Arrest van het Hof (Derde kamer) van 11 april 2024

Gegevens

Instantie: Hof van Justitie EU

Datum uitspraak: 11 april 2024

Uitspraak

Arrest van het Hof (Derde kamer)

11 april 2024^(*)

"„Prejudiciële verwijzing - Bescherming van natuurlĳke personen in verband met de verwerking van persoonsgegevens - Verordening (EU) 2016/679 - Artikel 82 - Recht op vergoeding van de schade die veroorzaakt is door een in strijd met deze verordening verrichte gegevensverwerking - Begrip immateriële schade - Invloed van de ernst van de geleden schade - Aansprakelijkheid van de verwerkingsverantwoordelijke - Eventuele vrijstelling in geval van verzuim door een persoon die onder zijn gezag handelt in de zin van artikel 29 - Berekening van het bedrag van de vergoeding - Niet-toepasselijkheid van de in artikel 83 neergelegde criteria voor administratieve geldboeten - Berekening in geval van veelvuldige schendingen van voormelde verordening”"

In zaak C‑741/21,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Landgericht Saarbrücken (rechter in eerste aanleg Saarbrücken, Duitsland) bij beslissing van 22 november 2021, ingekomen bij het Hof op 1 december 2021, in de procedure

GP

tegen

juris GmbH,

HET HOF (Derde kamer),

samengesteld als volgt: K. Jürimäe, kamerpresident, N. Piçarra en N. Jääskinen (rapporteur), rechters,

advocaat-generaal: M. Campos Sánchez-Bordona,

griffier: A. Calot Escobar,

gezien de stukken,

gelet op de opmerkingen van:
- GP, vertegenwoordigd door H. Schöning, Rechtsanwalt,
- juris GmbH, vertegenwoordigd door E. Brandt en C. Werkmeister, Rechtsanwälte,
- Ierland, vertegenwoordigd door M. Browne, Chief State Solicitor, A. Joyce en M. Lane als gemachtigden, bijgestaan door D. Fennelly, BL,
- de Europese Commissie, vertegenwoordigd door A. Bouchagiar, M. Heller en H. Kranenborg als gemachtigden,

gelet op de beslissing, de advocaat-generaal gehoord, om de zaak zonder conclusie te berechten,

het navolgende

Arrest

1 Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 82, leden 1 en 3, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2021, L 74, blz. 35; hierna: „AVG”), gelezen in samenhang met de artikelen 29 en 83 van deze verordening en in het licht van de overwegingen 85 en 146 ervan.

2 Dit verzoek is ingediend in het kader van een geding tussen GP – een natuurlijke persoon – en juris GmbH – een in Duitsland gevestigde vennootschap – over de vergoeding van de schade die GP stelt te hebben geleden ten gevolge van verschillende verwerkingen van zijn persoonsgegevens die ten behoeve van direct marketing zijn verricht, hoewel hij daartegen meermaals bezwaar heeft gemaakt bij de vennootschap.

Toepasselijke bepalingen

3 In de overwegingen 85, 146 en 148 AVG staat te lezen:

„(85) Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. [...]
[...]
(146) De verwerkingsverantwoordelijke of de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Het begrip ‚schade’ moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere regels in het Unierecht of het lidstatelijke recht onverlet. [...] De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen. [...]
[...]
(148) Met het oog op een krachtiger handhaving van de regels van deze verordening dienen straffen, met inbegrip van administratieve geldboeten, te worden opgelegd voor elke inbreuk op de verordening [...]. Er dient evenwel rekening te worden gehouden met de aard, de ernst en de duur van de inbreuk, met het opzettelijke karakter van de inbreuk, met schadebeperkende maatregelen, met de mate van verantwoordelijkheid, of met eerdere relevante inbreuken, met de wijze waarop de inbreuk ter kennis van de toezichthoudende autoriteit is gekomen, met de naleving van de maatregelen die werden genomen tegen de verwerkingsverantwoordelijke of de verwerker, met de aansluiting bij een gedragscode en met alle andere verzwarende of verzachtende factoren. [...]”

4 Artikel 4 van deze verordening, met als opschrift „Definities”, luidt:

„Voor de toepassing van deze verordening wordt verstaan onder:

‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); [...]

[...]

‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; [...]

[...]

‚inbreuk in verband met persoonsgegevens’: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

[...]”

