hebben, aangezien zij de mogelijkheid bieden om respectievelijk administratieve geldboeten en andere sancties op te leggen. De verhouding tussen de regels van artikel 82 AVG en die van de artikelen 83 en 84 AVG toont aan dat er een verschil bestaat tussen deze twee categorieën bepalingen, maar dat zij elkaar ook aanvullen in de zin dat naleving van de AVG wordt gestimuleerd, met dien verstande dat het recht van eenieder om schadevergoeding te vorderen de werking van de beschermende bepalingen van deze verordening vergroot en inbreukplegers kan weerhouden van herhaling van onrechtmatig gedrag [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 38 en 40, en 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 85].

48      Het Hof heeft verduidelijkt dat, aangezien het in artikel 82, lid 1, AVG bedoelde recht op schadevergoeding geen afschrikkende of zelfs punitieve maar een compensatoire functie heeft, de ernst van de door de inbreuk op deze verordening veroorzaakte schade geen invloed kan hebben op het bedrag van de schadeloosstelling die op grond van die bepaling is toegekend, zelfs niet wanneer het niet om materiële maar om immateriële schade gaat, zodat dit bedrag niet kan worden vastgesteld op een niveau dat hoger ligt dan de vergoeding van die schade (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punten 86 en 87).

49      Uit het voorgaande volgt dat geen uitspraak behoeft te worden gedaan over het door de verwijzende rechter gelegde verband tussen het doel van het in dat artikel 82, lid 1, verankerde recht op schadevergoeding en de punitieve functie van een contractuele boete.

50      Bijgevolg dient op de zevende vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet, met name in geval van immateriële schade, een compensatoire functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet door de inbreuk op deze verordening geleden schade volledig te vergoeden, doch geen punitieve functie.

 Zesde vraag

51      Met zijn zesde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82 AVG aldus moet worden uitgelegd dat het vereist dat rekening wordt gehouden met de ernst van de door de verwerkingsverantwoordelijke gepleegde inbreuk bij de vergoeding van schade op grond van dat artikel.

52      In dit verband blijkt uit artikel 82 AVG dat, ten eerste, als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke met name geldt dat er bij hem sprake is van schuld, hetgeen wordt vermoed tenzij de verwerkingsverantwoordelijke bewijst dat het schadeveroorzakende feit hem niet kan worden toegerekend en, ten tweede, dat artikel niet vereist dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van het bedrag van de krachtens die bepaling toe te kennen vergoeding voor immateriële schade (arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 103).

53      Wat betreft de berekening van de schadevergoeding die eventueel verschuldigd is krachtens artikel 82 AVG, moeten de nationale rechters bij de berekening ervan, de interne regels van elke lidstaat inzake de omvang van de geldelijke vergoeding toepassen daar die verordening geen bepaling bevat die dergelijke regels vaststelt, zolang de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid worden nageleefd (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punten 83 en 101 en aldaar aangehaalde rechtspraak).

54      Bovendien merkt het Hof op dat, gelet op de compensatoire functie van het in artikel 82 AVG vervatte recht op schadevergoeding, het niet vereist is dat bij de vaststelling van het bedrag van de krachtens die bepaling toe te kennen vergoeding voor immateriële schade, rekening wordt gehouden met de ernst van de inbreuk op deze verordening – die wordt geacht door de verwerkingsverantwoordelijke te zijn begaan –, maar wel vereist dat dit bedrag zo wordt vastgesteld dat de door de inbreuk op die verordening concreet geleden schade integraal wordt vergoed (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punten 84‑87 en 102 en aldaar aangehaalde rechtspraak).

55      Gelet op het voorgaande moet op de zesde vraag worden geantwoord dat artikel 82 AVG aldus moet worden uitgelegd dat het niet vereist dat rekening wordt gehouden met de ernst van de door de verwerkingsverantwoordelijke gepleegde inbreuk bij de vergoeding van schade op grond van dat artikel.

 Tweede vraag

56      Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat de persoon die krachtens die bepaling om schadevergoeding verzoekt, niet alleen moet aantonen dat er bepalingen van die verordening zijn geschonden, maar ook dat hij door die schending materiële of immateriële schade heeft geleden.

