DOMSTOLENS DOM (tredje avdelningen)

den 20 juni 2024 ( *1 )

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 82 – Rätt till ersättning för skada som orsakats av att uppgifter har behandlats på ett sätt som strider mot denna förordning– Begreppet ’immateriell skada’ – Fråga huruvida ersättningen har en bestraffande funktion eller en rent kompenserande och upprättande funktion – Fråga huruvida ersättningen kan bestämmas till ett endast ringa eller symboliskt belopp – Stöld av personuppgifter som registrerats i en trading-app – Identitetsstöld eller identitetsbedrägeri”

I de förenade målen C‑182/22 och C‑189/22,

angående beslut att begära förhandsavgörande enligt artikel 267 FEUF, från Amtsgericht München (Distriktsdomstolen i München, Tyskland), av den 3 mars 2022, som inkom till domstolen den 10 och 11 mars 2022, i målen

JU (C‑182/22),

SO (C‑189/22)

mot

Scalable Capital GmbH,

meddelar

DOMSTOLEN (tredje avdelningen)

sammansatt av avdelningsordföranden K. Jürimäe samt domarna N. Piçarra och N. Jääskinen (referent),

generaladvokat: A.M. Collins,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

SO, genom M. Ruigrok van de Werve, Rechtsanwalt,

Scalable Capital GmbH, genom C. Mekat, Rechtsanwalt,

Irland, genom M. Browne, Chief State Solicitor, A. Joyce och M. Tierney, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL,

Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 26 oktober 2023 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1

Respektive begäran om förhandsavgörande avser tolkningen av artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

2

Respektive begäran har framställts i två mål mellan, å ena sidan, JU respektive SO och, å andra sidan, Scalable Capital GmbH. Målen rör ersättning för den immateriella skada som JU och SO påstår sig ha lidit till följd av att en tredje part, vars identitet är okänd, stulit deras personuppgifter som registrerats i en trading-applikation som administreras av Scalable Capital GmbH.

Tillämpliga bestämmelser

3

Skälen 75, 85 och 146 i dataskyddsförordningen har följande lydelse:

”(75)

Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller [identitets]bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(85)

En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller [identitets]bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. …

(146)

… Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. … Registrerade bör få full och effektiv ersättning för den skada de lidit. …”

4

I artikel 4 i dataskyddsförordningen, som har rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

1)

personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …

7)

personuppgiftsansvarig: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. …

10)

tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,

12)

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

…”

5

Artikel 82 i dataskyddsförordningen har rubriken ”Ansvar och rätt till ersättning”, och där föreskrivs följande i punkterna 1–3:

”1.   Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.   Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

3.   Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.”

Målen vid den nationella domstolen och tolkningsfrågorna

6

Scalable Capital, ett bolag bildat enligt tysk rätt, driver en trading app (en app för att handla med värdepapper) i vilken kärandena i det nationella målet, JU och SO, hade öppnat ett konto. För detta ändamål registrerade JU och SO vissa personuppgifter på sina respektive konton, särskilt namn, födelsedatum, postadress, e‑postadress och en digital kopia av sina identitetskort. JU och SO hade inbetalat ett belopp på flera tusen euro, vilket var nödvändigt för att öppna dessa konton.

7

Under år 2020 stals personuppgifter och uppgifter om JU:s och SO:s värdepappersportfölj av tredje parter vilkas identiteter fortfarande är okända. Enligt Scalable Capital har de nämnda personuppgifterna hittills inte använts på ett bedrägligt sätt.

8

Mot denna bakgrund väckte JU och SO talan vid Amtsgericht München (Distriktsdomstolen i München, Tyskland), som är den hänskjutande domstolen, och yrkade ersättning för den immateriella skada som de påstår sig ha lidit till följd av stölden av deras personuppgifter.