5 Artikel 5 AVG noemt een reeks beginselen inzake de verwerking van persoonsgegevens.

6 Hoofdstuk III AVG, met als opschrift „Rechten van de betrokkene”, bevat artikel 21 („Recht van bezwaar”), dat in lid 3 het volgende bepaalt:

„Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.”

7 Hoofdstuk IV van deze verordening, met als opschrift „Verwerkingsverantwoordelijke en verwerker”, omvat de artikelen 24 tot en met 43.

8 Artikel 24 van die verordening heeft als opschrift „Verantwoordelijkheid van de verwerkingsverantwoordelijke” en bepaalt in de leden 1 en 2 het volgende:

„1.
Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.
Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

9 Artikel 25 AVG heeft als opschrift „Gegevensbescherming door ontwerp en door standaardinstellingen” en bepaalt in lid 1:

„Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.”

10 Artikel 29 AVG, „Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker”, bepaalt:

„De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.”

11 Artikel 32 van deze verordening heeft als opschrift „Beveiliging van de verwerking” en luidt:

„1.
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
[...]

het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

[...]
2.
Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
[...]
4.
De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.”

12 Hoofdstuk VIII AVG („Beroep, aansprakelijkheid en sancties”) omvat de artikelen 77 tot en met 84.

13 Artikel 79 van deze verordening heeft als opschrift „Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker”, en bepaalt in lid 1:

„Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.”

14 In artikel 82 van die verordening, met als opschrift „Recht op schadevergoeding en aansprakelijkheid”, staat in de leden 1 tot en met 3 te lezen:

„1.
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
2.
Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. [...]
3.
Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.”

15 Artikel 83 AVG, met als opschrift „Algemene voorwaarden voor het opleggen van administratieve geldboeten”, bepaalt in de leden 2, 3 en 5:

„2.
[...] Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

de opzettelijke of nalatige aard van de inbreuk;

[...]

elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

3.
Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.
[...]
5.
Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit een hoger bedrag vertegenwoordigt:

de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;

de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22;

[...]”

16 Artikel 84 van die verordening draagt als opschrift „Sancties” en bepaalt in lid 1:

„De lidstaten stellen de regels inzake andere sancties vast die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83, en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. Die sancties zijn doeltreffend, evenredig en afschrikkend.”

Hoofdgeding en prejudiciële vragen

17 Verzoeker in het hoofdgeding, een natuurlijke persoon die zelfstandig advocaat is, was klant bij juris, een vennootschap die een juridische databank exploiteert.

18 Nadat verzoeker in het hoofdgeding had vernomen dat juris zijn persoonsgegevens ook voor direct marketing gebruikte, heeft hij op 6 november 2018 al zijn toestemmingen om van dit bedrijf informatie te ontvangen per e-mail of telefoon schriftelijk ingetrokken en zich verzet tegen elke verwerking van die gegevens, behalve voor de verzending van „nieuwsbrieven”, die hij wenste te blijven ontvangen.

19 Desondanks heeft verzoeker in het hoofdgeding in januari 2019 op zijn kantooradres twee reclamebrieven ontvangen die op zijn naam stonden. Bij brief van 18 april 2019 heeft hij juris herinnerd aan zijn eerdere bezwaar tegen elke vorm van direct marketing, erop gewezen dat het opstellen van die reclamebrieven een onrechtmatige verwerking van zijn gegevens vormde, en op grond van artikel 82 AVG verzocht om vergoeding van zijn schade. Nadat hij op 3 mei 2019 opnieuw een reclamebrief had ontvangen, heeft hij zijn bezwaar herhaald, dat ditmaal aan juris is betekend door toedoen van een gerechtsdeurwaarder.

20 De reclamebrieven bevatten telkens een „persoonlijke proefcode” die op de website van juris toegang gaf tot een bestelformulier voor producten van dit bedrijf, waarin gegevens van verzoeker in het hoofdgeding stonden, zoals een notaris op 7 juni 2019 op diens verzoek heeft vastgesteld.

21 Verzoeker in het hoofdgeding heeft bij het Landgericht Saarbrücken (rechter in eerste aanleg Saarbrücken, Duitsland) – de verwijzende rechter in de onderhavige zaak – beroep ingesteld tot vergoeding, op grond van artikel 82, lid 1, AVG, van zijn materiële schade in verband met de gerechtsdeurwaarders- en notariskosten die hij had gemaakt, alsmede van zijn immateriële schade. Hij betoogt met name dat de controle over zijn persoonsgegevens verloren is gegaan door de verwerkingen die juris ondanks zijn bezwaar van die gegevens heeft verricht, en dat hij op deze grond schadevergoeding kan verkrijgen zonder dat hij de gevolgen of de ernst hoeft aan te tonen van de aantasting van de grondrechten die artikel 8 van het Handvest van de grondrechten van de Europese Unie waarborgt en die in de AVG nader worden uitgewerkt.

