Voorlopige editie

ARREST VAN HET HOF (Derde kamer)

20 juni 2024 (*)

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 82 – Recht op vergoeding van schade die is veroorzaakt door gegevensverwerking die inbreuk maakt op deze verordening – Begrip ,immateriële schade’ – Schadevergoeding met een punitief karakter of louter ter compensatie en genoegdoening – Geringe of symbolische schadevergoeding – Diefstal van persoonsgegevens die zijn opgeslagen op een handelsapplicatie – Identiteitsdiefstal of -fraude”

In de gevoegde zaken C‑182/22 en C‑189/22,

betreffende verzoeken om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Amtsgericht München (rechter in eerste aanleg München, Duitsland) bij beslissingen van 3 maart 2022, ingekomen bij het Hof op 10 en 11 maart 2022, in de procedures

JU (C‑182/22),

SO (C‑189/22)

tegen

Scalable Capital GmbH,

wijst

HET HOF (Derde kamer),

samengesteld als volgt: K. Jürimäe, kamerpresident, N. Piçarra, N. Jääskinen (rapporteur), rechters,

advocaat-generaal: A. M. Collins,

griffier: A. Calot Escobar,

gezien de stukken,

gelet op de opmerkingen van:

–        SO, vertegenwoordigd door M. Ruigrok van de Werve, Rechtsanwalt,

–        Scalable Capital GmbH, vertegenwoordigd door M. C. Mekat, Rechtsanwalt,

–        Ierland, vertegenwoordigd door M. Browne, Chief State Solicitor, A. Joyce en M. Tierney als gemachtigden, bijgestaan door D. Fennelly, BL,

–        de Europese Commissie, vertegenwoordigd door A. Bouchagiar, M. Heller en H. Kranenborg als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 26 oktober 2023,

het navolgende

Arrest

1        De verzoeken om een prejudiciële beslissing betreffen de uitlegging van artikel 82 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”).

2        Deze verzoeken zijn ingediend in het kader van twee gedingen tussen respectievelijk JU en SO, enerzijds, en Scalable Capital GmbH, anderzijds, over de vergoeding van de immateriële schade die zij stellen te hebben geleden als gevolg van de diefstal, door derden van wie de identiteit niet gekend is, van hun persoonsgegevens die waren opgeslagen op een door deze onderneming beheerde handelsapplicatie (hierna ook: „handelsapp”).

 Toepasselijke bepalingen

3        In de overwegingen 75, 85 en 146 AVG staat het volgende te lezen:

„(75)      Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

[...]

(85)      Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. [...]

[...]

(146)      [...] De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Het begrip ‚schade’ moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. [...] De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen. [...]”

4        Artikel 4 („Definities”) van deze verordening bepaalt:

„Voor de toepassing van deze verordening wordt verstaan onder:

1)      ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); [...]

[...]

7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; [...]

[...]

10)      ‚derde’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

[...]

12)      ‚inbreuk in verband met persoonsgegevens’: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

[...]”

5        Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) van deze verordening bepaalt in de leden 1 tot en met 3 het volgende:

„1.      Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

2.      Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.

3.      Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.”

 Hoofdgedingen en prejudiciële vragen

6        Scalable Capital, een vennootschap naar Duits recht, beheert een trading app (handelsapp) waarop verzoekers in de hoofdgedingen, JU en SO, een rekening hadden geopend. Daartoe hadden deze laatsten in hun respectieve accounts bepaalde persoonsgegevens opgeslagen, namelijk hun naam, geboortedatum, postadres, e-mailadres en een digitale kopie van hun identiteitskaart. Verzoekers in de hoofdgedingen hadden een voor de opening van die rekeningen vereist bedrag van meerdere duizenden euro’s gestort.

7        In 2020 hebben derden van wie de identiteit nog steeds onbekend is zich wederrechtelijk persoonsgegevens van verzoekers in de hoofdgedingen en gegevens inzake hun effectenrekening toegeëigend. Volgens Scalable Capital is tot nu toe nog geen frauduleus gebruik gemaakt van die persoonsgegevens.

8        In die omstandigheden hebben verzoekers in de hoofdgedingen bij het Amtsgericht München (rechter in eerste aanleg München, Duitsland), de verwijzende rechter, beroep ingesteld tot vergoeding van de immateriële schade die zij stellen te hebben geleden als gevolg van de diefstal van hun persoonsgegevens.

