DOMSTOLENS DOM (tredje avdelningen)
den 20 juni 2024 ( *1 )
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 82 – Rätt till ersättning för skada som orsakats av att uppgifter har behandlats på ett sätt som strider mot denna förordning– Begreppet ’immateriell skada’ – Fråga huruvida ersättningen har en bestraffande funktion eller en rent kompenserande och upprättande funktion – Fråga huruvida ersättningen kan bestämmas till ett endast ringa eller symboliskt belopp – Stöld av personuppgifter som registrerats i en trading-app – Identitetsstöld eller identitetsbedrägeri”
I de förenade målen C‑182/22 och C‑189/22,
angående beslut att begära förhandsavgörande enligt artikel 267 FEUF, från Amtsgericht München (Distriktsdomstolen i München, Tyskland), av den 3 mars 2022, som inkom till domstolen den 10 och 11 mars 2022, i målen
JU (C‑182/22),
SO (C‑189/22)
mot
Scalable Capital GmbH,
meddelar
DOMSTOLEN (tredje avdelningen)
sammansatt av avdelningsordföranden K. Jürimäe samt domarna N. Piçarra och N. Jääskinen (referent),
generaladvokat: A.M. Collins,
justitiesekreterare: A. Calot Escobar,
efter det skriftliga förfarandet,
med beaktande av de yttranden som avgetts av:
– |
SO, genom M. Ruigrok van de Werve, Rechtsanwalt, |
– |
Scalable Capital GmbH, genom C. Mekat, Rechtsanwalt, |
– |
Irland, genom M. Browne, Chief State Solicitor, A. Joyce och M. Tierney, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL, |
– |
Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud, |
och efter att den 26 oktober 2023 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 |
Respektive begäran om förhandsavgörande avser tolkningen av artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen). |
2 |
Respektive begäran har framställts i två mål mellan, å ena sidan, JU respektive SO och, å andra sidan, Scalable Capital GmbH. Målen rör ersättning för den immateriella skada som JU och SO påstår sig ha lidit till följd av att en tredje part, vars identitet är okänd, stulit deras personuppgifter som registrerats i en trading-applikation som administreras av Scalable Capital GmbH. |
Tillämpliga bestämmelser
3 |
Skälen 75, 85 och 146 i dataskyddsförordningen har följande lydelse:
…
…
|
4 |
I artikel 4 i dataskyddsförordningen, som har rubriken ”Definitioner”, föreskrivs följande: ”I denna förordning avses med
…
…
…
…” |
5 |
Artikel 82 i dataskyddsförordningen har rubriken ”Ansvar och rätt till ersättning”, och där föreskrivs följande i punkterna 1–3: ”1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. 2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar. 3. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.” |
Målen vid den nationella domstolen och tolkningsfrågorna
6 |
Scalable Capital, ett bolag bildat enligt tysk rätt, driver en trading app (en app för att handla med värdepapper) i vilken kärandena i det nationella målet, JU och SO, hade öppnat ett konto. För detta ändamål registrerade JU och SO vissa personuppgifter på sina respektive konton, särskilt namn, födelsedatum, postadress, e‑postadress och en digital kopia av sina identitetskort. JU och SO hade inbetalat ett belopp på flera tusen euro, vilket var nödvändigt för att öppna dessa konton. |
7 |
Under år 2020 stals personuppgifter och uppgifter om JU:s och SO:s värdepappersportfölj av tredje parter vilkas identiteter fortfarande är okända. Enligt Scalable Capital har de nämnda personuppgifterna hittills inte använts på ett bedrägligt sätt. |
8 |
Mot denna bakgrund väckte JU och SO talan vid Amtsgericht München (Distriktsdomstolen i München, Tyskland), som är den hänskjutande domstolen, och yrkade ersättning för den immateriella skada som de påstår sig ha lidit till följd av stölden av deras personuppgifter. |
9 |
För det första följer den hänskjutande domstolens frågor av de tyska domstolarnas skilda tillvägagångssätt vid bedömningen av det skadestånd som ska fastställas i denna typ av situationer. Skillnaderna i tillvägagångssätt medför att storleken på den ekonomiska ersättning som fastställs i fall som liknar det som är i fråga i det nationella målet varierar kraftigt, i synnerhet beroende på om en eventuell avskräckande verkan har beaktats eller inte. Den hänskjutande domstolen har angett att tiotusentals personer i förevarande fall påverkas av förlusten av de aktuella personuppgifterna och att det därför är lämpligt att använda en enhetlig bedömningsmetod. |