9

För det första följer den hänskjutande domstolens frågor av de tyska domstolarnas skilda tillvägagångssätt vid bedömningen av det skadestånd som ska fastställas i denna typ av situationer. Skillnaderna i tillvägagångssätt medför att storleken på den ekonomiska ersättning som fastställs i fall som liknar det som är i fråga i det nationella målet varierar kraftigt, i synnerhet beroende på om en eventuell avskräckande verkan har beaktats eller inte. Den hänskjutande domstolen har angett att tiotusentals personer i förevarande fall påverkas av förlusten av de aktuella personuppgifterna och att det därför är lämpligt att använda en enhetlig bedömningsmetod.

10

För det andra, vad gäller bedömningen av den immateriella skadan, har den hänskjutande domstolen hänvisat till tysk rätt för att skilja mellan en ”kompenserande” funktion och en ”upprättande” funktion hos skadeståndet. Skadeståndets kompenserande funktion syftar till att kompensera för konkreta och förutsebara skadeföljder, medan dess upprättande funktion syftar till att neutralisera den känsla av orättvisa som upplevs till följd av skadan. Den hänskjutande domstolen har angett att denna upprättelsefunktion hos skadeståndet endast har en underordnad roll i tysk rätt, och den anser att denna funktion i förevarande fall inte ska ha någon som helst inverkan på beräkningen av det av kärandena yrkade skadeståndet.

11

För det tredje finns det i tysk rätt inte någon skala som gör det möjligt att fastställa storleken på det skadestånd som ska utdömas beroende på i vilka situationer de har yrkats. Det stora antalet enskilda beslut som meddelats gör det emellertid möjligt att fastställa en ram att utgå ifrån, vilket leder till en form av systematisering av kompensationen. I den tyska rättsordningen beviljas ekonomisk ersättning för att kompensera för kränkningar av personlighetsskyddet endast om kränkningarna är särskilt allvarliga. Det är enklare att göra en objektiv ekonomisk värdering när det gäller kompensation för kroppsskador. Den hänskjutande domstolen anser således att en förlust av personuppgifter bör tillmätas mindre vikt än kroppsskador.

12

För det fjärde vill den hänskjutande domstolen få klarhet i huruvida det är möjligt att bestämma ersättningen till ett endast ringa belopp, vilket skulle kunna uppfattas som symboliskt, i fall där den skada som uppkommit till följd av en överträdelse av dataskyddsförordningen är ringa.

13

För det femte har den hänskjutande domstolen påpekat att parterna i det nationella målet har tolkat begreppet identitetsstöld på olika sätt. Härvidlag anser den hänskjutande domstolen att det endast är fråga om en identitetsstöld när de uppgifter som erhållits olagligen används av en tredje part för att ta över den registrerades identitet.

14

Mot denna bakgrund beslutade Amtsgericht München (Distriktsdomstolen i München), i målen C‑182/22 och C‑189/22, att vilandeförklara målen och ställa följande frågor, vilka är identiska i de båda målen, till EU-domstolen:

”1)

Ska artikel 82 i [dataskyddsförordningen] tolkas på så sätt att rätten till ersättning, inbegripet beräkningen av ersättningens storlek, inte har en bestraffande funktion, och i synnerhet inte en allmän- eller individualpreventiv funktion, utan endast syftar till att kompensera skadan och under vissa omständigheter ge den skadelidande upprättelse?

2)

Ska ersättningen för immateriell skada fastställas med utgångspunkt i att ersättningen även syftar till individuell upprättelse – i detta sammanhang i betydelsen den skadelidandes personliga intresse av att se att beteendet som orsakat skadan bestraffas – eller är syftet med rätten till ersättning endast att kompensera skadan, i detta sammanhang i bemärkelsen att ersättning ska utges för den kränkning som orsakats?

Om rätten till ersättning för immateriell skada både syftar till att kompensera skadan och ge den skadelidande upprättelse, ska då beräkningen av ersättningen för immateriell skada ske med utgångspunkt i att den kompenserande funktionen har ett strukturellt företräde, eller åtminstone företräde i form av huvudregel i förhållande till upprättelsefunktionen, som utgör ett undantag? Innebär detta att syftet att ge den skadelidande upprättelse endast ska beaktas vid skada som orsakats uppsåtligen eller genom grov oaktsamhet?