9        In de eerste plaats heeft de verwijzende rechter vragen die voortvloeien uit de uiteenlopende wijzen waarop de Duitse rechterlijke instanties de in dat soort situaties toe te kennen schadevergoeding vaststellen. Daardoor worden er in gevallen die nochtans vergelijkbaar zijn met de situatie in de hoofdgedingen zeer uiteenlopende bedragen als geldelijke vergoeding toegekend, met name naargelang er al dan niet rekening wordt gehouden met een eventueel afschrikkend effect. De verwijzende rechter geeft aan dat er in het onderhavige geval tienduizenden personen door het betrokken gegevensverlies getroffen zijn en dat er dus een uniforme methode voor vaststelling van de schade zou moeten worden gehanteerd.

10      In de tweede plaats maakt de verwijzende rechter ter zake van de vaststelling van de immateriële schade op basis van het Duitse recht een onderscheid tussen een „compenserende functie” en een „genoegdoeningsfunctie”. Waar de compenserende functie ertoe strekt de bestaande en te verwachten gevolgen van de gestelde schade te compenseren, strekt de genoegdoeningsfunctie ertoe het gevoel van onrechtvaardigheid dat als gevolg van die schade werd ervaren, weg te nemen. De verwijzende rechter geeft aan dat deze genoegdoeningsfunctie in het Duitse recht slechts een ondergeschikte rol heeft, en hij is van oordeel dat deze functie in het onderhavige geval geen invloed mag hebben op de berekening van de door verzoekers gevorderde schadevergoeding.

11      In de derde plaats bestaat er volgens de verwijzende rechter in het Duitse recht geen tabel waarmee schadevergoeding kan worden vastgesteld die naargelang van de situatie waarin deze wordt gevorderd, moet worden toegekend. Wel kan aan de hand van het grote aantal beslissingen in individuele gevallen een referentiekader worden vastgesteld, wat leidt tot een vorm van systematisering van de vergoedingen. Wat dit betreft wordt er naar Duits recht voor inbreuken op persoonlijkheidsrechten slechts een geldelijke vergoeding toegekend wanneer het gaat om zeer ernstige inbreuken. Het schadebedrag kan objectiever worden vastgesteld wanneer het gaat om de vergoeding van lichamelijk letsel. De verwijzende rechter is dan ook van oordeel dat gegevensverlies minder zwaar moet wegen dan fysiek letsel.

12      In de vierde plaats vraagt deze rechter zich af of het mogelijk is om, wanneer de schade als gevolg van een inbreuk op de AVG miniem is, geringe schadevergoedingen toe te kennen die als symbolisch zouden kunnen worden ervaren.

13      In de vijfde plaats stelt hij vast dat de partijen in de hoofdgedingen het begrip „identiteitsdiefstal” verschillend uitleggen. Dienaangaande is hij van oordeel dat er slechts sprake is van identiteitsdiefstal wanneer de onrechtmatig verkregen gegevens zijn gebruikt om de identiteit van de betrokken persoon aan te nemen.

14      In die omstandigheden heeft het Amtsgericht München de behandeling van de zaken C‑182/22 en C‑189/22 geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen, die in beide zaken identiek zijn verwoord:

„1)      Moet artikel 82 [AVG] aldus worden uitgelegd dat het recht op schadevergoeding, met inbegrip van de vaststelling van de hoogte ervan, geen punitief karakter heeft, met name dat het geen algemene of specifieke afschrikkende werking heeft, maar dat het recht op schadevergoeding slechts een compenserende functie en in sommige gevallen een genoegdoeningsfunctie heeft?

2)      Moet voor de vaststelling van het recht op vergoeding voor immateriële schade ervan worden uitgegaan dat het ook een individuele genoegdoeningsfunctie heeft, die in casu moet worden opgevat als het strikt persoonlijke belang van de gelaedeerde dat het schadeveroorzakende gedrag wordt bestraft, of heeft het enkel een compenserende functie, die in casu moet worden begrepen als het compenseren van de geleden nadelige gevolgen?

Indien moet worden aangenomen dat het recht op vergoeding voor immateriële schade zowel een compenserende functie als een genoegdoeningsfunctie heeft, moet dan bij de vaststelling ervan worden aangenomen dat de compenserende functie structureel voorrang heeft op de genoegdoeningsfunctie, of althans dat de verhouding tussen die twee functies een verhouding van regel en uitzondering is? Betekent dit dat er slechts sprake is van een genoegdoeningsfunctie wanneer inbreuken opzettelijk zijn begaan of het gevolg van grove nalatigheid zijn?

