Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

MACIEJ SZPUNAR

föredraget den 18 september 2025(1)

Mål C526/24

Brillen Rottler GmbH & Co. KG

mot

TC

(begäran om förhandsavgörande från Amtsgericht Arnsberg (Distriktsdomstolen i Arnsberg, Tyskland))

” Begäran om förhandsavgörande – Förordning (EU) 2016/679 – Skydd av personuppgifter – Begäran från en registrerad person om tillgång till personuppgifter som rör honom eller henne – Rätt för en personuppgiftsansvarig att vägra att tillmötesgå begäran – Orimlig begäran – Rättsmissbruk – Rätt till ersättning – Skadevållande händelse”






I.      Inledning

1.        När rättsordningen ger en enskild person en subjektiv rättighet måste utövandet av denna rättighet principiellt anses vara lagligt. Om det sätt på vilket denna rättighet utövas inte är förenligt med syftet med den bestämmelse i vilken rättigheten är inskriven, kan emellertid begränsningar införas genom rättsordningen, särskilt genom mekanismen rättsmissbruk.(2)

2.        På samma sätt finns det i unionsrätten en allmän rättsprincip, enligt vilken enskilda inte får åberopa unionsrättsliga bestämmelser på ett sätt som är bedrägligt eller utgör missbruk. Denna princip gäller även i privaträttsliga förhållanden.(3)

3.        Förevarande mål rör ett särskilt uttryck för denna princip i sekundärrätten och, mer specifikt, inom ramen för en privat tillämpning (private enforcement) av förordning (EU) 2016/679(4) (nedan kallad dataskyddsförordningen). Domstolen har ombetts att särskilt klargöra gränserna för utövandet av rätten till tillgång och rätten till ersättning som en registrerad person åberopar, på ett sätt som påstås utgöra rättsmissbruk, mot ett privat företag i egenskap av personuppgiftsansvarig.

II.    Unionsrätt: Dataskyddsförordningen

4.        Skälen 10, 11, 60, 63, 141 och 146 i dataskyddsförordningen har följande lydelse:

”(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. … 

(11)      Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs …

(60)      Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. …

(63)      Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. … Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. …

(141)      Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i [Europeiska unionens stadga om de grundläggande rättigheterna], om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts …

(146)      Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. … Registrerade bör få full och effektiv ersättning för den skada de lidit. …”

5.        I artikel 4 led 2 i förordningen definieras ”behandling” som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.”

6.        I artikel 12 i förordningen, med rubriken ”Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter”, föreskrivs följande i punkterna 1 och 5:

”1.      Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling …

5.       Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a)      ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller

b)      vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

…”

7.        I artikel 15 i samma förordning, med rubriken ”Den registrerades rätt till tillgång”, föreskrivs följande i punkt 1:

”Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna …”

8.        I artikel 57 i dataskyddsförordningen, med rubriken ”Uppgifter”, föreskrivs följande i punkt 4:

”Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyndigheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.”

9.        I artikel 79 i denna förordning, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, föreskrivs följande i punkt 1:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

10.      I artikel 80 i nämnda förordning, med rubriken ”Företrädande av registrerade”, föreskrivs följande i punkt 2:

”Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.”

11.      I artikel 82 i samma förordning, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande i punkterna 1–3:

”1.      Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.      Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

3.      Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.”

III. Tvisten i det nationella målet, tolkningsfrågorna och förfarandet vid domstolen

12.      I mars 2023 registrerade sig TC, svaranden i det nationella målet (nedan kallad TC), som är en privatperson bosatt i Wien (Österrike), för ett nyhetsbrev från Brillen Rottler GmbH & Co. KG (nedan kallat Brillen Rottler), som är ett familjeägt optikföretag med säte i Arnsberg (Tyskland). Han angav sina personuppgifter i registreringsformuläret på företagets webbplats och samtyckte till att dessa uppgifter behandlades. Tretton dagar senare skickade TC en begäran om information enligt artikel 15 i dataskyddsförordningen till Brillen Rottler.

13.      Brillen Rottler vägrade att tillmötesgå begäran inom tidsfristen, eftersom företaget ansåg att begäran om information utgjorde rättsmissbruk, i den mening som avses i artikel 12.5 andra meningen i dataskyddsförordningen, och anmodade TC att slutgiltigt avstå från sin begäran. TC vidhöll sin begäran om information och begärde dessutom ersättning enligt artikel 82 i dataskyddsförordningen, vilken uppgick till 1 000 euro.

14.      Brillen Rottler väckte talan vid den hänskjutande domstolen och yrkade att den skulle fastställa att TC inte hade rätt till skadestånd. Brillen Rottler har gjort gällande att det framgick av olika rapporter från onlinemedier och blogginlägg från advokater att TC systematiskt och på ett sätt som utgör rättsmissbruk använder sig av rätten att begära tillgång enbart för att erhålla skadestånd genom att åberopa en överträdelse av dataskyddsförordningen som han medvetet provocerade enligt samma mönster, nämligen genom prenumeration på ett nyhetsbrev, först framställa en begäran om information och därefter skadeståndskrav.

15.      Den 25 september 2023 väckte TC genkäromål vid den hänskjutande domstolen och yrkade att Brillen Rottler skulle åläggas att ge TC tillgång till information om behandlingen av hans personuppgifter och att betala skadestånd till TC för den immateriella skada som åsamkats honom enligt artikel 82 i dataskyddsförordningen. Han gjorde gällande att den rätt till tillgång som han har enligt artikel 15.1 i dataskyddsförordningen kan utövas ovillkorligen och att han var lagligen bosatt i Tyskland, varför han hade ett legitimt intresse av att registrera sig för Brillen Rottlers nyhetsbrev.

16.      Den hänskjutande domstolen anser, med hänsyn till principen om insyn i behandlingen av personuppgifter, att en begränsning av rätten till tillgång vid en första begäran bör förbli ett undantag och att den omständigheten att sökanden har för avsikt att senare kunna erhålla ersättning för skada inte kan utgöra ett tillräckligt skäl för att vägra att tillmötesgå begäran. Enligt denna domstol är, med hänsyn till risken för att den personuppgiftsansvarige kan missbruka denna möjlighet att vägra att tillmötesgå en begäran, en hänvisning till offentligt tillgänglig information som visar att den registrerade har framställt ett stort antal begäranden om tillgång, inte i sig är tillräckligt för att det ska vara möjligt att motivera en vägran att tillmötesgå en begäran om information.

17.      Vad gäller ersättningskrav anser den hänskjutande domstolen att varje överträdelse av dataskyddsförordningen från den personuppgiftsansvariges sida kan utgöra grund för ett ersättningskrav, även om ingen behandling av personuppgifter har ägt rum. Det är således möjligt att den registrerade även har rätt till ersättning enligt artikel 82.1 i dataskyddsförordningen till följd av att hans eller hennes rätt till tillgång har åsidosatts.

