Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
OpMaat
Home

Arrest van het Hof (Derde kamer) van 20 juni 2024

Arrest van het Hof (Derde kamer) van 20 juni 2024

Gegevens

Instantie
Hof van Justitie EU
Datum uitspraak
20 juni 2024

Uitspraak

Arrest van het Hof (Derde kamer)

20 juni 2024(*)

"„Prejudiciële verwijzing - Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens - Verordening (EU) 2016/679 - Artikel 82, lid 1 - Recht op vergoeding van schade die is veroorzaakt door gegevensverwerking die inbreuk maakt op deze verordening - Begrip immateriële schade - Invloed van de ernst van de geleden schade - Vaststelling van het bedrag van de schadevergoeding - Vordering tot vergoeding voor immateriële schade die gebaseerd is op een vrees - Niet-toepasselijkheid van de criteria waarin artikel 83 voorziet voor administratieve geldboeten - Afschrikkende functie - Vaststelling van de vergoeding in geval van gelijktijdige inbreuk op die verordening en op het nationale recht”"

In zaak C‑590/22,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Amtsgericht Wesel (rechter in eerste aanleg Wesel, Duitsland) bij beslissing van 5 augustus 2022, ingekomen bij het Hof op 9 september 2022, in de procedure

AT,

BT

tegen

PS GbR,

VG,

MB,

DH,

WB,

GS,

HET HOF (Derde kamer),

samengesteld als volgt: K. Jürimäe, kamerpresident, K. Lenaerts, president van het Hof, waarnemend rechter van de Derde kamer, N. Piçarra, N. Jääskinen (rapporteur) en M. Gavalec, rechters,

advocaat-generaal: M. Campos Sánchez-Bordona,

griffier: A. Calot Escobar,

gezien de stukken,

  1. gelet op de opmerkingen van:

    • Ierland, vertegenwoordigd door M. Browne, Chief State Solicitor, A. Joyce en M. Tierney als gemachtigden, bijgestaan door D. Fennelly, BL,

    • de Europese Commissie, vertegenwoordigd door A. Bouchagiar, M. Heller en H. Kranenborg als gemachtigden,

gelet op de beslissing, de advocaat-generaal gehoord, om de zaak zonder conclusie te berechten,

het navolgende

Arrest

1 Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 82, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2021, L 74, blz. 35; hierna: „AVG”).

2 Dit verzoek is ingediend in het kader van een geding tussen AT en BT, verzoekers in het hoofdgeding, enerzijds, en PS GbR, een belastingadvieskantoor, en VG, MB, DH, WB en GS, de vennoten van PS, anderzijds, over het recht van verzoekers in het hoofdgeding op schadevergoeding op grond van artikel 82, lid 1, AVG, voor het leed dat zij stellen te hebben ondergaan doordat hun belastingaangifte die persoonsgegevens bevatte door een vergissing van PS zonder hun toestemming aan derden is verstrekt.

Toepasselijke bepalingen

3 In de overwegingen 85, 146 en 148 AVG staat het volgende te lezen:

  • „(85) Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. […]

    • […]

  • (146) De verwerkingsverantwoordelijke of de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Het begrip ‚schade’ moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere regels in het Unierecht of het lidstatelijke recht onverlet. Onder verwerking die inbreuk maakt op deze verordening, valt eveneens een verwerking die inbreuk maakt op gedelegeerde handelingen en uitvoeringshandelingen die werden vastgesteld overeenkomstig deze verordening, alsmede het lidstatelijke recht waarin in deze verordening vervatte regels worden gespecificeerd. De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen. […]

    • […]

  • (148) Met het oog op een krachtiger handhaving van de regels van deze verordening dienen straffen, met inbegrip van administratieve geldboeten, te worden opgelegd voor elke inbreuk op de verordening, […]. […] Er dient evenwel rekening te worden gehouden met de aard, de ernst en de duur van de inbreuk, met het opzettelijke karakter van de inbreuk, met schadebeperkende maatregelen, met de mate van verantwoordelijkheid, of met eerdere relevante inbreuken, met de wijze waarop de inbreuk ter kennis van de toezichthoudende autoriteit is gekomen, met de naleving van de maatregelen die werden genomen tegen de verwerkingsverantwoordelijke of de verwerker, met de aansluiting bij een gedragscode en met alle andere verzwarende of verzachtende factoren. […]”