Om rätten till ersättning för immateriell skada inte syftar till att ge den skadelidande upprättelse, ska då endast personuppgiftsincidenter till följd av uppsåtligt handlande eller grov oaktsamhet tillmätas särskild betydelse inom ramen för bedömningen av hur mycket [ett visst handlande] bidragit till skadan när ersättningsbeloppet ska fastställas?

3)

Ska ersättningen för immateriell skada beräknas på grundval av ett hierarkiskt strukturellt förhållande eller åtminstone ett förhållande mellan huvudregel och undantag, där upplevelsen av kränkning till följd av en personuppgiftsincident ska tillmätas mindre betydelse än upplevelsen av kränkning och smärta i samband med en kroppsskada?

4)

Får en nationell domstol, i fall där en skada anses föreligga och denna skada inte är allvarlig, bestämma ersättningen till ett belopp som i materiellt hänseende endast är ringa och som därmed eventuellt av den skadelidande eller rent allmänt kan uppfattas som rent symboliskt?

5)

Ska rättsföljderna vid immateriell skada fastställas på grundval av att en identitetsstöld, i den mening som avses i skäl 75 i [dataskyddsförordningen], anses föreligga först när en gärningsman faktiskt har övertagit den registrerades identitet, det vill säga i någon form har utgett sig för att vara den registrerade, eller ska redan den omständigheten att en gärningsman nu har tillgång till personuppgifter som gör det möjligt att identifiera den registrerade personen anses utgöra identitetsstöld?”

Förfarandet vid EU-domstolen

15

Domstolens ordförande beslutade den 19 april 2022 att förena målen C‑182/22 och C‑189/22 vad gäller det skriftliga och det muntliga förfarandet samt domen.

16

Domstolens ordförande avslog den 1 juni 2022 Scalable Capitals begäran om anonymisering i enlighet med artikel 95.2 i domstolens rättegångsregler i förevarande mål.

Huruvida respektive begäran om förhandsavgörande kan tas upp till prövning

17

Scalable Capital har i huvudsak gjort gällande att respektive begäran om förhandsavgörande inte kan tas upp till prövning, eftersom de saknar betydelse för utgången i de nationella målen. Scalable Capital anser att en abstrakt förlust av kontroll över personuppgifter av nu aktuellt slag inte ska anses utgöra skada i den mening som avses i artikel 82.1 i dataskyddsförordningen i fall där en sådan förlust inte haft några konkreta följder och där villkoren för att tillämpa nämnda artikel 82 därmed inte är uppfyllda. Annars skulle nämligen varje överträdelse av förordningen ge upphov till en presumtion om skada, i strid med såväl ordalydelsen och den allmänna systematiken i artikel 82 i dataskyddsförordningen som med artikelns tillkomsthistoria.

18

EU-domstolen gör i denna del följande bedömning. Enligt fast rättspraxis ankommer det uteslutande på den nationella domstolen, vid vilken målet anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen, vilka presumeras vara relevanta. EU-domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen eller giltigheten av en unionsrättslig regel, såvida det inte är uppenbart att den begärda tolkningen inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts (se dom av den 5 maj 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punkt 43, och dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 23).

19

I förevarande fall räcker det att erinra om att när det inte är uppenbart att tolkningen av en unionsbestämmelse inte har något samband med de verkliga omständigheterna eller saken i det nationella målet, måste det anses att invändningen att denna bestämmelse inte är tillämplig i det nationella målet inte har något att göra med huruvida begäran om förhandsavgörande kan tas upp till prövning utan tvärtom rör själva sakprövningen av tolkningsfrågorna (se, för ett liknande resonemang, dom av den 13 juli 2006, Manfredi m.fl., C‑295/04–C‑298/04, EU:C:2006:461, punkt 30, dom av den 4 juli 2019, Kirschstein, C‑393/17, EU:C:2019:563, punkt 28, och dom av den 24 juli 2023, Lin, C‑107/23 PPU, EU:C:2023:606, punkt 66).