22 Juris van haar kant wijst elke aansprakelijkheid van de hand en betoogt dat zij wel degelijk een systeem voor het beheer van bezwaren tegen direct marketing had opgezet, maar dat het feit dat de bezwaren van verzoeker in het hoofdgeding te laat in aanmerking zijn genomen ofwel te wijten is aan een van haar medewerkers die de gegeven instructies niet heeft opgevolgd ofwel aan de omstandigheid dat het extreem duur zou zijn geweest om met de bezwaren rekening te houden. Zij stelt dat niet elke niet-nakoming van een verplichting uit de AVG, zoals die welke voortvloeit uit artikel 21, lid 3, AVG, op zich „schade” vormt in de zin van artikel 82, lid 1, van deze verordening.

23 In de eerste plaats vertrekt de verwijzende rechter van het principe dat er voor het recht op schadevergoeding van artikel 82, lid 1, AVG drie voorwaarden moeten zijn vervuld: er moet sprake zijn van een inbreuk op deze verordening, van materiële of immateriële schade en van een oorzakelijk verband tussen de inbreuk en de schade. Gelet op de vorderingen van verzoeker in het hoofdgeding vraagt die rechter zich evenwel af of niet moet worden aangenomen dat een inbreuk op de AVG op zichzelf beschouwd immateriële schade oplevert die recht geeft op vergoeding, met name wanneer de geschonden bepaling van deze verordening de betrokkene een subjectief recht verleent. Aangezien er naar Duits recht voor de geldelijke vergoeding van immateriële schade sprake moet zijn van een ernstige inbreuk op de beschermde rechten, vraagt de verwijzende rechter zich tevens af of een soortgelijke beperking behoort te gelden voor schadevorderingen die op grond van de AVG worden ingediend, gelet op wat er in de overwegingen 85 en 146 van deze verordening staat te lezen over het begrip „schade”.

24 In de tweede plaats acht de verwijzende rechter het mogelijk dat uit artikel 82 AVG volgt dat wanneer een inbreuk op deze verordening wordt vastgesteld, die inbreuk wordt geacht te kunnen worden toegerekend aan de verwerkingsverantwoordelijke, zodat er sprake is van aansprakelijkheid met een vermoeden van fout van deze laatste of zelfs van foutloze aansprakelijkheid. Hij benadrukt dat lid 3 van dat artikel niet preciseert welke bewijzen er concreet moeten worden geleverd voor de vrijstelling waarin dit lid voorziet, en merkt op dat indien de verwerkingsverantwoordelijke zich van zijn aansprakelijkheid zou kunnen bevrijden door zich slechts in algemene bewoordingen te beroepen op een onrechtmatige gedraging van een van zijn medewerkers, het nuttig effect van het in lid 1 van dat artikel neergelegde recht op schadevergoeding aanzienlijk zou worden beperkt.

25 In de derde plaats wenst de verwijzende rechter met name te vernemen of er bij de berekening van het bedrag van de geldelijke vergoeding van – met name immateriële – schade die verschuldigd zou zijn op grond van artikel 82 AVG, ook rekening kan of zelfs moet worden gehouden met de in artikel 83, leden 2 en 5, AVG neergelegde criteria voor de vaststelling van het bedrag van administratieve geldboeten.

26 In de vierde en laatste plaats merkt de verwijzende rechter op dat in het bij hem aanhangige geding de persoonsgegevens van verzoeker in het hoofdgeding ondanks zijn herhaalde bezwaren meermaals – ten behoeve van direct marketing – zijn verwerkt. Hij wenst dan ook te vernemen of in het geval waarin er sprake is van meerdere inbreuken op de AVG, deze inbreuken afzonderlijk dan wel gezamenlijk in aanmerking moeten worden genomen bij de berekening van het bedrag van de schadevergoeding die eventueel verschuldigd is op grond van artikel 82 AVG.