57      In dit verband zij eraan herinnerd dat overeenkomstig artikel 82, lid 1, AVG „[e]enieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, [...] het recht [heeft] om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade”.

58      Uit de formulering van deze bepaling blijkt met name dat de loutere schending van de AVG niet volstaat voor de toekenning van een recht op schadevergoeding. Het bestaan van „geleden schade” is een van de voorwaarden voor het in dat artikel 82, lid 1, bedoelde recht op vergoeding, net zoals het bestaan van een inbreuk op deze verordening en een causaal verband tussen die schade en die inbreuk, waarbij deze drie voorwaarden cumulatief vervuld moeten zijn [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 32 en 42; 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 77; 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 14, en 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 82].

59      Wat meer bepaald de immateriële schade betreft, heeft het Hof voorts geoordeeld dat artikel 82, lid 1, AVG zich verzet tegen een nationale regel of praktijk op grond waarvan immateriële schade in de zin van die bepaling slechts kan worden vergoed indien de schade die de in artikel 4, punt 1, van die verordening bedoelde betrokkene heeft geleden, een bepaalde mate van ernst bereikt [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 51; 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 78, en 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 16].

60      Het Hof heeft benadrukt dat een persoon die wordt getroffen door een inbreuk op de AVG die voor hem negatieve gevolgen heeft gehad, evenwel moet aantonen dat die gevolgen immateriële schade in de zin van artikel 82 van deze verordening opleveren, aangezien een inbreuk op de bepalingen ervan op zich niet volstaat voor de toekenning van een recht op schadevergoeding [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 42 en 50; 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 84, en 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punten 21 en 23].

61      Gelet op het voorgaande moet op de tweede vraag worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat de persoon die krachtens die bepaling om schadevergoeding verzoekt, niet alleen moet aantonen dat er bepalingen van die verordening zijn geschonden, maar ook dat hij door die schending materiële of immateriële schade heeft geleden.

 Vijfde vraag

62      Met zijn vijfde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat, wanneer een document waarin persoonsgegevens zijn opgenomen, is afgegeven aan een onbevoegde derde en vaststaat dat deze daarvan geen kennis heeft genomen, het enkele feit dat de betrokkene vreest dat zijn gegevens in de toekomst verspreid of zelfs misbruikt zullen worden doordat deze mededeling het mogelijk heeft gemaakt om een afschrift van dat document te maken alvorens het werd teruggegeven, „immateriële schade” in de zin van dat artikel kan opleveren.

63      Er zij opgemerkt dat die rechter erop wijst dat in het onderhavige geval het document waarin de betrokken gegevens waren opgenomen, aan verzoeker in het hoofdgeding is overhandigd binnen het halfuur na de afgifte ervan aan een niet bevoegde derde en dat laatstgenoemde van deze gegevens geen kennis heeft genomen voordat hij het document teruggaf, maar verzoeker betoogt dat deze afgifte de derde wel de mogelijkheid heeft geboden om afschriften van het document te maken voordat hij het teruggaf en dat daardoor bij hem de vrees is ontstaan dat dit een risico inhield dat de gegevens in de toekomst zouden worden misbruikt.

64      Aangezien artikel 82, lid 1, AVG niet verwijst naar het nationale recht van de lidstaten, moet het begrip „immateriële schade” in de zin van deze bepaling autonoom en uniform worden gedefinieerd binnen het Unierecht [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 30 en 44, en 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 15].

65      Volgens het Hof blijkt niet alleen uit de bewoordingen van artikel 82, lid 1, AVG, gelezen in het licht van de overwegingen 85 en 146 van die verordening, die om een ruime opvatting van het begrip „immateriële schade” in de zin van die eerste bepaling vragen, maar ook uit de doelstelling om natuurlijke personen een hoog beschermingsniveau te bieden op het vlak van de door die verordening bedoelde verwerking van hun persoonsgegevens, dat de vrees die een betrokkene na een inbreuk op diezelfde verordening koestert voor mogelijk misbruik van zijn persoonsgegevens door derden, op zich „immateriële schade” in de zin van dat artikel 82, lid 1, kan vormen (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punten 79‑86).