10 |
För det andra, vad gäller bedömningen av den immateriella skadan, har den hänskjutande domstolen hänvisat till tysk rätt för att skilja mellan en ”kompenserande” funktion och en ”upprättande” funktion hos skadeståndet. Skadeståndets kompenserande funktion syftar till att kompensera för konkreta och förutsebara skadeföljder, medan dess upprättande funktion syftar till att neutralisera den känsla av orättvisa som upplevs till följd av skadan. Den hänskjutande domstolen har angett att denna upprättelsefunktion hos skadeståndet endast har en underordnad roll i tysk rätt, och den anser att denna funktion i förevarande fall inte ska ha någon som helst inverkan på beräkningen av det av kärandena yrkade skadeståndet. |
11 |
För det tredje finns det i tysk rätt inte någon skala som gör det möjligt att fastställa storleken på det skadestånd som ska utdömas beroende på i vilka situationer de har yrkats. Det stora antalet enskilda beslut som meddelats gör det emellertid möjligt att fastställa en ram att utgå ifrån, vilket leder till en form av systematisering av kompensationen. I den tyska rättsordningen beviljas ekonomisk ersättning för att kompensera för kränkningar av personlighetsskyddet endast om kränkningarna är särskilt allvarliga. Det är enklare att göra en objektiv ekonomisk värdering när det gäller kompensation för kroppsskador. Den hänskjutande domstolen anser således att en förlust av personuppgifter bör tillmätas mindre vikt än kroppsskador. |
12 |
För det fjärde vill den hänskjutande domstolen få klarhet i huruvida det är möjligt att bestämma ersättningen till ett endast ringa belopp, vilket skulle kunna uppfattas som symboliskt, i fall där den skada som uppkommit till följd av en överträdelse av dataskyddsförordningen är ringa. |
13 |
För det femte har den hänskjutande domstolen påpekat att parterna i det nationella målet har tolkat begreppet identitetsstöld på olika sätt. Härvidlag anser den hänskjutande domstolen att det endast är fråga om en identitetsstöld när de uppgifter som erhållits olagligen används av en tredje part för att ta över den registrerades identitet. |
14 |
Mot denna bakgrund beslutade Amtsgericht München (Distriktsdomstolen i München), i målen C‑182/22 och C‑189/22, att vilandeförklara målen och ställa följande frågor, vilka är identiska i de båda målen, till EU-domstolen:
|
Förfarandet vid EU-domstolen
15 |
Domstolens ordförande beslutade den 19 april 2022 att förena målen C‑182/22 och C‑189/22 vad gäller det skriftliga och det muntliga förfarandet samt domen. |
16 |
Domstolens ordförande avslog den 1 juni 2022 Scalable Capitals begäran om anonymisering i enlighet med artikel 95.2 i domstolens rättegångsregler i förevarande mål. |
Huruvida respektive begäran om förhandsavgörande kan tas upp till prövning
17 |
Scalable Capital har i huvudsak gjort gällande att respektive begäran om förhandsavgörande inte kan tas upp till prövning, eftersom de saknar betydelse för utgången i de nationella målen. Scalable Capital anser att en abstrakt förlust av kontroll över personuppgifter av nu aktuellt slag inte ska anses utgöra skada i den mening som avses i artikel 82.1 i dataskyddsförordningen i fall där en sådan förlust inte haft några konkreta följder och där villkoren för att tillämpa nämnda artikel 82 därmed inte är uppfyllda. Annars skulle nämligen varje överträdelse av förordningen ge upphov till en presumtion om skada, i strid med såväl ordalydelsen och den allmänna systematiken i artikel 82 i dataskyddsförordningen som med artikelns tillkomsthistoria. |
18 |