27 Derhalve heeft het Landgericht Saarbrücken de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

Moet het begrip ‚immateriële schade’ in artikel 82, lid 1, AVG in het licht van overweging 85 en overweging 146, derde volzin, AVG aldus worden opgevat dat het elke aantasting van de beschermde rechtspositie omvat, ongeacht de overige gevolgen en de ernst ervan?

Is aansprakelijkheid voor schadevergoeding op grond van artikel 82, lid 3, AVG uitgesloten wanneer de inbreuk wordt toegeschreven aan een menselijke fout in het individuele geval van een persoon die handelt onder het gezag van de verwerkingsverantwoordelijke in de zin van artikel 29 AVG?

Is het toelaatbaar of raadzaam om de begroting van de immateriële schade te doen steunen op de vaststellingscriteria van artikel 83 AVG, met name artikel 83, leden 2 en 5, AVG?

Moet de schadevergoeding worden vastgesteld voor elke individuele inbreuk of worden meerdere – althans meerdere gelijksoortige – inbreuken bestraft met een algehele schadevergoeding die niet wordt vastgesteld door onderscheiden bedragen op te tellen, maar gebaseerd is op een evaluatieve, integrale afweging?”

Beantwoording van de prejudiciële vragen

Eerste prejudiciële vraag

Ontvankelijkheid

28 Om te beginnen stelt juris in wezen dat de eerste prejudiciële vraag niet-ontvankelijk is voor zover zij ertoe strekt dat wordt vastgesteld of het voor het in artikel 82 AVG bedoelde recht op schadevergoeding vereist is dat de schade die de betrokkene – als omschreven in artikel 4, punt 1, van deze verordening – aanvoert, een bepaalde graad van ernst heeft. Deze vraag is volgens haar irrelevant voor de beslechting van het hoofdgeding, omdat de door verzoeker in het hoofdgeding aangevoerde schade, die bestaat in het verlies van controle over zijn persoonsgegevens, zich niet heeft voorgedaan. Deze gegevens zijn immers rechtmatig verwerkt in het kader van de contractuele verhouding die er tussen partijen in dat geding bestond.

29 In dit verband zij eraan herinnerd dat het uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing om, rekening houdend met de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de door hem aan het Hof voorgelegde vragen te beoordelen, waarbij voor deze vragen een vermoeden van relevantie geldt. Wanneer de gestelde vraag betrekking heeft op de uitlegging of de geldigheid van een regel van het Unierecht, is het Hof dan ook in beginsel verplicht daarop te antwoorden, tenzij de gevraagde uitlegging kennelijk geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, het vraagstuk van hypothetische aard is of het Hof niet beschikt over de feitelijke en juridische gegevens die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vraag [arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 23 en aldaar aangehaalde rechtspraak].

30 In casu gaat de eerste prejudiciële vraag over de voorwaarden waaronder het in artikel 82 AVG neergelegde recht op schadevergoeding kan worden uitgeoefend. Bovendien blijkt niet duidelijk dat de gevraagde uitlegging geen verband houdt met het hoofdgeding of dat het vraagstuk van hypothetische aard is. Ten eerste heeft dit geding immers betrekking op een vordering tot schadevergoeding op grond van de bij de AVG ingevoerde regeling voor de bescherming van persoonsgegevens. Ten tweede strekt deze vraag er in wezen toe te vernemen of het voor de toepassing van de in die verordening vastgelegde aansprakelijkheidsregels niet alleen noodzakelijk is dat de betrokkene andere immateriële schade dan een schending van de verordening heeft geleden maar ook dat die schade een zeker graad van ernst heeft.

31 Bijgevolg is de eerste prejudiciële vraag ontvankelijk.

Ten gronde

32 Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een schending van bepalingen van deze verordening die de betrokkene rechten verlenen, op zichzelf volstaat om van „immateriële schade” in de zin van deze bepaling te spreken, ongeacht of de door deze persoon geleden schade enige ernst vertoont.

33 Om te beginnen zij eraan herinnerd dat artikel 82, lid 1, AVG bepaalt dat „[e]enieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, [...] het recht [heeft] om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade”.

34 Het Hof heeft artikel 82, lid 1, AVG reeds in die zin uitgelegd dat de loutere schending van de AVG niet volstaat voor de toekenning van een recht op schadevergoeding, aangezien het bestaan van „geleden” materiële of immateriële „schade” een van de voorwaarden is voor het in dat artikel 82, lid 1, bedoelde recht op vergoeding, net zoals het bestaan van een schending van deze verordening en een causaal verband tussen die schade en die schending, waarbij deze drie voorwaarden cumulatief vervuld moeten zijn (zie in die zin arrest van 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 58 en aldaar aangehaalde rechtspraak).