18.      Mot denna bakgrund beslutade Amtsgericht Arnsberg (Distriktsdomstolen i Arnsberg, Tyskland) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1)      Ska artikel 12.5 andra meningen i dataskyddsförordningen tolkas på så sätt att en begäran om information från den registrerade inte kan anses vara orimlig om det är fråga om den första begäran som framställs till den personuppgiftsansvarige?

2)      Ska artikel 12.5 andra meningen i dataskyddsförordningen tolkas på så sätt att den personuppgiftsansvarige kan vägra att tillmötesgå en begäran om information från den registrerade om den registrerades avsikt med begäran är att provocera fram ett skadeståndsanspråk gentemot den personuppgiftsansvarige?

3)      Ska artikel 12.5 andra meningen i dataskyddsförordningen tolkas på så sätt att det kan vara motiverat att vägra tillmötesgå en begäran om det finns offentligt tillgänglig information om den registrerade som gör det möjligt att dra slutsatsen att vederbörande i ett stort antal fall riktat skadeståndsanspråk mot personuppgiftsansvariga till följd av överträdelser av skyddet för personuppgifter?

4)      Ska artikel 4.2 i dataskyddsförordningen tolkas på så sätt att en begäran om information från en registrerad som riktas till den personuppgiftsansvarige enligt artikel 15.1 i dataskyddsförordningen, och/eller svaret på en sådan begäran, utgör behandling, i den mening som avses i artikel 4.2 i nämnda förordning?

5)      Ska artikel 82.1 i dataskyddsförordningen, jämförd med skäl 146 första meningen i samma förordning, tolkas på så sätt att endast skada som den registrerade lider eller har lidit till följd av en behandling är ersättningsgill? Innebär detta att det måste ha skett en behandling av den registrerades personuppgifter – under förutsättning att det föreligger en kausal skada – för att ett skadeståndsanspråk enligt artikel 82.1 i nämnda förordning ska kunna framställas?

6)      Om fråga 5 besvaras jakande: Innebär detta att den registrerade – under förutsättning att det föreligger en kausal skada – inte har rätt till skadestånd enligt artikel 82.1 i dataskyddsförordningen enbart till följd av att hans eller hennes rätt till tillgång enligt artikel 15.1 i dataskyddsförordningen har åsidosatts?

7)      Ska artikel 82.1 i dataskyddsförordningen tolkas på så sätt att den personuppgiftsansvarige enligt unionsrätten inte med framgång kan göra en invändning om rättsmissbruk mot en begäran om information från den registrerade i en situation där den registrerade har framkallat en situation där hans eller hennes personuppgifter behandlas enbart, eller i vart fall delvis, i syfte att kunna begära skadestånd?

8)      Om frågorna 5 och 6 besvaras nekande: Utgör den förlust av kontroll över och/eller ovisshet beträffande behandlingen av den registrerades personuppgifter till följd av en överträdelse av artikel 15.1 i dataskyddsförordningen i sig en immateriell skada för den registrerade, i den mening som avses i artikel 82.1 i dataskyddsförordningen, eller krävs det dessutom att det uppstått en ytterligare (objektiv eller subjektiv) begränsning och/eller (märkbar) skada för den registrerade?

19.      Brillen Rottler, TC och Europeiska kommissionen har inkommit med skriftliga yttranden och deltagit i den muntliga förhandling som ägde rum den 5 juni 2025.

20.      I enlighet med domstolens begäran kommer detta förslag till avgörande att inriktas på bedömningen av frågorna 1–7.

IV.    Bedömning

A.      Den första, den andra, den tredje och den sjunde frågan

1.      Omformulering av frågorna

21.      Den hänskjutande domstolen har ställt den första, den andra och den tredje frågan, vilka enligt min mening kan prövas gemensamt, för att få klarhet i huruvida en första begäran om information kan anses vara ”orimlig”, i den mening som avses i artikel 12.5 andra meningen i dataskyddsförordningen, när den registrerade har framställt begäran för att därefter kunna erhålla ersättning från den personuppgiftsansvarige och det framgår av offentligt tillgängliga uppgifter att den registrerade i ett stort antal fall riktat skadeståndsanspråk mot en personuppgiftsansvarig till följd av överträdelser av skyddet för personuppgifter.

22.      Den hänskjutande domstolen har ställt den sjunde frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att den personuppgiftsansvarige inte med framgång kan göra en invändning om rättsmissbruk mot en begäran om information från den registrerade i en situation där den registrerade har framkallat en situation där hans eller hennes personuppgifter behandlas enbart, eller i vart fall delvis, i syfte att kunna begära skadestånd.

23.      Även om denna fråga formellt avser tolkningen av artikel 82.1 i dataskyddsförordningen, anser jag att den inte avser att tolka villkoren för den rätt till ersättning som föreskrivs i denna bestämmelse. Det har i denna fråga nämligen inte hänvisats till något av dessa villkor, till skillnad från den fjärde, den femte, den sjätte och den åttonde frågan, vilka just avser nämnda bestämmelse. Enligt min mening syftar den sjunde frågan, såsom den formulerats, till att klargöra huruvida en personuppgiftsansvarig kan åberopa att en begäran om information är orimlig, i den mening som avses i artikel 12.5 andra meningen i förordningen, när den registrerades avsikt är att ”provocera” fram en behandling av hans eller hennes uppgifter för att kunna framställa skadeståndskrav.

24.      Det ska följaktligen slås fast att den hänskjutande domstolen med den sjunde frågan avser det ”mönster” som TC påstås följa enligt Brillen Rottler, nämligen det förhållandet att samtycke ges till behandling av hans personuppgifter genom att han registrerar sig för ett nyhetsbrev för att kunna framställa en begäran om information och därefter skadeståndskrav. Sett ur detta perspektiv avser denna fråga tolkningen av artikel 12.5 andra meningen i dataskyddsförordningen, som avses i den första, den andra och den tredje frågan.

25.      Jag föreslår följaktligen att den första, den andra, den tredje och den sjunde frågan prövas gemensamt för att få klarhet i huruvida artikel 12.5 andra meningen i dataskyddsförordningen ska tolkas så, att en första begäran om information som enligt artikel 15 i förordningen riktas till en personuppgiftsansvarig kan anses vara ”orimlig” om

–        den registrerade har gett sitt samtycke till behandlingen av sina uppgifter för att kunna framställa denna begäran om information och därefter skadeståndskrav, och

–        det framgår av offentligt tillgänglig information att den registrerade i ett stort antal fall riktat skadeståndsanspråk mot personuppgiftsansvariga till följd av överträdelser av skyddet för personuppgifter.