    • 4 Artikel 4 („Definities”) van deze verordening bepaalt:

    „Voor de toepassing van deze verordening wordt verstaan onder:

    1. ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); […]

    […]

    1. ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; […]

    […]

    1. ‚derde’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

    […]

    1. ‚inbreuk in verband met persoonsgegevens’: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

    […]”

    5 Artikel 79, lid 1, van die verordening luidt als volgt:

    „Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.”

    6 Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) van de verordening bepaalt in de leden 1 tot en met 3 het volgende:

    „1.

    Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

    2.

    Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. […]

    3.

    Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.”

    7 Artikel 83 („Algemene voorwaarden voor het opleggen van administratieve geldboeten”) van de verordening bepaalt in de leden 2, 3 en 5 het volgende:

    „2.

    […] Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

    1. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

    2. de opzettelijke of nalatige aard van de inbreuk;

    […]

    1. elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

    3.

    Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.

    […]

    5.

    Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit een hoger bedrag vertegenwoordigt:

    1. de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;

    2. de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22;

    […]”

    Hoofdgeding en prejudiciële vragen

    8 Verzoekers in het hoofdgeding, AT en BT, zijn klanten van PS, een belastingadvieskantoor. Zij hebben dit advieskantoor laten weten dat hun postadres was gewijzigd, en dit is geregistreerd in het elektronisch gegevensverwerkingssysteem van PS. Vervolgens heeft PS het nieuwe adres van verzoekers in het hoofdgeding gebruikt voor de verzending van een aantal brieven.

    9 In juli 2020 hebben verzoekers in het hoofdgeding PS gevraagd hun belastingaangifte voor 2019 op te stellen. Omdat zij geen antwoord hadden ontvangen, hebben zij contact opgenomen met PS, die hun heeft laten weten dat deze belastingaangifte hun wel degelijk – per brief van 29 september 2020 – was toegestuurd, zonder daarbij te vermelden naar welk adres die brief was verzonden.

    10 De nieuwe bewoners op hun voormalige adres hebben hen op de hoogte gebracht dat er daar een aan hen geadresseerde enveloppe was aangekomen, en dat zij deze per vergissing hadden geopend. Een van die nieuwe bewoners heeft aangegeven dat hij de documenten die hij in de enveloppe had gevonden daar terug in heeft gestopt nadat hij had vastgesteld dat de betrokken brief niet voor hem bestemd was. Vervolgens heeft hij de enveloppe aan familieleden gegeven die in de buurt van het oude adres van verzoekers in het hoofdgeding wonen, waar zij deze konden ophalen.

    11 Wanneer verzoekers in het hoofdgeding de betrokken enveloppe hebben opgehaald, hebben zij vastgesteld dat deze alleen een kopie van de belastingaangifte en het begeleidend schrijven bevatte. Zij gaan er echter van uit dat deze enveloppe ook het origineel bevatte van deze belastingaangifte, waarin persoonsgegevens waren vermeld zoals hun namen en geboortedata alsook die van hun kinderen, hun fiscale identificatienummers, hun bankgegevens, of nog gegevens over hun lidmaatschap van een religieuze gemeenschap, de status van ernstig gehandicapte van een van hun gezinsleden, hun beroep en hun werkplek, en allerlei uitgaven die zij hadden gedaan.

    12 In dit verband preciseert de verwijzende rechter dat niet kon worden vastgesteld welke documenten er aanvankelijk in de enveloppe zaten en evenmin in hoeverre de nieuwe bewoners op het voormalige adres van verzoekers in het hoofdgeding de documenten in die enveloppe al dan niet hadden bekeken. Hij geeft tevens aan dat de betrokken brief naar een verkeerd adres was verzonden doordat PS gegevens had gebruikt uit een gegevensbestand dat nog het oude adres van verzoekers in het hoofdgeding bevatte.