EU-domstolen gör i denna del följande bedömning. Enligt fast rättspraxis ankommer det uteslutande på den nationella domstolen, vid vilken målet anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen, vilka presumeras vara relevanta. EU-domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen eller giltigheten av en unionsrättslig regel, såvida det inte är uppenbart att den begärda tolkningen inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts (se dom av den 5 maj 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punkt 43, och dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 23). |
19 |
I förevarande fall räcker det att erinra om att när det inte är uppenbart att tolkningen av en unionsbestämmelse inte har något samband med de verkliga omständigheterna eller saken i det nationella målet, måste det anses att invändningen att denna bestämmelse inte är tillämplig i det nationella målet inte har något att göra med huruvida begäran om förhandsavgörande kan tas upp till prövning utan tvärtom rör själva sakprövningen av tolkningsfrågorna (se, för ett liknande resonemang, dom av den 13 juli 2006, Manfredi m.fl., C‑295/04–C‑298/04, EU:C:2006:461, punkt 30, dom av den 4 juli 2019, Kirschstein, C‑393/17, EU:C:2019:563, punkt 28, och dom av den 24 juli 2023, Lin, C‑107/23 PPU, EU:C:2023:606, punkt 66). |
20 |
Härav följer att respektive begäran om förhandsavgörande kan tas upp till prövning. |
Prövning av tolkningsfrågorna
Den första frågan och den första delen av den andra frågan
21 |
Den hänskjutande domstolen har ställt den första frågan och den första delen av den andra frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 82.1 dataskyddsförordningen ska tolkas på så sätt att den rätt till ersättning som föreskrivs i denna bestämmelse har en kompenserande funktion i det att ekonomisk ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som uppkommit till följd av överträdelsen av förordningen, eller om rätten till ersättning även har en bestraffande funktion som bland annat syftar till att tillgodose den registrerades individuella intressen. |
22 |
Härvidlag har domstolen redan slagit fast att artikel 82 i dataskyddsförordningen inte har en bestraffande utan en kompenserande funktion, till skillnad från andra bestämmelser i förordningen som också återfinns i kapitel VIII i förordningen, nämligen artiklarna 83 och 84. Dessa bestämmelser har huvudsakligen ett bestraffande syfte, eftersom de gör det möjligt att ålägga administrativa sanktionsavgifter och andra sanktioner. Förhållandet mellan de regler som anges i nämnda artikel 82 och reglerna i artiklarna 83 och 84 visar att det föreligger en skillnad mellan dessa båda kategorier av bestämmelser, men även att de kompletterar varandra vad gäller de incitament att iaktta dataskyddsförordningen som de innebär. Rätten för var och en att begära ersättning för skada stärker den ändamålsenliga verkan av de skyddsregler som fastställs i förordningen och är ägnade att avskräcka från att överträdelser upprepas (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 38 och 40, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 59). |
23 |
Följaktligen har artikel 82.1 i dataskyddsförordningen tolkats så, att den rätt till ersättning som föreskrivs i denna bestämmelse, bland annat i samband med immateriell skada, har en rent kompenserande funktion, och inte en bestraffande funktion, i det att ekonomisk ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som faktiskt uppkommit till följd av en överträdelse av förordningen (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 57 och 58, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 61). |
24 |
Den första frågan och den första delen av den andra frågan ska följaktligen besvaras enligt följande. Artikel 82.1 dataskyddsförordningen ska tolkas på så sätt att den rätt till ersättning som föreskrivs i denna bestämmelse har en rent kompenserande funktion, i det att ekonomisk ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den uppkomna skadan. |
Den andra delen av den andra frågan
25 |
Med hänsyn till svaret på den första frågan och den första delen av den andra frågan saknas anledning att besvara den andra delen av den andra frågan. |
Den tredje delen av den andra frågan
26 |