Indien het recht op vergoeding voor immateriële schade geen genoegdoeningsfunctie heeft, wordt dan bij de vaststelling ervan alleen aan opzettelijke of grove nalatige inbreuken in verband met de gegevensbescherming meer gewicht toegekend bij de beoordeling van de schadeveroorzakende handelingen?

3)      Moet de vergoeding voor immateriële schade worden vastgesteld op basis van een structurele rangorde of althans een verhouding van regel en uitzondering, waarbij aan de ervaren nadelige gevolgen van een inbreuk in verband met de gegevensbescherming minder belang wordt toegekend dan aan de met lichamelijke letsels verbonden nadelige gevolgen en pijn?

4)      Indien moet worden aangenomen dat er schade is ontstaan, kan een nationale rechter dan in het licht van het niet-ernstige karakter van de schade een schadevergoeding toekennen die materieel gering is en derhalve door de gelaedeerde of in het algemeen als louter symbolisch wordt ervaren?

5)      Moet voor het begrip van de vergoeding voor immateriële schade bij de beoordeling van de gevolgen ervan worden aangenomen dat er slechts sprake is van identiteitsdiefstal in de zin van overweging 75 [AVG] wanneer een delinquent de identiteit van de betrokkene daadwerkelijk heeft aangenomen, met andere woorden dat hij zich op een of andere wijze heeft uitgegeven voor de betrokkene, of houdt het enkele feit dat delinquenten inmiddels over gegevens beschikken op basis waarvan de betrokkene kan worden geïdentificeerd, reeds een dergelijke identiteitsdiefstal in?”

 Procedure bij het Hof

15      Bij beslissing van de president van het Hof van 19 april 2022 zijn de zaken C‑182/22 en C‑189/22 gevoegd voor de schriftelijke en de mondelinge behandeling alsook voor het arrest.

16      Op 1 juni 2022 heeft de president van het Hof het verzoek van Scalable Capital om overeenkomstig artikel 95, lid 2, van het Reglement voor de procesvoering van het Hof over te gaan tot anonimisering van de onderhavige zaak, afgewezen.

 Ontvankelijkheid van de verzoeken om een prejudiciële beslissing

17      Scalable Capital betoogt in essentie dat de onderhavige verzoeken om een prejudiciële beslissing niet-ontvankelijk zijn omdat zij niet van invloed zijn op de uitkomst van de hoofdgedingen. Zij meent dat een abstract verlies van controle over gegevens, zoals in casu, niet als „schade” in de zin van artikel 82, lid 1, AVG kan worden aangemerkt wanneer dat verlies van gegevens zonder concrete gevolgen is gebleven en dus niet aan de toepassingsvoorwaarden van dat artikel 82 is voldaan. Anders zou iedere inbreuk op de AVG namelijk een vermoeden van schade doen ontstaan, wat niet strookt met de bewoordingen, de algemene opzet en de totstandkomingsgeschiedenis van artikel 82 van deze verordening.

18      Wat dit betreft is het volgens vaste rechtspraak uitsluitend een zaak van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing om, rekening houdend met de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof voorlegt te beoordelen, waarbij voor deze vragen een vermoeden van relevantie geldt. Wanneer de gestelde vraag betrekking heeft op de uitlegging of de geldigheid van een regel van het Unierecht, is het Hof dus in beginsel verplicht daarop te antwoorden, tenzij de gevraagde uitlegging kennelijk geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, het vraagstuk van hypothetische aard is of het Hof niet beschikt over de feitelijke en juridische gegevens die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vraag [zie arresten van 5 mei 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punt 43, en 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 23].

19      In het onderhavige geval volstaat het eraan te herinneren dat wanneer niet duidelijk blijkt dat de uitlegging van een Unierechtelijke bepaling geen verband houdt met het reële geschil of met het voorwerp van het hoofdgeding, de exceptie van niet-toepasselijkheid van deze bepaling op het hoofdgeding niet de ontvankelijkheid van de prejudiciële verwijzing maar de grond van de gestelde vragen betreft (zie in die zin arresten van 13 juli 2006, Manfredi e.a., C‑295/04–C‑298/04, EU:C:2006:461, punt 30; 4 juli 2019, Kirschstein, C‑393/17, EU:C:2019:563, punt 28, en 24 juli 2023, Lin, C‑107/23 PPU, EU:C:2023:606, punt 66).