2.      Bedömning

a)      Huruvida en första begäran om information är orimlig

26.      Enligt artikel 12.5 första meningen i dataskyddsförordningen ska ”[i]nformation som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 tillhandahållas kostnadsfritt”. Såsom domstolen påpekade i domen FT (Kopior av patientjournalen)(5) uppställs i denna bestämmelse en princip enligt vilken bland annat den registrerades rätt att få tillgång till personuppgifter rörande honom eller henne vilka är under behandling och till därmed sammanhängande information enligt artikel 15 i dataskyddsförordningen ska kunna utövas utan kostnad för den registrerade.

27.      I artikel 12.5 andra och tredje meningen i dataskyddsförordningen föreskrivs därefter två skäl som gör att en personuppgiftsansvarig antingen kan ta ut en rimlig avgift som täcker de administrativa kostnaderna eller vägra att tillmötesgå en begäran om information om han eller hon visar att begäranden från en registrerad är ”uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art”.

28.      Det framgår således av ordalydelsen i denna bestämmelse att en begäran om information inte endast kan vara ”orimlig” när flera begäranden om tillgång har framställts, eftersom den repetitiva arten endast anges som vägledning.

29.      Även om det enligt min mening således inte kan uteslutas att en första begäran om information kan anses vara orimlig, ansluter jag mig till den hänskjutande domstolens uppfattning att en personuppgiftsansvarig endast i undantagsfall kan åberopa att en sådan begäran är orimlig.

30.      För det första, i den mån det i artikel 12.5 andra meningen i dataskyddsförordningen fastställs ett undantag från principen om att rätten till tillgång ska utövas kostnadsfritt, ska den personuppgiftsansvariges rätt att ta ut en rimlig avgift eller att vägra att tillmötesgå en begäran om information enligt en allmän tolkningsprincip,(6) tolkas strikt.(7)

31.      Det ska för det andra erinras om den grundläggande betydelsen av den rätt till tillgång som föreskrivs i artikel 15 i dataskyddsförordningen har för att säkerställa insyn i hur personuppgifterna behandlas och följaktligen utövandet av många andra rättigheter som de registrerade har enligt denna förordning.(8) I artikel 8.2 andra meningen i stadgan om de grundläggande rättigheterna stadfästs dessutom principen att ”[v]ar och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem”. Utövandet av rätten till tillgång får följaktligen inte underställas alltför strikta villkor.(9)

32.      Denna rätt till tillgång är nödvändig för att möjliggöra för den registrerade att, i förekommande fall, kunna utöva sin rätt till rättelse, sin rätt till radering (”rätten att bli bortglömd”) och sin rätt till begränsning av behandling, vilka tillerkänns den registrerade i artiklarna 16, 17 respektive 18 i dataskyddsförordningen, liksom sin i artikel 21 i förordningen föreskrivna rätt att göra invändningar mot behandlingen av hans eller hennes personuppgifter, och sin rätt att föra talan till följd av skada, i enlighet med artiklarna 79 och 82 i nämnda förordning.(10)

33.      För det tredje anser jag att den exceptionella karaktären av rätten att ta ut en rimlig avgift eller att vägra att tillmötesgå en begäran om information enligt artikel 12.5 andra meningen i dataskyddsförordningen är förenlig med förordningens syfte. Såsom anges i skälen 10 och 11 i förordningen syftar denna, till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer inom unionen samt att stärka och precisera inte bara de registrerades rättigheter,(11) utan även de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter.

34.      Mot bakgrund av ovanstående anser jag att kriterierna för att en första begäran om information ska anses som ”orimlig” måste vara höga.

b)      Omständigheter som gör det möjligt att betrakta en begäran som ”orimlig”

35.      Det framgår av domen FT(12) att de två skäl för undantag från principen om avgiftsfrihet, bland annat utövandet av rätten till tillgång, avser fall av ”rättsmissbruk”.

36.      Domstolen klargjorde emellertid inte räckvidden av detta begrepp i den domen. Det var nämligen utrett i det målet att den registrerades begäran om information inte utgjorde ett rättsmissbruk.(13)

37.      Bakgrunden till domen FT var en begäran från en patient om att kostnadsfritt få en första kopia av sin patientjournal från sin tandläkare i syfte att framställa skadeståndsanspråk mot tandläkaren, eftersom fel påstods ha begåtts vid den medicinska behandlingen.(14) Patientens helt legitima avsikt var således att få tillgång till sina uppgifter för att i förekommande fall kunna utöva de rättigheter som följde av avtalet om medicinsk behandling i händelse av medicinsk felbehandling. Det var mot den bakgrunden som domstolen, på grundval av en bokstavstolkning, kontextuell tolkning och teleologisk tolkning av artikel 12.5 och artikel 15 i dataskyddsförordningen, drog slutsatsen att det inte var nödvändigt att åberopa något av de specifika skäl för begäran om information som anges i skäl 63 första meningen i dataskyddsförordningen och, bland annat, för att få kännedom om behandlingen av dessa uppgifter och kunna kontrollera att den är laglig.(15)

38.      Även om den berörda personen således inte kan vara skyldig att motivera sin begäran om information, innebär detta inte att dennes avsikt alltid kan lämnas utan avseende.

39.      I domen i målet Österreichische Datenschutzbehörde fann domstolen, på grundval av en bokstavstolkning, kontextuell tolkning och teleologisk tolkning av artikel 57.4 i dataskyddsförordningen, att det för att det ska kunna konstateras att klagomål är orimliga krävs att det, med stöd av samtliga relevanta omständigheter i det enskilda fallet, kan visas att det finns en otillbörlig avsikt hos den person som lämnat in klagomål till tillsynsmyndigheten.(16)

40.      Det kan noteras att artikel 57.4 och artikel 12.5 andra meningen i dataskyddsförordningen har samma lydelse och samma syfte, nämligen att föreskriva ett undantag från huvudregeln om att utförandet av tillsynsmyndigheternas uppgifter ska vara avgiftsfritt och särskilt utövandet av den registrerades rätt till tillgång. Jag anser följaktligen att den tolkning som anges i föregående punkt är analogt tillämplig på sistnämnda bestämmelse.(17)

41.      Härav följer att den personuppgiftsansvarige, för att kunna utnyttja rätten enligt artikel 12.5 andra meningen i dataskyddsförordningen att vägra att tillmötesgå en orimlig begäran om information – eller, i förekommande fall, att ta ut en rimlig avgift – i enlighet med tredje meningen i denna bestämmelse, mot bakgrund av alla relevanta omständigheter i varje begäran, måste visa att den registrerade hade en otillbörlig avsikt.

42.      Rättsmissbruk är en mekanism som verkar under de omständigheter som föreligger i det enskilda fallet. Det ankommer följaktligen på den nationella domstolen att pröva huruvida Brillen Rottler, med hänsyn till omständigheterna i förevarande fall, har visat att den begäran om information som TC framställt är orimlig.(18)

43.      EU-domstolens tolkningsuppgift består däremot i att klargöra huruvida vissa omständigheter omfattas av det övergripande rättsliga begreppet ”orimlig”.