Den hänskjutande domstolen har ställt den tredje delen av den andra frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att denna artikel kräver att det i samband med frågan om ersättning för skada på grundval av denna bestämmelse tas hänsyn till allvaret i den personuppgiftsansvariges överträdelse av förordningen och till huruvida överträdelsen eventuellt har skett uppsåtligen. |
27 |
När det gäller bedömningen av det skadestånd som eventuellt ska betalas enligt artikel 82 i dataskyddsförordningen ska de nationella domstolarna, i avsaknad av en bestämmelse med ett sådant syfte i förordningen, tillämpa varje medlemsstats interna regler om den ekonomiska ersättningens omfattning, under förutsättning att principerna om likvärdighet och effektivitet i unionsrätten iakttas (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 53, 54 och 59, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 53). |
28 |
Det ska emellertid understrykas att en förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig enligt artikel 82 i dataskyddsförordningen är att denne har gjort fel, varvid det föreligger en presumtion om ett sådant fel om inte den personuppgiftsansvarige visar att denne inte på något sätt kan tillskrivas ansvar för den händelse varigenom skadan uppkom. Vidare krävs det enligt denna artikel 82 inte att felets svårighetsgrad beaktas vid beräkningen av det skadeståndsbelopp som ska utgå som ersättning för immateriell skada med stöd av denna bestämmelse (dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 103, och av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 52). |
29 |
Härtill kommer att rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen har en rent kompenserande funktion, vilket utgör hinder för att det vid beräkningen av det skadeståndsbelopp som ska utgå som ersättning för immateriell skada med stöd av denna bestämmelse tas hänsyn till huruvida den överträdelse av förordningen som den personuppgiftsansvarige presumeras ha gjort sig skyldig till eventuellt har skett uppsåtligen. Detta belopp ska emellertid fastställas på ett sådant sätt att det fullt ut kompenserar den skada som faktiskt uppkommit till följd av överträdelsen av förordningen (se, analogt, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 102, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 54). |
30 |
Mot bakgrund av ovanstående ska den tredje delen av den andra frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att denna artikel inte kräver att det i samband med frågan om ersättning för skada på grundval av denna bestämmelse tas hänsyn till allvaret i den personuppgiftsansvariges överträdelse av förordningen och till huruvida överträdelsen eventuellt har skett uppsåtligen. |
Den tredje frågan
31 |
Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att det vid beräkningen av det skadeståndsbelopp som ska betalas på grund av rätten till ersättning för immateriell skada ska anses att en immateriell skada som orsakats av en personuppgiftsincident till sin natur är mindre allvarlig än en kroppsskada. |
32 |
Det ska härvidlag erinras om att det framgår av fast rättspraxis att det i avsaknad av särskilda processuella regler i unionsrätten ankommer på varje medlemsstat att i sin rättsordning fastställa de processuella regler som gäller för taleformer som syftar till att säkerställa skyddet av enskildas rättigheter, enligt principen om processuell autonomi. Detta gäller dock under förutsättning att dessa regler, i situationer som omfattas av unionsrätten, inte är mindre förmånliga än i liknande situationer som regleras av nationell rätt (likvärdighetsprincipen) och att de inte medför att det i praktiken blir omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten (effektivitetsprincipen) (se, för ett liknande resonemang, dom av den 13 december 2017, El Hassani, C‑403/16, EU:C:2017:960, punkt 26, och dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 53). |
33 |