35 Aldus moet de persoon die krachtens die bepaling verzoekt om vergoeding van immateriële schade, niet alleen aantonen dat er bepalingen van die verordening zijn geschonden, maar ook dat hij dergelijke schade heeft geleden ten gevolge van deze schending (zie in die zin arrest van 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punten 60 en 61 en aldaar aangehaalde rechtspraak).

36 Dienaangaande zij opgemerkt dat het Hof artikel 82, lid 1, AVG aldus heeft uitgelegd dat het zich verzet tegen een regel of nationale praktijk op grond waarvan immateriële schade in de zin van die bepaling slechts kan worden vergoed indien de schade die de betrokkene heeft geleden een bepaalde mate van ernst bereikt, maar dat het tevens heeft benadrukt dat de betrokkene wel moet aantonen dat de schending van die verordening hem immateriële schade heeft berokkend (zie in die zin arrest van 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punten 59 en 60 en aldaar aangehaalde rechtspraak).

37 Zelfs wanneer bij de geschonden AVG-bepaling rechten worden toegekend aan natuurlijke personen, kan deze schending niet op zichzelf „immateriële schade” in de zin van die verordening vormen.

38 Het is juist dat uit artikel 79, lid 1, AVG volgt dat iedere betrokkene het recht heeft om een doeltreffende voorziening in rechte in te stellen tegen de verwerkingsverantwoordelijke of een eventuele verwerker, indien hij van mening is dat „zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet”.

39 Deze bepaling verleent echter enkel een vorderingsrecht aan de persoon die meent het slachtoffer te zijn van een schending van de rechten die hem bij de AVG zijn toegekend, en stelt hem niet vrij van de krachtens artikel 82, lid 1, van deze verordening op hem rustende verplichting om te bewijzen dat hij daadwerkelijk materiële of immateriële schade heeft geleden.

40 Hieruit volgt dat een schending van AVG-bepalingen waarbij de betrokkene rechten worden toegekend, op zichzelf niet volstaat om een materieel recht op schadevergoeding op grond van deze verordening te openen. Daarvoor is vereist dat eveneens is voldaan aan de twee andere in punt 34 van het onderhavige arrest genoemde voorwaarden.

41 In casu vordert verzoeker in het hoofdgeding op grond van de AVG vergoeding van immateriële schade, te weten het verlies van de controle over zijn persoonsgegevens die ondanks zijn bezwaar zijn verwerkt. Hij hoeft daarbij niet aan te tonen dat die schade een bepaalde drempel van ernst heeft overschreden.

42 Dienaangaande zij opgemerkt dat in overweging 85 AVG uitdrukkelijk melding wordt gemaakt van het „verlies van controle” als schade die kan ontstaan door een inbreuk in verband met persoonsgegevens. Het Hof heeft bovendien geoordeeld dat het verlies van controle over dergelijke gegevens – zelfs gedurende een korte tijdspanne – de betrokkene „immateriële schade” in de zin van artikel 82, lid 1, AVG kan berokkenen waarvoor een recht op schadevergoeding bestaat, mits de betrokkene bewijst dat hij daadwerkelijk dergelijke schade heeft geleden, hoe miniem deze ook mag zijn (zie in die zin arrest van 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 66 en aldaar aangehaalde rechtspraak).

43 Gelet op een en ander dient op de eerste prejudiciële vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een schending van bepalingen van deze verordening die de betrokkene rechten verlenen, op zichzelf niet volstaat om van „immateriële schade” in de zin van deze bepaling te spreken, ongeacht of de door deze persoon geleden schade enige ernst vertoont.

Tweede prejudiciële vraag

44 Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82 AVG aldus moet worden uitgelegd dat de verwerkingsverantwoordelijke er, om op grond van lid 3 van dat artikel te worden vrijgesteld van zijn aansprakelijkheid, mee kan volstaan aan te voeren dat de schade in kwestie is veroorzaakt door het verzuim van een persoon die onder zijn gezag handelt in de zin van artikel 29 van die verordening.