44.      Den hänskjutande domstolen vill konkret få klarhet i huruvida en första begäran om information kan anses vara orimlig när, för det första, den registrerade följer ett ”mönster” som består i att medge behandling av hans eller hennes uppgifter och därefter framställa en begäran om information enbart – eller i synnerhet – för att framställa skadeståndskrav och, för det andra, det framgår av offentligt tillgänglig information att den registrerade i ett stort antal fall riktat skadeståndsanspråk mot personuppgiftsansvariga till följd av överträdelser av skyddet för personuppgifter.

45.      Domstolen har i detta avseende, i domen Österreichische Datenschutzbehörde, påpekat att artikel 57.4 i dataskyddsförordningen återspeglar vad som sedan länge gällt enligt praxis, nämligen att det finns en allmän rättsprincip som innebär att enskilda inte får åberopa unionsrättsliga bestämmelser på ett sätt som är bedrägligt eller utgör missbruk.(19) I denna rättspraxis föreskrivs en prövning i två steg som, för att det ska kunna fastställas att det är fråga om ett missbruk, kräver att ett objektivt och ett subjektivt rekvisit ska vara uppfyllt.(20) Som jag redan har påpekat,(21) är det, när det mål som eftersträvas med unionslagstiftningen vid första påseendet förefaller vara uppnått, emellertid lämpligt att inleda bedömningen inte med det objektiva rekvisitet utan med det subjektiva rekvisitet och således fastställa den berörda personens avsikt. Eftersom syftet med artikel 15 i dataskyddsförordningen är att säkerställa tillgång till de uppgifter, vilka är under behandling och till därmed sammanhängande information, förefaller detta syfte a priori vara uppfyllt i förevarande fall, eftersom TC framställde en begäran om information till de uppgifter som behandlades till följd av hans registrering för Brillen Rottlers nyhetsbrev.

46.      I domen Österreichische Datenschutzbehörde påpekade domstolen att vid tolkningen av begreppet ”orimligt” klagomål kan en otillbörlig avsikt vid utövandet av rätten att inge klagomål anses vara för handen ”om dessa ges in utan att detta objektivt sett är nödvändigt för att skydda den registrerades rättigheter enligt dataskyddsförordningen”.(22) Om en registrerad inger ett stort antal klagomål till en tillsynsmyndighet, så ankommer det på denna myndighet att visa att ”antalet klagomål inte motiveras av den registrerades vilja att få sina rättigheter enligt dataskyddsförordningen skyddade, utan av något annat syfte som saknar samband med uppgiftsskydd”.(23)

47.      För att återgå till rätten till tillgång och, för det första, den registrerades avsikt att ”provocera fram” en rätt till ersättning genom att framställa en begäran om information, kan, såsom framgår av skäl 63 i dataskyddsförordningen, noteras att det kan vara helt legitimt och förenligt med de mål som eftersträvas med artikel 15 i dataskyddsförordningen att exempelvis framställa en begäran om information i syfte att kontrollera huruvida den personuppgiftsansvarige har behandlat uppgifterna på ett olagligt sätt.(24) Såsom framgår av punkt 32 i förevarande förslag till avgörande är rätten till tillgång dessutom nödvändig för att den registrerade, i förekommande fall, även ska kunna utöva sin rätt till ersättning.

48.      För det andra kan noteras att motiveringen till den sjunde frågan, avseende den registrerades avsikt att ”provocera fram” behandling av hans personuppgifter enbart – eller i synnerhet – i syfte att erhålla ersättning, är mycket kortfattad. Denna motivering syftar snarare till antagandet att den registrerades verkliga avsikt med sitt samtycke till behandling av hans uppgifter skulle vara att ”upptäcka” en överträdelse av dataskyddsförordningen genom att framställa en begäran om information i syfte att därefter framställa skadeståndsanspråk.

49.      Med hänsyn till detta antagande förefaller det mig som om den registrerade, genom att framställa en begäran om information efter att ha lämnat sitt samtycke till behandlingen av hans uppgifter, i själva verket inte vill få tillgång till dessa uppgifter eller den information som avses i artikel 15 i dataskyddsförordningen, utan i stället vill utnyttja den redan från början gynnsamma utformningen för registrerade av de rättigheter och skyldigheter som följer av denna förordning för andra ändamål än att skydda hans personuppgifter.

50.      Detta kan särskilt vara fallet när den registrerades avsikt just är att förmå den personuppgiftsansvarige att vägra att tillmötesgå begäran om information för att kunna kräva omedelbar betalning av ersättning, eventuellt under hot om att talan om ersättning i annat fall kommer att väckas vid domstol. Mot bakgrund av dessa omständigheter anser jag att en sådan avsikt utgör rättsmissbruk och inte bör skyddas genom dataskyddsförordningen. De exempel på fall av rättsmissbruk som nämns i Europeiska dataskyddsstyrelsen riktlinjer om skydd för personuppgifter pekar också i denna riktning.(25)

51.      För det tredje, vad gäller den omständigheten att det av offentligt tillgänglig information framgår att den registrerade i ett stort antal fall riktat skadeståndsanspråk mot personuppgiftsansvariga till följd av överträdelser av skyddet för personuppgifter, anser jag att detta i sig, i avsaknad av annan bevisning, inte är tillräckligt för att visa att det föreligger en otillbörlig avsikt. I artikel 82 i dataskyddsförordningen tillerkänns just uttryckligen en rätt till ersättning för skada vid överträdelse av denna förordning, varför utövandet av denna rätt inte kan anses utgöra rättsmissbruk.

52.      Det kan noteras att domstolen i domen Österreichische Datenschutzbehörde inte heller ansåg att enbart antalet begäranden var ett tillräckligt kriterium för att fastställa att det var fråga om en ”orimlig” begäran. Domstolen kom fram till denna slutsats genom att tolka detta begrepp med beaktande av det specifika sammanhanget för de uppgifter som tillsynsmyndigheterna utförde för att säkerställa en hög skyddsnivå för personuppgifter.(26) De objektiva omständigheter som ska beaktas är således enligt min mening inte desamma för klagomål och begäranden om information, eftersom begäranden om information inte är riktade till tillsynsmyndigheten.

53.      I detta avseende vill jag påpeka att den personuppgiftsansvarige måste visa att det finns en otillbörlig avsikt vid en tvist i domstol eller vid ett klagomål till tillsynsmyndigheten, det vill säga efter det att denna har vägrat att tillmötesgå den registrerades begäran. Det är emellertid i det skede då den registrerade framställer en begäran om information som den ansvarige ska bedöma huruvida avsikten hos den person som framställer begäran om information, i förekommande fall, är otillbörlig.