20      De onderhavige verzoeken om een prejudiciële beslissing zijn dan ook ontvankelijk.

 Beantwoording van de prejudiciële vragen

 Eerste vraag en eerste onderdeel van de tweede vraag

21      Met zijn eerste vraag en het eerste onderdeel van zijn tweede vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter in essentie te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet een compenserende functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de door de inbreuk op deze verordening geleden schade volledig te vergoeden, dan wel of het ook een punitieve functie vervult die er met name toe strekt de betrokken persoon wat zijn individuele belangen betreft genoegdoening te verschaffen.

22      In dit verband heeft het Hof reeds geoordeeld dat artikel 82 AVG geen punitieve maar een compenserende functie heeft, in tegenstelling tot andere bepalingen van deze verordening die eveneens zijn opgenomen in hoofdstuk VIII ervan, namelijk in de artikelen 83 en 84 van die verordening, die in wezen een punitieve doelstelling hebben, aangezien zij respectievelijk de mogelijkheid bieden om administratieve geldboeten en andere sancties op te leggen. De verhouding tussen de regels van artikel 82 AVG en die van de artikelen 83 en 84 AVG toont aan dat er een verschil bestaat tussen deze twee categorieën bepalingen, maar dat zij elkaar ook aanvullen in de zin dat naleving van de AVG wordt gestimuleerd, met dien verstande dat het recht van eenieder om schadevergoeding te vorderen de werking van de beschermende bepalingen van deze verordening vergroot en inbreukplegers kan weerhouden van herhaling van onrechtmatig gedrag [zie bijvoorbeeld arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 38 en 40, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 59].

23      Dienovereenkomstig is artikel 82, lid 1, AVG aldus uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet, met name in geval van immateriële schade, uitsluitend een compenserende functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet door de inbreuk op deze verordening geleden schade volledig te vergoeden, doch geen afschrikkende of punitieve functie [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 57 en 58, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 61].

24      Bijgevolg dient op de eerste vraag en op het eerste onderdeel van de tweede vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet een uitsluitend compenserende functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de geleden schade volledig te vergoeden.

 Tweede onderdeel van de tweede vraag

25      Gelet op het antwoord op de eerste vraag en het eerste onderdeel van de tweede vraag hoeft het tweede onderdeel van de tweede vraag niet te worden beantwoord.

 Derde onderdeel van de tweede vraag

26      Met het derde onderdeel van zijn tweede vraag wenst de verwijzende rechter in essentie te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het vereist dat bij de vergoeding van schade op grond van dat artikel rekening wordt gehouden met de ernst en de eventuele opzettelijkheid van de door de verwerkingsverantwoordelijke gepleegde inbreuk op deze verordening.

27      Wat de begroting van de schadevergoeding betreft die mogelijk op grond van artikel 82 AVG verschuldigd is, moeten de nationale rechters, bij ontbreken van een desbetreffende bepaling in deze verordening, de interne regels van elke lidstaat inzake de omvang van de geldelijke schadevergoeding toepassen, voor zover de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid in acht worden genomen [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 53, 54 en 59, en 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 53].

28      Evenwel dient te worden onderstreept dat, ten eerste, als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke overeenkomstig artikel 82 AVG geldt dat er bij hem sprake is van schuld, hetgeen wordt vermoed tenzij de verwerkingsverantwoordelijke bewijst dat het schadeveroorzakende feit hem niet kan worden toegerekend en, ten tweede, dit artikel 82 niet vereist dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van het bedrag van de krachtens die bepaling toe te kennen vergoeding voor immateriële schade (arresten van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 103, en 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 52).

29      Gelet op het uitsluitend compenserende karakter van het recht op schadevergoeding waarin artikel 82, lid 1, AVG voorziet, kan bovendien bij de vaststelling van het bedrag van de op grond van deze bepaling toegekende vergoeding voor immateriële schade geen rekening worden gehouden met de eventuele opzettelijkheid van de inbreuk op deze verordening die de verwerkingsverantwoordelijke wordt vermoed te hebben gepleegd. Wel moet dit bedrag zo worden vastgesteld dat de door de inbreuk op die verordening concreet geleden schade integraal wordt vergoed (zie naar analogie arresten van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 102, en 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 54).