    13 In die omstandigheden hebben verzoekers in het hoofdgeding bij het Amtsgericht Wesel (rechter in eerste aanleg Wesel, Duitsland), de verwijzende rechter, beroep ingesteld tot vergoeding, op grond van artikel 82, lid 1, AVG, van de immateriële schade die zij menen te hebben geleden doordat derden kennis hebben gekregen van hun persoonsgegevens, welke schade zij ramen op 15 000 EUR.

    14 De verwijzende rechter vraagt zich in de eerste plaats af of, wanneer wordt aangevoerd dat er immateriële schade is ontstaan, een recht op schadevergoeding op grond van artikel 82 van deze verordening kan worden gebaseerd op een loutere inbreuk op bepalingen van de AVG. Hij preciseert daarbij dat in het Duitse recht enkel een recht op geldelijke schadevergoeding wordt erkend in gevallen waarin een aanzienlijke schade wordt bewezen die verder gaat dan de loutere inbreuk op een wettelijke bepaling, en voor zover die schade niet op een andere wijze kan worden vergoed.

    15 In de tweede plaats vraagt de verwijzende rechter zich af of de vrees dat persoonsgegevens in het bezit van onbevoegden zijn gekomen op zichzelf een immateriële schade kan uitmaken die recht kan geven op een geldelijke schadevergoeding op grond van artikel 82 AVG.

    16 In de derde plaats merkt deze rechter op dat artikel 83 AVG criteria vermeldt om het bedrag van de administratieve geldboeten die in geval van een inbreuk op deze verordening worden opgelegd, op uniforme wijze vast te stellen. Dit artikel bevat echter geen equivalent voor de geldelijke vergoeding voor immateriële schade. Hij vraagt zich dan ook af of deze criteria ook toepasbaar zijn op de geldelijke vergoeding voor immateriële schade die verschuldigd is op grond van artikel 82 AVG.

    17 In de vierde plaats brengt de verwijzende rechter in herinnering dat het begrip „schade” luidens overweging 146 AVG ruim moet worden uitgelegd teneinde een volledige en daadwerkelijke vergoeding van de geleden schade te waarborgen. Hij stelt zich echter de vraag of de verwijzing naar een „daadwerkelijke” vergoeding betekent dat het bedrag van de te betalen vergoeding voor immateriële schade zodanig moet worden vastgesteld dat deze een afschrikkende werking heeft. De verwerkingsverantwoordelijken zouden in voorkomend geval geneigd kunnen zijn de in de AVG bepaalde verplichtingen niet na te komen mocht de kost van een strikte naleving van deze verordening groter blijken dan het bedrag van de schadevergoeding die zij eventueel moeten betalen als zij inbreuk maken op de verordening.

    18 In de vijfde en laatste plaats vraagt de verwijzende rechter zich af of bij de vaststelling van de op grond van artikel 82 AVG verschuldigde vergoeding van immateriële schade rekening moet worden gehouden met het feit dat gelijktijdig inbreuk is gemaakt op de AVG en op bepalingen van het Duitse recht, zoals die welke aan bepaalde beroepsbeoefenaren geheimhoudingsverplichtingen opleggen. Hij stelt hieraan te twijfelen omdat de relevante bepalingen van het Duitse recht die in casu aan de orde zijn reeds van kracht waren toen de AVG werd vastgesteld en dus niet kunnen worden aangemerkt als gedelegeerde handelingen of uitvoeringshandelingen die overeenkomstig die verordening zijn vastgesteld zoals bedoeld in overweging 146 ervan.

    19 In die omstandigheden heeft het Amtsgericht Wesel de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

    • Is het voor het ontstaan van een recht op schadevergoeding op grond van artikel 82, lid 1, [AVG] voldoende, dat een bepaling van [deze verordening] die strekt tot bescherming van de eiser is geschonden, of is het noodzakelijk dat zich voor de eiser nog andere nadelige gevolgen hebben voorgedaan dan de inbreuken op de bepalingen als zodanig?

    • Is het volgens het Unierecht voor het ontstaan van een recht op vergoeding van immateriële schade op grond van artikel 82, lid 1, AVG noodzakelijk, dat er een nadelig effect van enig belang wordt vastgesteld?