20

Härav följer att respektive begäran om förhandsavgörande kan tas upp till prövning.

Prövning av tolkningsfrågorna

Den första frågan och den första delen av den andra frågan

21

Den hänskjutande domstolen har ställt den första frågan och den första delen av den andra frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 82.1 dataskyddsförordningen ska tolkas på så sätt att den rätt till ersättning som föreskrivs i denna bestämmelse har en kompenserande funktion i det att ekonomisk ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som uppkommit till följd av överträdelsen av förordningen, eller om rätten till ersättning även har en bestraffande funktion som bland annat syftar till att tillgodose den registrerades individuella intressen.

22

Härvidlag har domstolen redan slagit fast att artikel 82 i dataskyddsförordningen inte har en bestraffande utan en kompenserande funktion, till skillnad från andra bestämmelser i förordningen som också återfinns i kapitel VIII i förordningen, nämligen artiklarna 83 och 84. Dessa bestämmelser har huvudsakligen ett bestraffande syfte, eftersom de gör det möjligt att ålägga administrativa sanktionsavgifter och andra sanktioner. Förhållandet mellan de regler som anges i nämnda artikel 82 och reglerna i artiklarna 83 och 84 visar att det föreligger en skillnad mellan dessa båda kategorier av bestämmelser, men även att de kompletterar varandra vad gäller de incitament att iaktta dataskyddsförordningen som de innebär. Rätten för var och en att begära ersättning för skada stärker den ändamålsenliga verkan av de skyddsregler som fastställs i förordningen och är ägnade att avskräcka från att överträdelser upprepas (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 38 och 40, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 59).

23

Följaktligen har artikel 82.1 i dataskyddsförordningen tolkats så, att den rätt till ersättning som föreskrivs i denna bestämmelse, bland annat i samband med immateriell skada, har en rent kompenserande funktion, och inte en bestraffande funktion, i det att ekonomisk ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som faktiskt uppkommit till följd av en överträdelse av förordningen (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 57 och 58, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 61).

24

Den första frågan och den första delen av den andra frågan ska följaktligen besvaras enligt följande. Artikel 82.1 dataskyddsförordningen ska tolkas på så sätt att den rätt till ersättning som föreskrivs i denna bestämmelse har en rent kompenserande funktion, i det att ekonomisk ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den uppkomna skadan.

Den andra delen av den andra frågan

25

Med hänsyn till svaret på den första frågan och den första delen av den andra frågan saknas anledning att besvara den andra delen av den andra frågan.

Den tredje delen av den andra frågan

26

Den hänskjutande domstolen har ställt den tredje delen av den andra frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att denna artikel kräver att det i samband med frågan om ersättning för skada på grundval av denna bestämmelse tas hänsyn till allvaret i den personuppgiftsansvariges överträdelse av förordningen och till huruvida överträdelsen eventuellt har skett uppsåtligen.

27

När det gäller bedömningen av det skadestånd som eventuellt ska betalas enligt artikel 82 i dataskyddsförordningen ska de nationella domstolarna, i avsaknad av en bestämmelse med ett sådant syfte i förordningen, tillämpa varje medlemsstats interna regler om den ekonomiska ersättningens omfattning, under förutsättning att principerna om likvärdighet och effektivitet i unionsrätten iakttas (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 53, 54 och 59, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 53).

28

Det ska emellertid understrykas att en förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig enligt artikel 82 i dataskyddsförordningen är att denne har gjort fel, varvid det föreligger en presumtion om ett sådant fel om inte den personuppgiftsansvarige visar att denne inte på något sätt kan tillskrivas ansvar för den händelse varigenom skadan uppkom. Vidare krävs det enligt denna artikel 82 inte att felets svårighetsgrad beaktas vid beräkningen av det skadeståndsbelopp som ska utgå som ersättning för immateriell skada med stöd av denna bestämmelse (dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 103, och av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 52).