54.      För att mot bakgrund av alla relevanta omständigheter i det enskilda fallet visa den registrerades otillbörliga avsikt bör den personuppgiftsansvarige därför i synnerhet kunna grunda sig på syftet med begäran om information, den tid som förflutit mellan samtycket till behandling och begäran, antalet och arten av de personuppgifter som omfattas av begäran och den verksamhet inom ramen för vilken uppgifterna, i förekommande fall, behandlas.(27)

55.      Mot bakgrund av det ovan anförda föreslår jag att den första, den andra, den tredje och den sjunde frågan ska besvaras enligt följande. Artikel 12.5 andra meningen i dataskyddsförordningen ska tolkas, så

–        att en första begäran om information, som enligt artikel 15 i dataskyddsförordningen riktas till en personuppgiftsansvarig, kan anses vara ”orimlig” om den personuppgiftsansvarige, med beaktande av samtliga relevanta omständigheter i det enskilda fallet, visar att det finns en otillbörlig avsikt hos den registrerade, som kan fastställas om den registrerade har lämnat sitt samtycke till behandling av sina personuppgifter för att kunna framställa denna begäran om information och därefter skadeståndskrav, och

–        att enbart den omständigheten att det av offentligt tillgängliga uppgifter framgår att den registrerade i ett stort antal fall riktat skadeståndsanspråk mot den personuppgiftsansvarige till följd av överträdelser av skyddet för personuppgifter inte är tillräcklig för att en sådan begäran ska anses vara ”orimlig”.

B.      Den fjärde, den femte och den sjätte frågan

1.      Ordningen för bedömningen av frågorna och omformuleringen av dessa

56.      Det ska inledningsvis påpekas att Brillen Rottler, för det fall den hänskjutande domstolen skulle finna att begäran om information var orimlig, i den mening som avses i artikel 12.5 andra meningen i dataskyddsförordningen, faktiskt skulle ha rätt att vägra att tillmötesgå denna begäran. I det fallet kan TC inte vinna framgång med sitt argument att artikel 15 i dataskyddsförordningen har åsidosatts för att få en rätt till ersättning enligt artikel 82 i denna förordning.

57.      Det är mot denna bakgrund som den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 4.2 i dataskyddsförordningen ska tolkas så, att en begäran om information från en registrerad som riktas till den personuppgiftsansvarige enligt artikel 15.1 i dataskyddsförordningen, och/eller svaret på en sådan begäran, utgör behandling, i den mening som avses i artikel 4.2 i dataskyddsförordningen.

58.      Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att endast skada som den registrerade lider eller har lidit till följd av en behandling av hans eller hennes personuppgifter är ersättningsgill. Om frågan besvaras jakande, vill den hänskjutande domstolen med sin sjätte fråga få klarhet i huruvida artikel 82.1 i förordningen inte ger den registrerade rätt till ersättning för den skada som uppkommer enbart till följd av att den rätt till tillgång som föreskrivs i artikel 15.1 i förordningen har åsidosatts.

59.      Vad beträffar den femte frågan är den enligt min mening en förutsättning för den fjärde och den sjätte frågan. Det är nämligen endast för det fall ansvar för skada enligt artikel 82.1 i dataskyddsförordningen är underkastat villkoret att skadan ska ha uppkommit ”till följd av” en behandling, i den mening som avses i artikel 4.2 i förordningen, som det ska klargöras huruvida detta villkor är uppfyllt vid en överträdelse av rätten till tillgång enligt artikel 15.1 i förordningen.

60.      Jag kommer följaktligen först att pröva den femte frågan och därefter, i förekommande fall, den fjärde och den sjätte frågan gemensamt, för att avgöra huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att en skada som uppkommer till följd av en överträdelse av rätten till tillgång har ”orsakats av en behandling” av uppgifterna.

2.      Bedömning

a)      Den skadevållande händelsen, i den mening som avses i artikel 82 i dataskyddsförordningen

61.      Enligt artikel 82.1 i dataskyddsförordningen ska ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning … ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”(28).

62.      Domstolen har vid upprepade tillfällen tolkat denna bestämmelse på så sätt att enbart den omständigheten att dataskyddsförordningen har åsidosatts inte är tillräcklig i sig för att ge den registrerade rätt till ersättning på denna grund, eftersom tre kumulativa villkor måste vara uppfyllda för att denna rätt ska kunna göras gällande, nämligen att det ska föreligga en materiell eller immateriell ”skada”, en överträdelse av bestämmelserna i denna förordning och ett orsakssamband mellan denna skada och denna överträdelse.(29)

63.      Den hänskjutande domstolen hyser emellertid tvivel beträffande skäl 146 i dataskyddsförordningen, i vilket det anges att den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Det ska konstateras att detta skäl, såsom ofta är fallet,(30) även kommer till uttryck i själva texten till denna förordning, nämligen artikel 82.2 i nämnda förordning, i vilken det bland annat föreskrivs att varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning.

64.      I punkt 3 i denna bestämmelse föreskrivs dessutom att en personuppgiftsansvarig eller personuppgiftsbiträde, beroende på omständigheterna i det enskilda fallet, ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

65.      Dessa bestämmelser är svåra att förstå vad gäller förhållandet dem emellan och räckvidden av artikel 82 i dataskyddsförordningen.

66.      Med hänsyn till ordalydelsen i artikel 82 i dataskyddsförordningen skulle emellertid tolkningen kunna göras att, till skillnad från vad som föreskrivs i punkt 1 i denna artikel, överträdelser av denna förordning inte ger upphov till en rätt till ersättning för den skada som överträdelsen har orsakat, utan skadan måste mer specifikt ha orsakats av en behandling av personuppgifter som strider mot denna förordning, såsom anges i punkt 2 i samma artikel.

67.      Detta förefaller mig vara den tolkning den som domstolen har gjort i flera domar, med början i domen Österreichische Post (Ideell skada på grund av behandling av personuppgifter).(31) Det ska emellertid preciseras att i de mål som gav upphov till dessa domar hade en behandling av de registrerades uppgifter faktiskt ägt rum, vilket innebar att frågan om behovet av en behandling som orsakade skadan saknade relevans.

68.      Bakgrunden, målen och det sammanhang i vilket artikel 82 i dataskyddsförordningen talar emellertid enligt min mening mot en restriktiv tolkning av begreppet ”skadevållande händelse” som en behandling av uppgifter som strider mot förordningen, och inte som en överträdelse av denna.

69.      För det första noterar jag att motsvarande bestämmelse i direktiv 95/46/EG(32), nämligen artikel 23, ålade medlemsstaterna att föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.

70.      Unionslagstiftaren har således i artikel 82 i dataskyddsförordningen dels preciserat arten av den skada som uppkommit (materiell eller immateriell), dels infört bestämmelser om personuppgiftsbiträdets ansvar, vilket inte reglerades i artikel 23 i direktiv 95/46.