30      Gelet op een en ander dient op het derde onderdeel van de tweede vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het niet vereist dat bij de vergoeding van schade op grond van deze bepaling rekening wordt gehouden met de ernst en de eventuele opzettelijkheid van de door de verwerkingsverantwoordelijke gepleegde inbreuk op deze verordening.

 Derde vraag

31      Met zijn derde vraag wenst de verwijzende rechter in essentie te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat bij de vaststelling van het bedrag van de schadevergoeding die op grond van het recht op vergoeding voor immateriële schade verschuldigd is, ervan dient te worden uitgegaan dat dergelijke schade ten gevolge van een inbreuk in verband met persoonsgegevens naar haar aard minder zwaar weegt dan letselschade.

32      In dit verband zij eraan herinnerd dat het volgens vaste rechtspraak, bij ontbreken van Unievoorschriften ter zake, krachtens het beginsel van procedurele autonomie een zaak van de interne rechtsorde van de lidstaten is om de procedureregels vast te stellen voor vorderingen in rechte die worden ingediend ter bescherming van de rechten van de justitiabelen, op voorwaarde evenwel dat die regels – in situaties die binnen de werkingssfeer van het Unierecht vallen – niet ongunstiger zijn dan die welke voor soortgelijke situaties naar nationaal recht gelden (gelijkwaardigheidsbeginsel) en de uitoefening van de door het Unierecht verleende rechten in de praktijk niet onmogelijk of uiterst moeilijk maken (doeltreffendheidsbeginsel) [zie in die zin arresten van 13 december 2017, El Hassani, C‑403/16, EU:C:2017:960, punt 26, en 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 53].

33      In casu moet worden opgemerkt dat de AVG geen bepaling bevat die ertoe strekt de regels vast te stellen voor de begroting van de schadevergoeding waarop een betrokkene in de zin van artikel 4, punt 1, van deze verordening krachtens artikel 82 ervan aanspraak kan maken wanneer hij door een inbreuk op die verordening schade heeft geleden. Bij gebreke van Unierechtelijke regels ter zake is het dus een zaak van de rechtsorde van elke lidstaat om de regels vast te stellen voor vorderingen die worden ingediend ter bescherming van de rechten die de justitiabelen aan artikel 82 AVG ontlenen, en in het bijzonder de criteria ter bepaling van de omvang van de in dat verband verschuldigde vergoeding, mits het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel in acht worden genomen [arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 54].

34      Aangezien geen enkel element van het dossier waarover het Hof beschikt, erop wijst dat het gelijkwaardigheidsbeginsel in het kader van de onderhavige hoofdgedingen relevant zou kunnen zijn, dient te worden gekeken naar het doeltreffendheidsbeginsel. In dit verband staat het aan de verwijzende rechter om na te gaan of de in het Duitse recht vastgestelde regeling voor de gerechtelijke vaststelling van de schadevergoeding die op grond van het in artikel 82 AVG verankerde recht op schadevergoeding verschuldigd is, de uitoefening van de door het Unierecht en meer in het bijzonder deze verordening verleende rechten in de praktijk niet onmogelijk of uiterst moeilijk maakt.

35      Dienaangaande volgt uit de in punt 23 van het onderhavige arrest aangehaalde rechtspraak dat, gelet op de uitsluitend compenserende functie van het recht op schadevergoeding waarin artikel 82, lid 1, van deze verordening voorziet, een geldelijke schadeloosstelling op grond van deze bepaling moet worden geacht „volledig en daadwerkelijk” te zijn indien zij het mogelijk maakt de concreet door de inbreuk op die verordening geleden schade volledig te vergoeden.

36      In dit verband staat overigens in overweging 146 van die verordening te lezen dat „[h]et begrip ‚schade’ [...] ruim [moet] worden uitgelegd in het licht van de rechtspraak van het [Hof], op een wijze die ten volle recht doet aan de doelstellingen van deze verordening” en dat „[d]e betrokkenen [...] volledige en daadwerkelijke vergoeding van door hen geleden schade [dienen] te ontvangen”.

37      Er zij tevens op gewezen dat in de overwegingen 75 en 85 AVG verschillende omstandigheden worden genoemd waarin er kan worden gesproken van „lichamelijke, materiële of immateriële schade” zonder dat er tussen die soorten schade een rangorde wordt vastgesteld, en zonder dat daarbij wordt aangegeven dat inbreuken in verband met gegevensbescherming naar hun aard minder zwaar wegen dan lichamelijke letsel.