I förevarande fall ska det påpekas att dataskyddsförordningen inte innehåller någon bestämmelse som har till syfte att fastställa regler för beräkningen av det skadestånd som en registrerad, i den mening som avses i artikel 4 led 1 i förordningen, kan göra anspråk på enligt artikel 82 i förordningen, om en överträdelse av förordningen har orsakat vederbörande skada. I avsaknad av unionsrättsliga bestämmelser på området ankommer det således på varje medlemsstat att i sin rättsordning fastställa villkoren för att väcka talan för att säkerställa skyddet av enskildas rättigheter enligt artikel 82 och, i synnerhet, de kriterier som gör det möjligt att fastställa omfattningen av den ersättning som ska utgå i detta sammanhang, under förutsättning att principerna om likvärdighet och effektivitet iakttas (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 54). |
34 |
Eftersom det inte finns några uppgifter i handlingarna i målet som tyder på att likvärdighetsprincipen skulle kunna vara relevant i de nationella målen, ska prövningen baseras på effektivitetsprincipen. Det ankommer i detta sammanhang på den hänskjutande domstolen att fastställa huruvida de villkor som föreskrivs i tysk rätt för beräkning av skadestånd på grund av rätten till ersättning enligt artikel 82 i dataskyddsförordningen inte gör det i praktiken omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten, och särskilt av denna förordning. |
35 |
Det framgår härvidlag av den rättspraxis som det erinrats om i punkt 23 ovan att med hänsyn till att den rätt till ersättning som föreskrivs i artikel 82.1 i dataskyddsförordningen uteslutande har en kompensatorisk funktion, så ska en ekonomisk ersättning som grundas på denna bestämmelse anses vara ”full och effektiv” om den gör det möjligt att fullt ut ersätta den skada som faktiskt har uppkommit till följd av överträdelsen av förordningen. |
36 |
I detta hänseende anges det för övrigt i skäl 146 i förordningen att ”[b]egreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål” och att ”[r]egistrerade bör få full och effektiv ersättning för den skada de lidit”. |
37 |
Det ska även påpekas att det i skälen 75 och 85 i dataskyddsförordningen anges olika omständigheter som kan kvalificeras som ”fysiska, materiella eller immateriella skador”, utan att det görs någon rangordning dem emellan eller anges att en skada som orsakats av en personuppgiftsincident till sin natur är mindre allvarlig än en kroppsskada. |
38 |
Att generellt anta att en kroppsskada till sin natur är allvarligare än en immateriell skada skulle riskera att undergräva principen om full och effektiv ersättning för den uppkomna skadan. |
39 |
Mot bakgrund av det ovan anförda ska den tredje frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att en immateriell skada som orsakats av en personuppgiftsincident inte till sin natur ska anses vara mindre allvarlig än en kroppsskada vid beräkningen av det skadeståndsbelopp som ska betalas på grund av rätten till ersättning för immateriell skada. |
Den fjärde frågan
40 |
Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att vid en konstaterad skada kan en nationell domstol, om skadan inte är allvarlig, kompensera skadan genom att bestämma ersättningen till den registrerade till ett endast ringa belopp, vilket kan uppfattas som symboliskt. |
41 |
Det ska inledningsvis erinras om att det följer av fast rättspraxis att artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att enbart en överträdelse av denna förordning inte är tillräcklig för att ge rätt till ersättning, eftersom förekomsten av en materiell eller immateriell ”skada” eller ”skada” som ”lidits” utgör ett av villkoren för den rätt till ersättning som föreskrivs i artikel 82.1, liksom att det ska föreligga en överträdelse av förordningen och ett orsakssamband mellan skadan och överträdelsen. Dessa tre villkor är kumulativa (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 32, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 34). |
42 |
Den som begär ersättning för immateriell skada med stöd av denna bestämmelse måste följaktligen styrka inte bara att bestämmelserna i denna förordning har överträtts, utan även att denna överträdelse har orsakat vederbörande en sådan skada, vilken således inte kan presumeras enbart på grund av nämnda överträdelse (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 42 och 50, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 35). |
43 |