71.      Om artikel 82.1 i dataskyddsförordningen skulle tolkas på det sätt som anges i punkt 66 i förevarande förslag till avgörande, så innebär detta att unionslagstiftaren, i förhållande till nämnda direktiv, har begränsat omfattningen av ansvaret för skadan i dataskyddsförordningen till att endast avse en otillåten handling bestående i en behandling av personuppgifter i strid med denna förordning. Jag anser emellertid att om lagstiftaren hade haft för avsikt att sänka nivån på skyddet för uppgifter inom ramen för en privat tillämpning (private enforcement) enligt nämnda förordning, så skulle detta ha avspeglats tydligare i själva texten till förordningen.

72.      För det andra skulle det förhållandet att skyddsnivån undergrävs strida mot målet med dataskyddsförordningen att stärka och specificera de registrerades rättigheter, särskilt genom att förstärka verktygen för att säkerställa verkan av bestämmelserna i denna förordning.(33)

73.      Enligt min mening talar därför bakgrunden till och syftet med den lagstiftning som artikel 82 i dataskyddsförordningen ingår i för att punkt 2 i den artikeln inte ska läsas som en begränsning av punkt 1 utan som en kompletterande regel. Enligt min mening föreligger således en rätt till ersättning om den skada som uppkommer antingen härrör från en behandling av uppgifter som strider mot denna förordning eller från en annan överträdelse av denna förordning, förutsatt att det kan visas att en sådan skada föreligger.

74.      Denna tolkning är även förenlig med den slutsats som domstolen har dragit av en jämförelse mellan de olika reglerna i punkterna 1–3 i artikel 82 i dataskyddsförordningen, mot bakgrund av det sammanhang i vilket denna bestämmelse ingår och de mål som eftersträvas med denna förordning, nämligen att det i denna artikel föreskrivs ett system för ansvar vid fel enligt vilket bevisbördan åvilar den personuppgiftsansvarige.(34) Eftersom artikel 82.2 i förordningen enligt min mening kompletterar artikel 82.1, innehåller hänvisningen till denna artikel 82.2 i artikel 82.3, enligt vilken bevisbördan läggs på den personuppgiftsansvarige, underförstått även en hänvisning till artikel 83.1. Samma regler gäller således oavsett om skadan följer av en överträdelse av dataskyddsförordningen eller, mer specifikt, av en behandling som strider mot denna förordning.

75.      För det tredje bekräftas denna slutsats av den omständigheten att domstolen snarare har gjort en vid tolkning av andra bestämmelser i dataskyddsförordningen, vilka, i likhet med artikel 82 i förordningen, återfinns i kapitel VIII i förordningen, med rubriken ”Rättsmedel, ansvar och sanktioner”, och hänvisar till en kränkning av de rättigheter som följer av förordningen ”som en följd av behandlingen”. Vad gäller artikel 80.2 i samma förordning, som reglerar rätten att väcka grupptalan, oberoende av en registrerads mandat, tolkade domstolen denna bestämmelse så, att det krävs ett påstående om att åsidosättandet av de rättigheter som följer av dataskyddsförordningen ”är en följd av” behandlingen.(35)

76.      Dessutom föreskrivs i artikel 79.1 i dataskyddsförordningen att varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ska ha rätt till ett effektivt rättsmedel. Enligt domstolens praxis ska de konkreta formerna för att använda detta rättsmedel fastställas i enlighet med ett effektivt domstolsskydd,(36) vilket även framgår av skäl 141 i samma förordning. Syftet med ett effektivt domstolsskydd för de rättigheter som följer av dataskyddsförordningen talar enligt min mening mot en restriktiv tolkning av villkoren för att använda detta rättsmedel, däribland kränkning av den registrerades rättigheter ”som en följd av en behandling”.(37)

77.      Mot bakgrund av det ovan anförda föreslår jag att den femte frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att den skada som den registrerade lider eller har lidit till följd av en överträdelse av denna förordning är ersättningsgill, även om denna skada inte har orsakats av en behandling av den registrerades personuppgifter.

b)      Begreppet behandling i samband med rätten till ersättning

78.      Med hänsyn till mitt förslag till svar på den femte frågan saknas anledning att besvara den fjärde och den sjätte frågan. För det fall domstolen inte skulle följa denna tolkning och anse att skadan nödvändigtvis måste ha orsakats av en behandling av uppgifter som utgör en överträdelse dataskyddsförordningen, kommer jag emellertid att undersöka i vilken utsträckning det villkor som anges i den femte frågan(38) skulle vara uppfyllt vid en överträdelse av rätten till tillgång i en situation som den i förevarande mål, i syfte att ge ett förslag till svar på dessa två frågor.

79.      Det ska för det första erinras om att det i artikel 2.1 i dataskyddsförordningen föreskrivs att denna förordning ska tillämpas på ”behandling” av personuppgifter. Det har klargjorts att detta begrepp, som i artikel 4.2 i nämnda förordning definieras som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej”, har en vid innebörd.(39)

80.      För det andra, med hänsyn till begreppets vida innebörd, uppkommer enligt min mening i de allra flesta fall inte ens frågan huruvida en överträdelse av dataskyddsförordningen, som medför ansvar enligt artikel 82 i förordningen, är en följd av behandling av personuppgifter. Denna slutsats är emellertid inte uppenbar när det gäller åsidosättandet av rätten till tillgång enligt artikel 15.1 i förordningen.

81.      Det ska erinras om att det i artikel 15.1 i dataskyddsförordningen föreskrivs att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till dessa uppgifter och den information som anges i denna bestämmelse. I skäl 60 i förordningen anges dessutom att principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den.

82.      Härav följer att artikel 15 i dataskyddsförordningen, såsom kommissionen i huvudsak har gjort gällande, syftar till att göra det möjligt för den registrerade att informera sig om den behandling av hans eller hennes personuppgifter som den personuppgiftsansvarige har utfört eller inte har utfört. Det förhållandet att en begäran om tillgång till dessa uppgifter riktas till den personuppgiftsansvarige utgör således inte en ”behandling” som omfattas av denna förordning, i den mening som avses i artikel 4.2 i förordningen.

83.      Det ska för det tredje understrykas att förevarande mål rör beslutet av den personuppgiftsansvarige, som tillhandahöll det nyhetsbrev som TC hade registrerat sig för, att inte tillmötesgå TC:s begäran om information. För att besvara en sådan begäran (jakande eller nekande) använder den personuppgiftsansvarige nödvändigtvis vissa av sökandens personuppgifter, åtminstone en fysisk eller elektronisk adress eller ett telefonnummer (om svar ges per telefon/fax) som är knutet till sökandens namn. Användningen av dessa uppgifter utgör en separat behandling på vilken dataskyddsförordningen är tillämplig.(40)

84.      Jag anser emellertid att det inte är den behandling av uppgifterna som utförs för att tillkännage denna vägran, som vållar skada, utan den omotiverade vägran att tillmötesgå begäran om tillgång.