38      Zou er principieel van worden uitgegaan dat letselschade naar haar aard zwaarder weegt dat immateriële schade, dan zou het gevaar bestaan dat wordt afgedaan aan het beginsel van volledige en daadwerkelijke vergoeding van de geleden schade.

39      Gelet op een en ander moet op de derde vraag worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat bij de vaststelling van het bedrag van de schadevergoeding die op grond van het recht op vergoeding voor immateriële schade verschuldigd is, ervan dient te worden uitgegaan dat dergelijke schade ten gevolge van een inbreuk in verband met persoonsgegevens naar haar aard niet minder zwaar weegt dan letselschade.

 Vierde vraag

40      Met zijn vierde vraag wenst de verwijzende rechter in essentie te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een nationale rechterlijke instantie, wanneer het bestaan van schade is aangetoond maar deze schade niet ernstig is, ter compensatie aan de betrokkene een geringe vergoeding kan toekennen die als symbolisch zou kunnen worden ervaren.

41      Er zij aan herinnerd dat artikel 82, lid 1, AVG volgens vaste rechtspraak aldus moet worden uitgelegd dat een loutere schending van deze verordening niet volstaat voor de toekenning van een recht op schadevergoeding aangezien het bestaan van „geleden” materiële of immateriële „schade” een van de voorwaarden is voor het in artikel 82, lid 1, bedoelde recht op schadevergoeding, net zoals het bestaan van een schending van deze verordening en een causaal verband tussen die schade en die schending, waarbij deze drie voorwaarden cumulatief vervuld moeten zijn [arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 32, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 34].

42      Aldus moet de persoon die krachtens die bepaling verzoekt om vergoeding van immateriële schade niet alleen aantonen dat er bepalingen van die verordening zijn geschonden maar ook dat hij dergelijke schade heeft geleden ten gevolge van deze schending, zodat niet louter op grond van die schending kan worden aangenomen dat er schade is ontstaan [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 42 en 50, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 35].

43      Wanneer een persoon kan aantonen dat hij als gevolg van een inbreuk op de AVG schade heeft geleden in de zin van artikel 82 van deze verordening, is het – zoals in wezen blijkt uit punt 33 van het onderhavige arrest – een zaak van de rechtsorde van elke lidstaat om de criteria vast te stellen voor de begroting van de schadevergoeding die verschuldigd is in het kader van vorderingen in rechte die worden ingediend ter bescherming van de rechten die de justitiabelen aan dit artikel ontlenen, mits die vergoeding volledig en daadwerkelijk is.

44      In dit verband heeft het Hof geoordeeld dat artikel 82, lid 1, AVG niet vereist dat na een bewezen inbreuk op de bepalingen van deze verordening, de door de betrokkene gestelde schade een „de-minimisdrempel” bereikt opdat die schade kan worden vergoed (zie in die zin arrest van 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 18).

45      Die overwegingen sluiten echter niet uit dat nationale rechterlijke instanties een gering bedrag als vergoeding kunnen toekennen, mits de schade daardoor volledig wordt vergoed, hetgeen aan de verwijzende rechter staat om na te gaan, met inachtneming van de in punt 43 in herinnering gebrachte beginselen.

46      Gelet op het voorgaande dient op de vierde vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een nationale rechterlijke instantie, wanneer het bestaan van schade is aangetoond maar deze schade niet ernstig is, ter compensatie aan de betrokkene een geringe vergoeding kan toekennen, mits deze vergoeding de geleden schade volledig kan vergoeden.

 Vijfde vraag

 Ontvankelijkheid

47      De Europese Commissie stelt in haar schriftelijke opmerkingen vragen bij de relevantie van de vijfde vraag voor de oplossing van de hoofdgedingen. Zij stelt namelijk vast dat de verwijzende rechter niet verwijst naar enige concrete bepaling van het Unierecht.

48      Dienaangaande dient te worden vastgesteld dat de vijfde vraag doelt op het begrip „identiteitsdiefstal” als bedoeld in overweging 75 AVG, en formeel geen betrekking heeft op artikel 82 van deze verordening. Niettemin kan het feit dat het Hof wordt verzocht om zich in abstracte en algemene bewoordingen uit te spreken, op zichzelf niet tot gevolg hebben dat het verzoek om een prejudiciële beslissing niet-ontvankelijk wordt (arrest van 15 november 2007, International Mail Spain, C‑162/06, EU:C:2007:681, punt 24).