När en person visat att överträdelsen av dataskyddsförordningen har orsakat vederbörande en skada, i den mening som avses i artikel 82 i förordningen, framgår det av punkt 33 ovan att de kriterier som ska användas för att beräkna den ersättning som ska utgå inom ramen för en talan för att säkerställa skyddet av enskildas rättigheter enligt denna artikel ska fastställas i varje medlemsstats rättsordning, varvid denna ersättning ska vara full och effektiv. |
44 |
Domstolen har härvidlag slagit fast att det enligt artikel 82.1 i dataskyddsförordningen inte krävs att den skada som den registrerade påstår sig ha lidit, till följd av en konstaterad överträdelse av förordningens bestämmelser, måste uppnå en ”tröskelnivå” för att skadan ska kunna ge rätt till ersättning (se, för ett liknande resonemang, dom av den 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 18). |
45 |
Det nu sagda utesluter dock inte att det enligt nationell lagstiftning ska utgå en ersättning med ett ringa belopp, förutsatt att denna ersättning fullt ut kompenserar den aktuella skadan, vilket det ankommer på den hänskjutande domstolen att kontrollera, med iakttagande av de principer som anges i punkt 43 ovan. |
46 |
Mot bakgrund av ovanstående ska den fjärde frågan besvaras enligt följande. Artikel 82.1 dataskyddsförordningen ska tolkas på så sätt att vid en konstaterad skada kan en nationell domstol, om skadan inte är allvarlig, kompensera skadan genom att bestämma ersättningen till den registrerade till ett endast ringa belopp. Detta gäller dock under förutsättning att denna ersättning fullt ut kompenserar den uppkomna skadan. |
Den femte frågan
Huruvida tolkningsfrågan kan tas upp till prövning
47 |
Europeiska kommissionen har i sitt skriftliga yttrande ifrågasatt huruvida den femte frågan är relevant för utgången i de nationella målen, eftersom kommissionen konstaterar att den hänskjutande domstolen inte har nämnt någon konkret bestämmelse i unionsrätten. |
48 |
EU-domstolen gör i denna del följande bedömning. Den femte frågan avser begreppet ”identitetsstöld” i den mening som avses i skäl 75 i dataskyddsförordningen och rör inte formellt artikel 82 i denna förordning. Enbart den omständigheten att domstolen har att uttala sig i abstrakta och allmänna ordalag kan emellertid inte medföra att en begäran om förhandsavgörande ska avvisas (dom av den 15 november 2007, International Mail Spain, C‑162/06, EU:C:2007:681, punkt 24). |
49 |
Den hänskjutande domstolen har ställt denna fråga för att EU-domstolen ska tolka begreppet ”identitetsstöld” i skäl 75 i dataskyddsförordningen för att den hänskjutande domstolen ska kunna fastställa storleken på den ekonomiska ersättning som föreskrivs i artikel 82 i dataskyddsförordningen. Frågan avser således en unionsrättslig bestämmelse. Svaret på denna fråga är för övrigt även relevant, eftersom den hänskjutande domstolen och parterna i det nationella målet inte är överens om hur detta begrepp ska definieras vid bedömningen av den uppkomna skadan i de nationella målen. |
50 |
Mot denna bakgrund finner EU-domstolen att den femte frågan kan tas upp till prövning. |
Prövning i sak
51 |
Det framgår av fast rättspraxis att det enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF ankommer på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera de frågor som hänskjutits. EU-domstolen kan dessutom behöva ta hänsyn till unionsbestämmelser som den nationella domstolen inte har hänvisat till i sin fråga (dom av den 7 september 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, punkt 47 och där angiven rättspraxis). |
52 |
I förevarande fall avser den femte frågan rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen, och närmare bestämt begreppet identitetsstöld i skäl 75 i dataskyddsförordningen. Det ska emellertid påpekas att utöver i detta skäl nämns detta begrepp även i skäl 85 i förordningen. |
53 |