66      Voorts heeft het Hof op basis van zowel letterlijke als systemische en teleologische overwegingen geoordeeld dat het verlies van controle over de persoonsgegevens gedurende een korte tijdspanne voor de betrokkene „immateriële schade” in de zin van artikel 82, lid 1, AVG kan veroorzaken waarvoor een recht op schadevergoeding bestaat, op voorwaarde dat de betrokkene bewijst dat hij daadwerkelijk dergelijke schade heeft geleden, hoe miniem ook, waarbij eraan wordt herinnerd dat een inbreuk op de bepalingen van deze verordening op zich niet volstaat voor de toekenning van een recht op schadevergoeding (zie in die zin arrest van 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punten 18‑23).

67      Op dezelfde wijze zij er in het onderhavige geval op gewezen dat het zowel met de bewoordingen van artikel 82, lid 1, AVG als met de door deze verordening nagestreefde doelstelling – namelijk de bescherming van persoonsgegevens – overeenstemt dat het begrip „immateriële schade” een situatie omvat waarin de betrokkene een gegronde vrees heeft – hetgeen de aangezochte nationale rechter zal moeten nagaan – dat enkele van zijn persoonsgegevens in de toekomst door derden verspreid of misbruikt zullen worden doordat een document waarin die gegevens zijn opgenomen, aan een onbevoegde derde is afgegeven die de gelegenheid had om daar afschriften van te maken alvorens het werd teruggegeven.

68      Feit blijft echter dat de eisende partij die een op artikel 82 AVG gesteunde vordering tot vergoeding van schade instelt, het bestaan van dergelijke schade dient aan te tonen. In het bijzonder kan een zuiver hypothetisch risico dat een onbevoegde derde misbruik maakt van persoonsgegevens geen aanleiding geven tot schadevergoeding. Dit is het geval wanneer geen enkele derde kennis heeft genomen van de desbetreffende persoonsgegevens.

69      Derhalve moet op de vijfde vraag worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat, wanneer een document waarin persoonsgegevens zijn opgenomen, is afgegeven aan een onbevoegde derde en vaststaat dat deze daarvan geen kennis heeft genomen, het enkele feit dat de betrokkene vreest dat zijn gegevens in de toekomst verspreid of zelfs misbruikt zullen worden doordat deze mededeling het mogelijk heeft gemaakt om een afschrift van dat document te maken alvorens het werd teruggegeven, geen „immateriële schade” in de zin van dat artikel oplevert.

 Kosten

70      Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Derde kamer) verklaart voor recht:

1)      De artikelen 5, 24, 32 en 82 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), in hun onderlinge samenhang gelezen,

moeten aldus worden uitgelegd dat

het feit dat, in het kader van een vordering tot schadevergoeding op grond van dat artikel 82, werknemers van de verwerkingsverantwoordelijke abusievelijk aan een onbevoegde derde een document hebben afgegeven waarin persoonsgegevens zijn opgenomen, op zich niet volstaat om aan te nemen dat de door de betrokken verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet „passend” waren in de zin van die artikelen 24 en 32.

2)      Artikel 82, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat

het recht op schadevergoeding waarin deze bepaling voorziet, met name in geval van immateriële schade, een compensatoire functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet door de inbreuk op deze verordening geleden schade volledig te vergoeden, doch geen punitieve functie.

3)      Artikel 82 van verordening 2016/679

moet aldus worden uitgelegd dat

dit artikel niet vereist dat rekening wordt gehouden met de ernst van de door de verwerkingsverantwoordelijke gepleegde inbreuk bij de vergoeding van schade op grond van dat artikel.

4)      Artikel 82, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat

de persoon die krachtens die bepaling om schadevergoeding verzoekt, niet alleen moet aantonen dat er bepalingen van die verordening zijn geschonden, maar ook dat hij door die schending materiële of immateriële schade heeft geleden.

5)      Artikel 82, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat,

wanneer een document waarin persoonsgegevens zijn opgenomen, is afgegeven aan een onbevoegde derde en vaststaat dat deze daarvan geen kennis heeft genomen, het enkele feit dat de betrokkene vreest dat zijn gegevens in de toekomst verspreid of zelfs misbruikt zullen worden doordat deze mededeling het mogelijk heeft gemaakt om een afschrift van dat document te maken alvorens het werd teruggegeven, geen „immateriële schade” in de zin van dat artikel oplevert.

ondertekeningen

*      Procestaal: Duits.