49      Met deze vraag verzoekt de verwijzende rechter het Hof om uitlegging van het in overweging 75 AVG vermelde begrip „identiteitsdiefstal” teneinde het bedrag van de geldelijke vergoeding waarin artikel 82 AVG voorziet te kunnen vaststellen. Die vraag heeft dus wel degelijk betrekking op een bepaling van het Unierecht. Overigens is het antwoord op deze vraag ook relevant in zoverre er tussen de verwijzende rechter en de partijen in de hoofdgedingen geen onderlinge overeenstemming bestaat over de definitie van dit begrip met het oog op de vaststelling van de in de hoofdgedingen geleden schade.

50      Bijgevolg is de vijfde vraag ontvankelijk.

 Ten gronde

51      Volgens vaste rechtspraak dient het Hof, in het kader van de bij artikel 267 VWEU ingestelde procedure van samenwerking tussen de nationale rechterlijke instanties en het Hof, de nationale rechter een nuttig antwoord te geven aan de hand waarvan deze het bij hem aanhangige geding kan beslechten. Daartoe dient het Hof de voorgelegde vragen indien nodig te herformuleren. Voorts kan het Hof zich genoopt zien bepalingen van het Unierecht in aanmerking te nemen waarvan de nationale rechter in de formulering van zijn vraag geen melding heeft gemaakt (arrest van 7 september 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, punt 47 en aldaar aangehaalde rechtspraak).

52      In het onderhavige geval heeft de vijfde vraag betrekking op het recht op schadevergoeding waarin artikel 82, lid 1, AVG voorziet, en meer in het bijzonder op het in overweging 75 AVG vermelde begrip „identiteitsdiefstal”. Behalve in die overweging komt dit begrip ook voor in overweging 85 van deze verordening.

53      Bijgevolg wenst de verwijzende rechter met zijn vijfde vraag in essentie te vernemen of artikel 82, lid 1, AVG, gelezen in het licht van de overwegingen 75 en 85 van deze verordening, aldus moet worden uitgelegd dat er slechts sprake is van „identiteitsdiefstal” en bij identiteitsdiefstal recht op vergoeding voor immateriële schade op grond van deze bepaling ontstaat, wanneer een derde daadwerkelijk de identiteit heeft aangenomen van een persoon wiens persoonsgegevens zijn gestolen, dan wel aldus dat er sprake is van identiteitsdiefstal zodra deze derde in het bezit is van gegevens die hem in staat stellen de betrokken persoon te identificeren.

54      De AVG bevat geen definitie van het begrip identiteitsdiefstal. Wel worden „identiteitsdiefstal [en] -fraude” in overweging 75 van deze verordening vermeld in een niet-limitatieve lijst van gevolgen van een verwerking van persoonsgegevens die kan resulteren in lichamelijke, materiële of immateriële schade. In overweging 85 van die verordening worden „identiteitsdiefstal [en] -fraude” opnieuw samen vermeld in een lijst van vormen van lichamelijke, materiële of immateriële schade die kan resulteren uit een inbreuk in verband met persoonsgegevens.

55      Zoals de advocaat-generaal in punt 29 van zijn conclusie heeft opgemerkt, worden in de verschillende taalversies van de overwegingen 75 en 85 AVG de termen „identiteitsdiefstal”, „identiteitsfraude”, „identiteitsmisbruik” en „onrechtmatig gebruik van identiteit” zonder onderscheid gebruikt. Bijgevolg zijn de begrippen „identiteitsdiefstal” en „identiteitsfraude” onderling verwisselbaar en kan er geen onderscheid worden gemaakt tussen beide. Deze twee laatste begrippen geven aanleiding tot een vermoeden van de wil om zich de identiteit toe te eigenen van een persoon wiens persoonsgegevens eerder zijn gestolen.

56      Zoals de advocaat-generaal in punt 30 van zijn conclusie eveneens heeft opgemerkt, maken de lijsten in de overwegingen 75 en 85 AVG onder de verschillende daarin genoemde begrippen bovendien een onderscheid tussen de begrippen „verlies van controle” of verhinderd worden „controle [...] uit te oefenen” over persoonsgegevens enerzijds en „identiteitsdiefstal of -fraude” anderzijds. Hieruit volgt dat de verkrijging van toegang tot of controle over dergelijke gegevens, die zou kunnen worden gelijkgesteld met diefstal van die gegevens, op zichzelf niet kan worden gelijkgesteld met „identiteitsdiefstal” of „identiteitsfraude”. Een diefstal van persoonsgegevens levert met andere woorden als zodanig nog geen identiteitsdiefstal of -fraude op.