29

Härtill kommer att rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen har en rent kompenserande funktion, vilket utgör hinder för att det vid beräkningen av det skadeståndsbelopp som ska utgå som ersättning för immateriell skada med stöd av denna bestämmelse tas hänsyn till huruvida den överträdelse av förordningen som den personuppgiftsansvarige presumeras ha gjort sig skyldig till eventuellt har skett uppsåtligen. Detta belopp ska emellertid fastställas på ett sådant sätt att det fullt ut kompenserar den skada som faktiskt uppkommit till följd av överträdelsen av förordningen (se, analogt, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 102, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 54).

30

Mot bakgrund av ovanstående ska den tredje delen av den andra frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att denna artikel inte kräver att det i samband med frågan om ersättning för skada på grundval av denna bestämmelse tas hänsyn till allvaret i den personuppgiftsansvariges överträdelse av förordningen och till huruvida överträdelsen eventuellt har skett uppsåtligen.

Den tredje frågan

31

Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att det vid beräkningen av det skadeståndsbelopp som ska betalas på grund av rätten till ersättning för immateriell skada ska anses att en immateriell skada som orsakats av en personuppgiftsincident till sin natur är mindre allvarlig än en kroppsskada.

32

Det ska härvidlag erinras om att det framgår av fast rättspraxis att det i avsaknad av särskilda processuella regler i unionsrätten ankommer på varje medlemsstat att i sin rättsordning fastställa de processuella regler som gäller för taleformer som syftar till att säkerställa skyddet av enskildas rättigheter, enligt principen om processuell autonomi. Detta gäller dock under förutsättning att dessa regler, i situationer som omfattas av unionsrätten, inte är mindre förmånliga än i liknande situationer som regleras av nationell rätt (likvärdighetsprincipen) och att de inte medför att det i praktiken blir omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten (effektivitetsprincipen) (se, för ett liknande resonemang, dom av den 13 december 2017, El Hassani, C‑403/16, EU:C:2017:960, punkt 26, och dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 53).

33

I förevarande fall ska det påpekas att dataskyddsförordningen inte innehåller någon bestämmelse som har till syfte att fastställa regler för beräkningen av det skadestånd som en registrerad, i den mening som avses i artikel 4 led 1 i förordningen, kan göra anspråk på enligt artikel 82 i förordningen, om en överträdelse av förordningen har orsakat vederbörande skada. I avsaknad av unionsrättsliga bestämmelser på området ankommer det således på varje medlemsstat att i sin rättsordning fastställa villkoren för att väcka talan för att säkerställa skyddet av enskildas rättigheter enligt artikel 82 och, i synnerhet, de kriterier som gör det möjligt att fastställa omfattningen av den ersättning som ska utgå i detta sammanhang, under förutsättning att principerna om likvärdighet och effektivitet iakttas (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 54).

34

Eftersom det inte finns några uppgifter i handlingarna i målet som tyder på att likvärdighetsprincipen skulle kunna vara relevant i de nationella målen, ska prövningen baseras på effektivitetsprincipen. Det ankommer i detta sammanhang på den hänskjutande domstolen att fastställa huruvida de villkor som föreskrivs i tysk rätt för beräkning av skadestånd på grund av rätten till ersättning enligt artikel 82 i dataskyddsförordningen inte gör det i praktiken omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten, och särskilt av denna förordning.

35

Det framgår härvidlag av den rättspraxis som det erinrats om i punkt 23 ovan att med hänsyn till att den rätt till ersättning som föreskrivs i artikel 82.1 i dataskyddsförordningen uteslutande har en kompensatorisk funktion, så ska en ekonomisk ersättning som grundas på denna bestämmelse anses vara ”full och effektiv” om den gör det möjligt att fullt ut ersätta den skada som faktiskt har uppkommit till följd av överträdelsen av förordningen.

36

I detta hänseende anges det för övrigt i skäl 146 i förordningen att ”[b]egreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål” och att ”[r]egistrerade bör få full och effektiv ersättning för den skada de lidit”.