85.      Såsom kommissionen med rätta har gjort gällande skulle det rättsliga skyddet för rätten till tillgång, som är av strukturell betydelse i dataskyddsförordningens system, således begränsas avsevärt om en sådan överträdelse av rätten till tillgång inte kunde ge upphov till en rätt till ersättning.

86.      För att säkerställa de mål som eftersträvas med dataskyddsförordningen, vilka anges i punkterna 33 och 72 i detta förslag till avgörande, och för att säkerställa den ändamålsenliga verkan av rätten till tillgång, anser jag följaktligen att villkoret i artikel 82.2 i förordningen, avseende den behandling som orsakat skadan, ska tolkas extensivt, om det är tvingande. En sådan lösning skulle innebära att begreppet orsakssamband, i den mening som avses i artikel 82 i förordningen, ges en vid innebörd. Ett argument för denna tolkning, i samband med rättsmedel, är att en restriktiv tolkning av villkoren för att använda dessa rättsmedel, skulle strida mot syftet att säkerställa ett effektivt domstolsskydd för de rättigheter som följer av dataskyddsförordningen.(41)

c)      Förekomsten av immateriell skada

87.      Vad gäller den tolkning av begreppet ”skadevållande händelse” som jag föreslår, vill jag precisera att den inte på något sätt påverkar de övriga villkor som måste vara uppfyllda för att en rätt till ersättning enligt artikel 82 i dataskyddsförordningen ska kunna göras gällande vid en överträdelse av artikel 15 i dataskyddsförordningen. En person som berörs av en sådan överträdelse av dataskyddsförordningen måste visa att de negativa konsekvenser som vederbörande har haft utgör en immateriell skada, i den mening som avses i artikel 82 i förordningen, eftersom enbart en överträdelse av förordningens bestämmelser inte räcker för att ge rätt till ersättning.(42)

88.      Det svar som jag föreslår på den femte frågan kommer dessutom att kräva ett svar på den åttonde frågan, som avser den immateriella skada som är ersättningsgill på grund av att kontrollen över personuppgifterna har gått förlorad till följd av en överträdelse av artikel 15.1 i dataskyddsförordningen eller på grund av att det råder osäkerhet om den eventuella behandlingen av dessa uppgifter.

89.      Även om den åttonde frågan inte är föremål för förevarande förslag till avgörande, vill jag i detta avseende påpeka att domstolen vid upprepade tillfällen har slagit fast att förlusten av kontroll över personuppgifter, även under en kort tidsperiod, kan utgöra en ”immateriell skada”, i den mening som avses i artikel 82.1 i dataskyddsförordningen, som ger rätt till ersättning under förutsättning att personen i fråga visar att han eller hon faktiskt har lidit en sådan skada,(43) utan att det krävs någon ” tröskelnivå”.(44)

90.      Domstolen har emellertid även slagit fast att en nationell domstol, vid en konstaterad skada, om skadan inte är allvarlig, kan kompensera skadan genom att bestämma ersättningen till den registrerade till ett endast ringa belopp. Detta gäller dock under förutsättning att denna ersättning fullt ut kompenserar den uppkomna skadan.(45)

91.      I förevarande fall har TC yrkat ersättning på 1 000 euro för den immateriella skada som han anser sig ha lidit till följd av den påstådda förlusten av kontroll över de personuppgifter som han angett i registreringsformuläret i Brillen Rottlers nyhetsbrev tretton dagar innan begäran om information framställdes. Det ankommer på den hänskjutande domstolen att pröva huruvida TC har visat att en eventuell överträdelse av rätten till tillgång har haft negativa konsekvenser för honom och att dessa konsekvenser utgör immateriell skada, i den mening som avses i artikel 82 i dataskyddsförordningen.

V.      Förslag till avgörande

92.      Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar tolkningsfrågorna 1–7 från Amtsgericht Arnsberg (Distriktsdomstolen i Arnsberg, Tyskland) på följande sätt:

1)      Artikel 12.5 andra meningen i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG

ska tolkas så,

–        att en första begäran om information, som enligt artikel 15 i förordning 2016/679 riktas till en personuppgiftsansvarig, kan anses vara ”orimlig” om den personuppgiftsansvarige, med beaktande av samtliga relevanta omständigheter i det enskilda fallet, visar att det finns en otillbörlig avsikt hos den registrerade, som kan fastställas om den registrerade har lämnat sitt samtycke till behandling av sina personuppgifter för att kunna framställa denna begäran om information och därefter skadeståndskrav, och

–        att enbart den omständigheten att det av offentligt tillgängliga uppgifter framgår att den registrerade i ett stort antal fall riktat skadeståndsanspråk mot den personuppgiftsansvarige till följd av överträdelser av skyddet för personuppgifter inte är tillräcklig för att en sådan begäran ska anses vara ”orimlig”.

2)      Artikel 82.1 i förordning 2016/679

ska tolkas så,

att den skada som den registrerade lider eller har lidit till följd av en överträdelse av denna förordning är ersättningsgill, även om denna skada inte har orsakats av en behandling av den registrerades personuppgifter.

1      Originalspråk: franska.

2      Se Basedow, J., EU Private Law – Anatomy of a Growing Legal Order, Intersentia, Cambridge, 2021, punkterna 98 och 99.

3      Se, till exempel, i fråga om konsumentkreditavtal, dom av den 21 december 2023, BMW Bank m.fl. (C‑38/21, C‑47/21 och C‑232/21, EU:C:2023:1014, punkterna 280–282 och där angiven rättspraxis).

4      Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).

5      Dom av den 26 oktober 2023 (C‑307/22, EU:C:2023:811, punkt 31) (nedan kallad domen FT).

6      Se, för ett liknande resonemang, dom av den 30 april 2025, Generalstaatsanwaltschaft Frankfurt am Main (Export av kontanta medel till Ryssland) (C‑246/24, EU:C:2025:295, punkt 27 och där angiven rättspraxis).

7      Se, analogt, med avseende på artikel 57.4 i dataskyddsförordningen, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran) (C‑416/23, EU:C:2025:3, punkterna 33 och 48) (nedan kallad domen Österreichische Datenschutzbehörde).

8      Se, för ett liknande resonemang, dom av den 22 juni 2023, Pankki S (C‑579/21, EU:C:2023:501, punkt 59).

9      Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Richard de la Tour i målet Österreichische Datenschutzbehörde (Orimlig begäran) (C‑416/23, EU:C:2024:701, punkt 62).

10      Dom av den 27 februari 2025, Dun & Bradstreet Austria m.fl. (C‑203/22, EU:C:2025:117, punkt 54 och där angiven rättspraxis).

11      Se, för ett liknande resonemang, domen FT (punkt 47), och domen Österreichische Datenschutzbehörde (punkt 38).

12      Punkt 31.

13      Punkterna 31 och 32.

14      Punkterna 18 och 23.

15      Domen FT (punkterna 35–51 och, särskilt punkterna 38, 43, 50 och 51). Domstolen bekräftade denna tolkning i sitt beslut av den 27 maj 2024, Addiko Bank (C‑312/23, EU:C:2024:458), angående en banks vägran att till sina kunder, av vilka vissa övervägde att inge klagomål eller väcka talan vid domstol mot banken, lämna ut kopior av de kredithandlingar som rörde dem.