57      Er dient in dit verband evenwel te worden verduidelijkt dat de vergoeding krachtens artikel 82, lid 1, AVG van door diefstal van persoonsgegevens veroorzaakte immateriële schade niet kan worden beperkt tot de gevallen waarin wordt aangetoond dat een dergelijke diefstal van gegevens vervolgens tot identiteitsdiefstal of -fraude heeft geleid. Een diefstal van persoonsgegevens geeft de betrokken persoon immers recht op vergoeding van de immateriële schade op grond van artikel 82, lid 1, AVG indien aan de drie voorwaarden van die bepaling is voldaan, namelijk: ten eerste, een verwerking van persoonsgegevens in strijd met de AVG, ten tweede, door de betrokkene geleden schade en, ten derde, een oorzakelijk verband tussen de onrechtmatige verwerking en de schade [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 32 en 36].

58      Om deze redenen dient op de vijfde vraag te worden geantwoord dat artikel 82, lid 1, AVG, gelezen in het licht van de overwegingen 75 en 85 van deze verordening, aldus moet worden uitgelegd dat er slechts sprake is van „identiteitsdiefstal” en bij identiteitsdiefstal recht op vergoeding voor immateriële schade op grond van deze bepaling ontstaat, wanneer een derde daadwerkelijk de identiteit heeft aangenomen van een persoon wiens persoonsgegevens zijn gestolen. Het recht op vergoeding krachtens die bepaling voor door diefstal van persoonsgegevens veroorzaakte immateriële schade kan evenwel niet worden beperkt tot de gevallen waarin wordt aangetoond dat een dergelijke diefstal van gegevens vervolgens tot identiteitsdiefstal of -fraude heeft geleid.

 Kosten

59      Ten aanzien van de partijen in de hoofdgedingen is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Derde kamer) verklaart voor recht:

1)      Artikel 82, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus moet worden uitgelegd dat

het recht op schadevergoeding waarin deze bepaling voorziet een uitsluitend compenserende functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de geleden schade volledig te vergoeden.

2)      Artikel 82, lid 1, van verordening 2016/679

moet aldus moet worden uitgelegd dat

het niet vereist dat bij de vergoeding van schade op grond van deze bepaling rekening wordt gehouden met de ernst en de eventuele opzettelijkheid van de door de verwerkingsverantwoordelijke gepleegde inbreuk op deze verordening.

3)      Artikel 82, lid 1, van verordening 2016/679

moet aldus moet worden uitgelegd dat

bij de vaststelling van het bedrag van de schadevergoeding die op grond van het recht op vergoeding voor immateriële schade verschuldigd is, ervan dient te worden uitgegaan dat dergelijke schade ten gevolge van een inbreuk in verband met persoonsgegevens naar haar aard niet minder zwaar weegt dan letselschade.

4)      Artikel 82, lid 1, van verordening 2016/679

moet aldus moet worden uitgelegd dat

een nationale rechterlijke instantie, wanneer het bestaan van schade is aangetoond maar deze schade niet ernstig is, ter compensatie aan de betrokkene een geringe vergoeding kan toekennen, mits deze vergoeding de geleden schade volledig kan vergoeden.

5)      Artikel 82, lid 1, van verordening 2016/679, gelezen in het licht van de overwegingen 75 en 85 van deze verordening,

moet aldus moet worden uitgelegd dat

er slechts sprake is van „identiteitsdiefstal” en bij identiteitsdiefstal recht op vergoeding voor immateriële schade op grond van deze bepaling ontstaat, wanneer een derde daadwerkelijk de identiteit heeft aangenomen van een persoon wiens persoonsgegevens zijn gestolen. Het recht op vergoeding krachtens die bepaling voor door diefstal van persoonsgegevens veroorzaakte immateriële schade kan evenwel niet worden beperkt tot de gevallen waarin wordt aangetoond dat een dergelijke diefstal van gegevens vervolgens tot identiteitsdiefstal of -fraude heeft geleid.

ondertekeningen


*      Procestaal: Duits.