37

Det ska även påpekas att det i skälen 75 och 85 i dataskyddsförordningen anges olika omständigheter som kan kvalificeras som ”fysiska, materiella eller immateriella skador”, utan att det görs någon rangordning dem emellan eller anges att en skada som orsakats av en personuppgiftsincident till sin natur är mindre allvarlig än en kroppsskada.

38

Att generellt anta att en kroppsskada till sin natur är allvarligare än en immateriell skada skulle riskera att undergräva principen om full och effektiv ersättning för den uppkomna skadan.

39

Mot bakgrund av det ovan anförda ska den tredje frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att en immateriell skada som orsakats av en personuppgiftsincident inte till sin natur ska anses vara mindre allvarlig än en kroppsskada vid beräkningen av det skadeståndsbelopp som ska betalas på grund av rätten till ersättning för immateriell skada.

Den fjärde frågan

40

Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att vid en konstaterad skada kan en nationell domstol, om skadan inte är allvarlig, kompensera skadan genom att bestämma ersättningen till den registrerade till ett endast ringa belopp, vilket kan uppfattas som symboliskt.

41

Det ska inledningsvis erinras om att det följer av fast rättspraxis att artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att enbart en överträdelse av denna förordning inte är tillräcklig för att ge rätt till ersättning, eftersom förekomsten av en materiell eller immateriell ”skada” eller ”skada” som ”lidits” utgör ett av villkoren för den rätt till ersättning som föreskrivs i artikel 82.1, liksom att det ska föreligga en överträdelse av förordningen och ett orsakssamband mellan skadan och överträdelsen. Dessa tre villkor är kumulativa (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 32, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 34).

42

Den som begär ersättning för immateriell skada med stöd av denna bestämmelse måste följaktligen styrka inte bara att bestämmelserna i denna förordning har överträtts, utan även att denna överträdelse har orsakat vederbörande en sådan skada, vilken således inte kan presumeras enbart på grund av nämnda överträdelse (se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 42 och 50, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 35).

43

När en person visat att överträdelsen av dataskyddsförordningen har orsakat vederbörande en skada, i den mening som avses i artikel 82 i förordningen, framgår det av punkt 33 ovan att de kriterier som ska användas för att beräkna den ersättning som ska utgå inom ramen för en talan för att säkerställa skyddet av enskildas rättigheter enligt denna artikel ska fastställas i varje medlemsstats rättsordning, varvid denna ersättning ska vara full och effektiv.

44

Domstolen har härvidlag slagit fast att det enligt artikel 82.1 i dataskyddsförordningen inte krävs att den skada som den registrerade påstår sig ha lidit, till följd av en konstaterad överträdelse av förordningens bestämmelser, måste uppnå en ”tröskelnivå” för att skadan ska kunna ge rätt till ersättning (se, för ett liknande resonemang, dom av den 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 18).

45

Det nu sagda utesluter dock inte att det enligt nationell lagstiftning ska utgå en ersättning med ett ringa belopp, förutsatt att denna ersättning fullt ut kompenserar den aktuella skadan, vilket det ankommer på den hänskjutande domstolen att kontrollera, med iakttagande av de principer som anges i punkt 43 ovan.

46

Mot bakgrund av ovanstående ska den fjärde frågan besvaras enligt följande. Artikel 82.1 dataskyddsförordningen ska tolkas på så sätt att vid en konstaterad skada kan en nationell domstol, om skadan inte är allvarlig, kompensera skadan genom att bestämma ersättningen till den registrerade till ett endast ringa belopp. Detta gäller dock under förutsättning att denna ersättning fullt ut kompenserar den uppkomna skadan.

Den femte frågan

Huruvida tolkningsfrågan kan tas upp till prövning

47

Europeiska kommissionen har i sitt skriftliga yttrande ifrågasatt huruvida den femte frågan är relevant för utgången i de nationella målen, eftersom kommissionen konstaterar att den hänskjutande domstolen inte har nämnt någon konkret bestämmelse i unionsrätten.