16      Se, för ett liknande resonemang, domen Österreichische Datenschutzbehörde (punkt 50).

17      Domstolen har redan i punkt 48 i domen Österreichische Datenschutzbehörde tillämpat tolkningen i punkt 31 i domen FT analogt.

18      Se, angående hänvisningen till den hänskjutande domstolen, dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter) (C‑154/21, EU:C:2023:3, punkt 50).

19      Domen Österreichische Datenschutzbehörde (punkt 49).

20      Se, till exempel, i privaträttsliga mål, dom av den 21 december 2023, BMW Bank m.fl. (C‑38/21, C‑47/21 och C‑232/21, EU:C:2023:1014, punkterna 284 och 285 och där angiven rättspraxis), och dom av den 19 september 2024, Matmut (C‑236/23, EU:C:2024:761, punkt 54).

21      Se mitt förslag till avgörande i målet Matmut (C‑236/23, EU:C:2024:560, punkt 67).

22      Domen Österreichische Datenschutzbehörde (punkt 50).

23      Se, för ett liknande resonemang, domen Österreichische Datenschutzbehörde (punkt 56).

24      Se, bland annat, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF (C‑487/21, EU:C:2023:369, punkterna 33–35).

25      Nämligen när registrerade använder rätten till tillgång på ett orimligt sätt i det enda syftet att skada den personuppgiftsansvarige eller när en person framställer en begäran men samtidigt erbjuder sig att dra tillbaka den i utbyte mot någon form av prestation från den personuppgiftsansvariges sida; se Europeiska dataskyddsstyrelsens riktlinjer 01/2022 om registrerades rättigheter – Rätten till tillgång, version 2.1, som antogs den 28 mars 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_fr, punkterna 188 och 190.

26      Se, för ett liknande resonemang, domen Österreichische Datenschutzbehörde (punkterna 51–57).

27      Se, även, de exempel som återfinns i Europeiska dataskyddsstyrelsens riktlinjer 01/2022 om registrerades rättigheter – Rätten till tillgång, version 2.1, som antogs den 28 mars 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_fr, punkterna 13, 185, 188 och 190.

28      Min kursivering.

29      Se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) (C‑300/21, EU:C:2023:370, punkterna 32–34), och, senast, dom av den 4 oktober 2024, Patērētāju tiesību aizsardzības centrs (C‑507/23, EU:C:2024:854, punkt 24).

30      Se, i detta avseende, mitt förslag till avgörande i de förenade målen X och Visser (C‑360/15 och C‑31/16, EU:C:2017:397, punkt 132).

31      I punkt 36 i dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) (C‑300/21, EU:C:2023:370), slog domstolen fast att ”I artikel 82.2 i dataskyddsförordningen, som innehåller reglerna för det ansvarssystem vars princip fastställs i punkt 1 i denna artikel, återges … de tre nödvändiga villkoren för att ge rätt till ersättning. Dessa är en personuppgiftsbehandling som utförs i strid med bestämmelserna i dataskyddsförordningen, en skada som den registrerade har lidit samt ett orsakssamband mellan den otillåtna behandlingen och skadan” (min kursivering). Denna tolkning upprepades i punkt 159 i domen av den 4 oktober 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827). Se även dom av den 21 december 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, punkterna 92–97), i vilken det inte tycks göras någon åtskillnad mellan överträdelser av dataskyddsförordningen och den behandling som utgör en överträdelse av denna förordning.

32      Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

33      Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Österreichische Post (Ideell skada på grund av behandling av personuppgifter) (C‑300/21, EU:C:2022:756, punkt 41).

34      Dom av den 21 december 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, punkterna 94 och 95).

35      Se dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan) (C‑757/22, EU:C:2024:598, punkterna 40 och 42 samt 59–64), i vilken domstolen tolkade kravet på kränkning av en registrerad persons rättigheter ”som en följd av behandlingen” mot bakgrund av den preventiva funktionen som grupptalan har. Se även dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) (C‑300/21, EU:C:2023:370, punkt 39), enligt vilken ”det i artiklarna 77 och 78 i dataskyddsförordningen, vilka ingår i [kapitel VIII], föreskrivs rättsmedel till eller mot en tillsynsmyndighet vid en påstådd överträdelse av förordningen …”.

36      Se, senast, dom av den 30 april 2025, Inspektorat kam Visshia sadeben savet (C‑313/23, C‑316/23 och C‑332/23, EU:C:2025:303, punkt 136 och där angiven rättspraxis).

37      Se, för ett liknande resonemang, Martini, M., ”Article 79”, DSGVO BDSG, i Paal, B.P., och Pauly, D.A (utg.), 3:e uppl., München, 2021, punkt 22a.

38      Det vill säga villkoret att den registrerades personuppgifter ska behandlas.

39      Se senast dom av den 3 april 2025, Ministerstvo zdravotnictví (Uppgifter om en juridisk persons företrädare) (C‑710/23, EU:C:2025:231, punkt 27).

40      Såsom den hänskjutande domstolen och kommissionen med rätta har påpekat är behandlingen av den registrerades personuppgifter i syfte att besvara en begäran om information som framställts enligt artikel 15 i dataskyddsförordningen laglig, i den mening som avses i artikel 6.1 c och 6.3 i förordningen, oavsett om den personuppgiftsansvarige redan har behandlat den registrerades uppgifter eller inte. Denna behandling är i själva verket nödvändig, i den mening som avses i ovannämnda bestämmelser, för att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av enligt unionsrätten.

41      Se vad gäller artikel 79 i dataskyddsförordningen, Martini, M., ”Artikel 79”, DSGVO BDSG, i Paal, B.P., och Pauly, D.A (utg.), 3:e uppl., München, 2021, punkt 22a.

42      Dom av den 4 oktober 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, punkt 142 och där angiven rättspraxis).

43      Se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) (C‑300/21, EU:C:2023:370, punkterna 32–36), dom av den 20 juni 2024, PS (Felaktig adress) (C‑590/22, EU:C:2024:536, punkt 33), och dom av den 4 september 2025, Quirin Privatbank (C‑655/23, EU:C:2025:655, punkterna 62 och 64).

44      Se, för ett liknande resonemang, dom av den 14 december 2023, Gemeinde Ummendorf (C‑456/22, EU:C:2023:988, punkt 18), dom av den 20 juni 2024, Scalable Capital (C‑182/22 och C‑189/22, EU:C:2024:531, punkt 44), och dom av den 4 oktober 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, punkt 149).

45      Dom av den 20 juni 2024, Scalable Capital (C‑182/22 och C‑189/22, EU:C:2024:531, punkt 46).