45 In dit verband zij eraan herinnerd dat artikel 82 AVG in lid 2 bepaalt dat elke verwerkingsverantwoordelijke die bij een verwerking betrokken is, aansprakelijk is voor de schade die wordt veroorzaakt door een verwerking die inbreuk maakt op deze verordening, en in lid 3 bepaalt dat een verwerkingsverantwoordelijke op grond van lid 2 wordt vrijgesteld van aansprakelijkheid indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

46 Het Hof heeft reeds geoordeeld dat uit een gecombineerde analyse van de leden 2 en 3 van artikel 82 blijkt dat in dit artikel een regeling inzake schuldaansprakelijkheid is neergelegd waarbij de verwerkingsverantwoordelijke wordt geacht te hebben deelgenomen aan de verwerking die de AVG schendt, zodat de bewijslast niet rust op de persoon die schade heeft geleden, maar op de verwerkingsverantwoordelijke (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punten 92‑94 ).

47 Wat betreft de vraag of de verwerkingsverantwoordelijke op grond van artikel 82, lid 3, AVG kan worden vrijgesteld van zijn aansprakelijkheid op de enkele grond dat de schade is veroorzaakt door het onrechtmatige gedrag van een persoon die onder zijn gezag handelt in de zin van artikel 29 van die verordening, blijkt om te beginnen uit dit artikel 29 dat personen die onder het gezag van de verwerkingsverantwoordelijke handelen – zoals zijn werknemers – en die toegang hebben tot persoonsgegevens, deze gegevens in beginsel slechts mogen verwerken in zijn opdracht en overeenkomstig zijn instructies (zie in die zin arrest van 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punten 73 en 74 ).

48 Daarnaast is in artikel 32, lid 4, AVG – dat gaat over de beveiliging van de verwerking van persoonsgegevens – bepaald dat de verwerkingsverantwoordelijke maatregelen moet treffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder zijn gezag en die toegang heeft tot dergelijke gegevens, deze slechts in zijn opdracht verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

49 Een werknemer van de verwerkingsverantwoordelijke is wel degelijk een natuurlijke persoon die onder zijn gezag handelt. Het staat dus aan die verantwoordelijke om zich ervan te vergewissen dat zijn werknemers zijn instructies opvolgen. De verwerkingsverantwoordelijke kan zich dan ook niet op grond van artikel 82, lid 3, AVG bevrijden van zijn aansprakelijkheid door zich louter te beroepen op een nalatigheid of fout van iemand die onder zijn gezag handelt.

50 In casu betoogt juris in haar schriftelijke opmerkingen voor het Hof in wezen dat de verwerkingsverantwoordelijke overeenkomstig artikel 82, lid 3, AVG moet worden vrijgesteld van zijn aansprakelijkheid wanneer de inbreuk die de schade in kwestie heeft veroorzaakt, is toe te schrijven aan het gedrag van een van zijn werknemers die de instructies van de verantwoordelijke niet heeft opgevolgd, voor zover de inbreuk niet te wijten is aan de niet-nakoming door laatstgenoemde van de verplichtingen die met name zijn neergelegd in de artikelen 24, 25 en 32 van die verordening.

51 Hierbij is het van belang te benadrukken dat de omstandigheden van de in artikel 82, lid 3, AVG bedoelde vrijstelling strikt moeten worden beperkt tot de omstandigheden waarin de verwerkingsverantwoordelijke kan aantonen dat de schade hem niet kan worden toegerekend (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 70 ). Wanneer er sprake is van een inbreuk in verband met persoonsgegevens door een onder zijn gezag handelende persoon, kan de verwerkingsverantwoordelijke zich dus enkel van zijn aansprakelijkheid bevrijden door aan te tonen dat er geen causaal verband bestaat tussen zijn eventuele niet-nakoming van de verplichting tot gegevensbescherming – die op hem rust krachtens de artikelen 5, 24 en 32 van die verordening – en de door de betrokkene geleden schade (zie naar analogie arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 72 ).

52 Opdat de verwerkingsverantwoordelijke krachtens artikel 82, lid 3, AVG kan worden vrijgesteld van zijn aansprakelijkheid, is het dus niet voldoende dat hij aantoont dat hij instructies had gegeven aan personen die onder zijn gezag handelden in de zin van artikel 29 van die verordening en dat een van deze personen zijn verplichting om die instructies op te volgen niet is nagekomen en aldus heeft bijgedragen tot het ontstaan van de schade in kwestie.