48

EU-domstolen gör i denna del följande bedömning. Den femte frågan avser begreppet ”identitetsstöld” i den mening som avses i skäl 75 i dataskyddsförordningen och rör inte formellt artikel 82 i denna förordning. Enbart den omständigheten att domstolen har att uttala sig i abstrakta och allmänna ordalag kan emellertid inte medföra att en begäran om förhandsavgörande ska avvisas (dom av den 15 november 2007, International Mail Spain, C‑162/06, EU:C:2007:681, punkt 24).

49

Den hänskjutande domstolen har ställt denna fråga för att EU-domstolen ska tolka begreppet ”identitetsstöld” i skäl 75 i dataskyddsförordningen för att den hänskjutande domstolen ska kunna fastställa storleken på den ekonomiska ersättning som föreskrivs i artikel 82 i dataskyddsförordningen. Frågan avser således en unionsrättslig bestämmelse. Svaret på denna fråga är för övrigt även relevant, eftersom den hänskjutande domstolen och parterna i det nationella målet inte är överens om hur detta begrepp ska definieras vid bedömningen av den uppkomna skadan i de nationella målen.

50

Mot denna bakgrund finner EU-domstolen att den femte frågan kan tas upp till prövning.

Prövning i sak

51

Det framgår av fast rättspraxis att det enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF ankommer på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera de frågor som hänskjutits. EU-domstolen kan dessutom behöva ta hänsyn till unionsbestämmelser som den nationella domstolen inte har hänvisat till i sin fråga (dom av den 7 september 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, punkt 47 och där angiven rättspraxis).

52

I förevarande fall avser den femte frågan rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen, och närmare bestämt begreppet identitetsstöld i skäl 75 i dataskyddsförordningen. Det ska emellertid påpekas att utöver i detta skäl nämns detta begrepp även i skäl 85 i förordningen.

53

Den hänskjutande domstolen får följaktligen anses ha ställt den femte frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen, jämförd med skälen 75 och 85 i förordningen, ska tolkas på så sätt att en förutsättning för att det ska kunna anses vara fråga om ”identitetsstöld”, i förordningens mening, och för att identitetsstölden ska kunna ge rätt till ersättning för immateriell skada enligt nämnda bestämmelse, är att en tredje part faktiskt har tagit över identiteten hos en registrerad som berörs av en stöld av personuppgifter, eller om en sådan identitetsstöld kan anses föreligga redan när en tredje part förfogar över uppgifter som gör det möjligt att identifiera den registrerade.

54

Begreppet ”identitetsstöld” definieras inte i dataskyddsförordningen. I skäl 75 i förordningen anges dock ”identitetsstöld” eller ”identitetsbedrägeri” som icke uttömmande exempel på konsekvenser av behandling av personuppgifter som kan orsaka fysisk, materiell eller immateriell skada. I skäl 85 i förordningen nämns ”identitetsstöld” eller ”identitetsbedrägeri” på nytt tillsammans i en förteckning över fysisk, materiell eller immateriell skada som kan orsakas av en personuppgiftsincident.

55

Såsom generaladvokaten har påpekat i punkt 29 i sitt förslag till avgörande talas i de olika språkversionerna av skälen 75 och 85 i dataskyddsförordningen om identitetsstöld, identitetsbedrägeri, identitetskapning, identitetsmissbruk och övertagande av identitet, och dessa ord används där utan åtskillnad. Begreppen ”identitetsstöld” och ”identitetsbedrägeri” är således utbytbara och ingen åtskillnad kan göras mellan dem. Dessa två begrepp ger upphov till en presumtion om en vilja att tillägna sig identiteten hos en person vars personuppgifter tidigare har stulits.

56

Vidare görs det, såsom generaladvokaten även har påpekat i punkt 30 i sitt förslag till avgörande, bland de begrepp som anges i förteckningarna över exempel i skälen 75 och 85 i dataskyddsförordningen åtskillnad mellan å ena sidan ”förlust av kontroll”, eller hinder att ”utöva kontroll”, över personuppgifter och å andra sidan ”identitetsstöld” eller ”identitetsbedrägeri”. Härav följer att åtkomst till och övertagande av kontrollen över personuppgifter, som är handlingar som skulle kunna likställas med stöld av personuppgifter, inte i sig kan likställas med ”identitetsstöld” eller ”identitetsbedrägeri”. Med andra ord utgör inte stöld av personuppgifter i sig en identitetsstöld eller ett identitetsbedrägeri.