Den hänskjutande domstolen får följaktligen anses ha ställt den femte frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen, jämförd med skälen 75 och 85 i förordningen, ska tolkas på så sätt att en förutsättning för att det ska kunna anses vara fråga om ”identitetsstöld”, i förordningens mening, och för att identitetsstölden ska kunna ge rätt till ersättning för immateriell skada enligt nämnda bestämmelse, är att en tredje part faktiskt har tagit över identiteten hos en registrerad som berörs av en stöld av personuppgifter, eller om en sådan identitetsstöld kan anses föreligga redan när en tredje part förfogar över uppgifter som gör det möjligt att identifiera den registrerade. |
54 |
Begreppet ”identitetsstöld” definieras inte i dataskyddsförordningen. I skäl 75 i förordningen anges dock ”identitetsstöld” eller ”identitetsbedrägeri” som icke uttömmande exempel på konsekvenser av behandling av personuppgifter som kan orsaka fysisk, materiell eller immateriell skada. I skäl 85 i förordningen nämns ”identitetsstöld” eller ”identitetsbedrägeri” på nytt tillsammans i en förteckning över fysisk, materiell eller immateriell skada som kan orsakas av en personuppgiftsincident. |
55 |
Såsom generaladvokaten har påpekat i punkt 29 i sitt förslag till avgörande talas i de olika språkversionerna av skälen 75 och 85 i dataskyddsförordningen om identitetsstöld, identitetsbedrägeri, identitetskapning, identitetsmissbruk och övertagande av identitet, och dessa ord används där utan åtskillnad. Begreppen ”identitetsstöld” och ”identitetsbedrägeri” är således utbytbara och ingen åtskillnad kan göras mellan dem. Dessa två begrepp ger upphov till en presumtion om en vilja att tillägna sig identiteten hos en person vars personuppgifter tidigare har stulits. |
56 |
Vidare görs det, såsom generaladvokaten även har påpekat i punkt 30 i sitt förslag till avgörande, bland de begrepp som anges i förteckningarna över exempel i skälen 75 och 85 i dataskyddsförordningen åtskillnad mellan å ena sidan ”förlust av kontroll”, eller hinder att ”utöva kontroll”, över personuppgifter och å andra sidan ”identitetsstöld” eller ”identitetsbedrägeri”. Härav följer att åtkomst till och övertagande av kontrollen över personuppgifter, som är handlingar som skulle kunna likställas med stöld av personuppgifter, inte i sig kan likställas med ”identitetsstöld” eller ”identitetsbedrägeri”. Med andra ord utgör inte stöld av personuppgifter i sig en identitetsstöld eller ett identitetsbedrägeri. |
57 |
Det ska emellertid preciseras att möjligheterna till ersättning enligt artikel 82.1 i dataskyddsförordningen för immateriell skada som orsakats av stöld av personuppgifter inte får begränsas till fall där det visas att personuppgiftsstölden därefter har gett upphov till en identitetsstöld eller ett identitetsbedrägeri. Stöld av en registrerad persons personuppgifter ger nämligen rätt till ersättning enligt artikel 82.1 i dataskyddsförordningen för den immateriella skada som uppkommit om de tre villkor som anges i denna bestämmelse är uppfyllda, det vill säga att det varit fråga om en behandling av personuppgifter som utförs i strid med bestämmelserna i dataskyddsförordningen, att den registrerade har lidit skada som och att det finns ett orsakssamband mellan den olagliga personuppgiftsbehandlingen och skadan (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 32 och 36). |
58 |
Mot denna bakgrund ska den femte frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen, jämförd med skälen 75 och 85 i förordningen, ska tolkas på så sätt att en förutsättning för att det ska kunna anses vara fråga om ”identitetsstöld”, i förordningens mening, och för att identitetsstölden ska kunna ge rätt till ersättning för immateriell skada enligt denna bestämmelse, är att en tredje part faktiskt har tagit över identiteten hos en registrerad som berörs av en stöld av personuppgifter. Möjligheterna till ersättning enligt bestämmelsen för immateriell skada som orsakats av en stöld av personuppgifter får emellertid inte begränsas till fall där det visas att personuppgiftsstölden därefter har gett upphov till en identitetsstöld eller ett identitetsbedrägeri. |
Rättegångskostnader
59 |
Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla. |
Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande: |
|
|
|
|
|
Underskrifter |
( *1 ) Rättegångsspråk: tyska.