53 Indien zou worden aanvaard dat de verwerkingsverantwoordelijke zich van zijn aansprakelijkheid kan bevrijden door enkel te verwijzen naar het verzuim van een persoon die onder zijn gezag handelde, zou immers afbreuk worden gedaan aan het nuttig effect van het in artikel 82, lid 1, AVG neergelegde recht op schadevergoeding, hetgeen de verwijzende rechter in wezen heeft opgemerkt. Dit zou niet in overeenstemming zijn met de doelstelling van deze verordening, die erin bestaat natuurlijke personen in verband met de verwerking van hun persoonsgegevens een hoog niveau van bescherming te garanderen.

54 Gelet op een en ander dient op de tweede prejudiciële vraag te worden geantwoord dat artikel 82 AVG aldus moet worden uitgelegd dat de verwerkingsverantwoordelijke er, om op grond van lid 3 van dat artikel te worden vrijgesteld van zijn aansprakelijkheid, niet mee kan volstaan aan te voeren dat de schade in kwestie is veroorzaakt door het verzuim van een persoon die onder zijn gezag handelt in de zin van artikel 29 van die verordening.

Derde en vierde prejudiciële vraag

55 Met zijn derde en zijn vierde prejudiciële vraag, die gezamenlijk dienen te worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, mutatis mutandis de in artikel 83 van deze verordening neergelegde criteria voor de vaststelling van het bedrag van administratieve geldboeten moeten worden toegepast, en in aanmerking moet worden genomen dat de persoon die om vergoeding verzoekt het slachtoffer is geworden van meerdere schendingen van die verordening in verband met een en dezelfde verwerking.

56 Wat in de eerste plaats de vraag betreft of bij de vaststelling van het bedrag van de op grond van artikel 82 AVG verschuldigde schadevergoeding eventueel rekening moet worden gehouden met de in artikel 83 AVG genoemde criteria, staat het vast dat met deze twee bepalingen verschillende doelstellingen worden nagestreefd. Artikel 83 bepaalt de „algemene voorwaarden voor het opleggen van administratieve geldboeten”, terwijl artikel 82 het „recht op schadevergoeding en aansprakelijkheid” regelt.

57 Hieruit volgt dat de in artikel 83 AVG genoemde criteria voor de vaststelling van het bedrag van administratieve geldboeten, welke criteria ook in overweging 148 van deze verordening worden vermeld, niet kunnen worden gebruikt om het bedrag van de schadevergoeding op grond van artikel 82 AVG vast te stellen.

58 Zoals het Hof reeds heeft geoordeeld, bevat de AVG geen bepaling over de berekening van de schadevergoeding die verschuldigd is op grond van het in artikel 82 van deze verordening neergelegde recht op schadevergoeding. Derhalve moeten de nationale rechters bij die berekening – overeenkomstig het beginsel van procedurele autonomie – de interne regels van elke lidstaat over de omvang van de geldelijke schadevergoeding toepassen, zolang de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid, zoals uitgelegd in de vaste rechtspraak van het Hof, in acht worden genomen (zie in die zin arresten van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punten 83 en 101 en aldaar aangehaalde rechtspraak, en 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 53 ).

59 In deze context heeft het Hof benadrukt dat artikel 82 AVG geen punitieve maar een compensatoire functie heeft, in tegenstelling tot andere bepalingen van deze verordening die eveneens zijn opgenomen in hoofdstuk VIII ervan, namelijk in de artikelen 83 en 84 van die verordening, die in wezen een punitieve doelstelling hebben, aangezien zij de mogelijkheid bieden om respectievelijk administratieve geldboeten en andere sancties op te leggen. De verhouding tussen de regels van artikel 82 AVG en die van de artikelen 83 en 84 AVG toont aan dat er een verschil bestaat tussen deze twee categorieën bepalingen, maar dat zij elkaar ook aanvullen in die zin dat naleving van de AVG wordt gestimuleerd, met dien verstande dat het recht van eenieder om schadevergoeding te vorderen de werking van de beschermende bepalingen van deze verordening vergroot en inbreukplegers kan weerhouden van herhaling van onrechtmatig gedrag (arrest van 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 47 en aldaar aangehaalde rechtspraak).

60 Bovendien heeft het Hof uit het feit dat het in artikel 82, lid 1, AVG neergelegde recht op schadevergoeding geen afschrikkende of zelfs punitieve functie heeft, afgeleid dat de ernst van de door de schending van deze verordening veroorzaakte materiële of immateriële schade geen invloed kan hebben op het bedrag van de schadevergoeding die op grond van die bepaling is toegekend. Hieruit volgt dat dit bedrag niet kan worden vastgesteld op een niveau dat hoger ligt dan de volledige vergoeding van die schade (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 86 ).