57

Det ska emellertid preciseras att möjligheterna till ersättning enligt artikel 82.1 i dataskyddsförordningen för immateriell skada som orsakats av stöld av personuppgifter inte får begränsas till fall där det visas att personuppgiftsstölden därefter har gett upphov till en identitetsstöld eller ett identitetsbedrägeri. Stöld av en registrerad persons personuppgifter ger nämligen rätt till ersättning enligt artikel 82.1 i dataskyddsförordningen för den immateriella skada som uppkommit om de tre villkor som anges i denna bestämmelse är uppfyllda, det vill säga att det varit fråga om en behandling av personuppgifter som utförs i strid med bestämmelserna i dataskyddsförordningen, att den registrerade har lidit skada som och att det finns ett orsakssamband mellan den olagliga personuppgiftsbehandlingen och skadan (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 32 och 36).

58

Mot denna bakgrund ska den femte frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen, jämförd med skälen 75 och 85 i förordningen, ska tolkas på så sätt att en förutsättning för att det ska kunna anses vara fråga om ”identitetsstöld”, i förordningens mening, och för att identitetsstölden ska kunna ge rätt till ersättning för immateriell skada enligt denna bestämmelse, är att en tredje part faktiskt har tagit över identiteten hos en registrerad som berörs av en stöld av personuppgifter. Möjligheterna till ersättning enligt bestämmelsen för immateriell skada som orsakats av en stöld av personuppgifter får emellertid inte begränsas till fall där det visas att personuppgiftsstölden därefter har gett upphov till en identitetsstöld eller ett identitetsbedrägeri.

Rättegångskostnader

59

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

 

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

 

1)

Artikel 82.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas på följande sätt:

Den rätt till ersättning som föreskrivs i denna bestämmelse har en rent kompenserande funktion, i det att ekonomisk ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den uppkomna skadan.

 

2)

Artikel 82.1 i förordning 2016/679

ska tolkas på följande sätt:

Denna bestämmelse kräver inte att det i samband med frågan om ersättning för skada på grundval av denna bestämmelse tas hänsyn till allvaret i den personuppgiftsansvariges överträdelse av förordningen och till huruvida överträdelsen eventuellt har skett uppsåtligen.

 

3)

Artikel 82.1 i förordning 2016/679

ska tolkas på följande sätt:

Vid beräkningen av det skadeståndsbelopp som ska betalas på grund av rätten till ersättning för immateriell skada ska en immateriell skada som orsakats av en personuppgiftsincident inte till sin natur anses vara mindre allvarlig än en kroppsskada.

 

4)

Artikel 82.1 i förordning 2016/679

ska tolkas på följande sätt:

Vid en konstaterad skada kan en nationell domstol, om skadan inte är allvarlig, kompensera skadan genom att bestämma ersättningen till den registrerade till ett endast ringa belopp. Detta gäller dock under förutsättning att denna ersättning fullt ut kompenserar den uppkomna skadan.

 

5)

Artikel 82.1 i förordning 2016/679, jämförd med skälen 75 och 85 i förordningen,

ska tolkas på följande sätt:

En förutsättning för att det ska kunna anses vara fråga om ”identitetsstöld”, i förordningens mening, och för att identitetsstölden ska kunna ge rätt till ersättning för immateriell skada enligt denna bestämmelse, är att en tredje part faktiskt har tagit över identiteten hos en registrerad som berörs av en stöld av personuppgifter. Möjligheterna till ersättning enligt bestämmelsen för immateriell skada som orsakats av en stöld av personuppgifter får emellertid inte begränsas till fall där det visas att personuppgiftsstölden därefter har gett upphov till en identitetsstöld eller ett identitetsbedrägeri.

 

Underskrifter


( *1 ) Rättegångsspråk: tyska.