61 Gelet op overweging 146, zesde volzin, AVG – waarin staat te lezen dat dit instrument een „volledige en daadwerkelijke vergoeding van [de] geleden schade” beoogt te waarborgen – heeft het Hof opgemerkt dat, rekening houdend met de compensatoire functie van het recht op schadevergoeding krachtens artikel 82 van die verordening, een op deze bepaling gebaseerde geldelijke vergoeding als „volledig en daadwerkelijk” moet worden beschouwd indien zij het mogelijk maakt de ten gevolge van de schending van deze verordening daadwerkelijk geleden schade volledig te vergoeden, zonder dat een dergelijke volledige vergoeding vereist dat er een punitieve schadevergoeding wordt opgelegd (arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 84 en aldaar aangehaalde rechtspraak).

62 Gelet op de verschillen qua bewoordingen en doelstellingen tussen artikel 82 AVG, gelezen in het licht van overweging 146 ervan, en artikel 83 AVG, gelezen in het licht van overweging 148 ervan, kan dus niet worden aangenomen dat de specifiek in artikel 83 genoemde beoordelingscriteria mutatis mutandis kunnen worden toegepast in het kader van artikel 82, ondanks het feit dat de in deze twee bepalingen bedoelde rechtsmiddelen elkaar aanvullen om de naleving van deze verordening te waarborgen.

63 Wat in de tweede plaats de wijze betreft waarop de nationale rechters op grond van artikel 82 AVG het bedrag van een geldelijke vergoeding moeten bepalen wanneer tegenover een en dezelfde persoon meerdere inbreuken op deze verordening zijn begaan, moet om te beginnen worden benadrukt dat het – zoals in punt 58 van het onderhavige arrest is vermeld – aan elke lidstaat staat om de criteria vast te stellen aan de hand waarvan het bedrag van die vergoeding kan worden bepaald, mits de Unierechtelijke beginselen van doeltreffendheid en gelijkwaardigheid in acht worden genomen.

64 Vervolgens is het zo dat, gezien de compensatoire en niet-punitieve functie van artikel 82 AVG – die in de punten 60 en 61 van het onderhavige arrest in herinnering is gebracht – de omstandigheid dat de verwerkingsverantwoordelijke meerdere inbreuken ten aanzien van dezelfde persoon heeft begaan, geen relevant criterium kan vormen bij de berekening van de krachtens artikel 82 aan die persoon toe te kennen schadevergoeding. Om het bedrag van de verschuldigde geldelijke vergoeding vast te stellen, mag immers alleen rekening worden gehouden met de door die persoon concreet geleden schade.

65 Derhalve dient op de derde en de vierde prejudiciële vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, niet mutatis mutandis de in artikel 83 van deze verordening neergelegde criteria voor de vaststelling van het bedrag van administratieve geldboeten moeten worden toegepast, en niet in aanmerking moet worden genomen dat de persoon die om vergoeding verzoekt het slachtoffer is geworden van meerdere schendingen van die verordening in verband met een en dezelfde verwerking.

Kosten

66 Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Derde kamer) verklaart voor recht:

Artikel 82, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)
moet aldus worden uitgelegd dat
een schending van bepalingen van deze verordening die de betrokkene rechten verlenen, op zichzelf niet volstaat om van „immateriële schade” in de zin van deze bepaling te spreken, ongeacht of de door deze persoon geleden schade enige ernst vertoont.
Artikel 82 van verordening 2016/679
moet aldus worden uitgelegd dat
de verwerkingsverantwoordelijke er, om op grond van lid 3 van dat artikel te worden vrijgesteld van zijn aansprakelijkheid, niet mee kan volstaan aan te voeren dat de schade in kwestie is veroorzaakt door het verzuim van een persoon die onder zijn gezag handelt in de zin van artikel 29 van die verordening.
Artikel 82, lid 1, van verordening 2016/679
moet aldus worden uitgelegd dat
bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, niet mutatis mutandis de in artikel 83 van deze verordening neergelegde criteria voor de vaststelling van het bedrag van administratieve geldboeten moeten worden toegepast, en niet in aanmerking moet worden genomen dat de persoon die om vergoeding verzoekt het slachtoffer is geworden van meerdere schendingen van die verordening in verband met een en dezelfde verwerking.

ondertekeningen