    • In het bijzonder: is het voor het ontstaan van een recht op vergoeding van immateriële schade op grond van artikel 82, lid 1, AVG voldoende, dat de eiser vreest dat ten gevolge van inbreuken op de bepalingen van de AVG zijn persoonsgegevens in vreemde handen zijn geraakt, zonder dat dit concreet kan worden vastgesteld?

    • Is het in overeenstemming met het Unierecht, wanneer de nationale rechter bij de vaststelling van een vergoeding van immateriële schade op grond van artikel 82, lid 1, AVG, naar analogie de criteria van artikel 83, lid 2, tweede volzin, AVG toepast, die volgens de bewoordingen ervan alleen gelden voor administratieve geldboeten?

    • Moet de hoogte van een recht op vergoeding van immateriële schade op grond van artikel 82, lid 1, AVG ook zodanig worden berekend dat dit recht een afschrikkende werking heeft, en/of ‚commercialisering’ (ingecalculeerde aanvaarding van geldboeten/schadevergoedingen) van inbreuken voorkomt?

    • Is het in overeenstemming met het Unierecht om bij de vaststelling van de hoogte van een vergoeding van immateriële schade op grond van artikel 82, lid 1, AVG rekening te houden met gelijktijdig gepleegde inbreuken op nationale bepalingen die de bescherming van persoonsgegevens tot doel hebben, maar die geen gedelegeerde handelingen of uitvoeringshandelingen zijn die werden vastgesteld overeenkomstig deze verordening, noch lidstatelijk recht waarin in deze verordening vervatte regels worden gespecificeerd?”

    Beantwoording van de prejudiciële vragen

    Eerste en tweede vraag

    20 Met zijn eerste en zijn tweede vraag, die samen dienen te worden onderzocht, wenst de verwijzende rechter in essentie te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een inbreuk op deze verordening op zichzelf volstaat om een recht op schadevergoeding op grond van deze bepaling te doen ontstaan, dan wel dat de betrokkene ook moet aantonen dat deze inbreuk schade heeft veroorzaakt die een bepaalde mate van ernst bereikt.

    21 Artikel 82, lid 1, AVG bepaalt dat „[e]enieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, […] het recht [heeft] om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade”.

    22 Het Hof heeft reeds vastgesteld dat uit de bewoordingen van deze bepaling duidelijk blijkt dat het bestaan van „geleden” materiële of immateriële „schade” een van de voorwaarden is voor het in dat artikel 82, lid 1, bedoelde recht op vergoeding, net zoals het bestaan van een schending van deze verordening en een causaal verband tussen die schade en die schending, waarbij deze drie voorwaarden cumulatief vervuld moeten zijn [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 32 , en  11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 34 ].

    23 Derhalve kan niet worden geoordeeld dat elke „inbreuk” op de AVG op zichzelf al leidt tot dit recht op schadevergoeding voor de betrokkene in de zin van artikel 4, punt 1, van deze verordening. Overigens zou de afzonderlijke vermelding van „schade” en „inbreuk” in artikel 82, lid 1, van die verordening overbodig zijn indien de Uniewetgever als uitgangspunt had genomen dat een inbreuk op deze verordening op zichzelf en hoe dan ook volstaat om een schadevordering in te kunnen stellen [arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 33 en 34 ].

    24 Hieruit volgt dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een inbreuk op de bepalingen van deze verordening op zichzelf niet volstaat voor de toekenning van een recht op schadevergoeding [arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 42 ].

    25 De persoon die krachtens die bepaling om schadevergoeding verzoekt, moet immers niet alleen aantonen dat er bepalingen van die verordening zijn geschonden, maar ook dat hij door die schending dergelijke schade heeft geleden [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 42 en 50 , en  11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 35 ].

    26 Wat deze laatste voorwaarde betreft, verzet artikel 82, lid 1, AVG zich tegen een nationale regel of praktijk op grond waarvan immateriële schade in de zin van die bepaling slechts kan worden vergoed indien de door de betrokkene geleden schade een bepaalde mate van ernst bereikt [arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 51 , en  11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 36 ].

    27 Dit doet echter niets af aan de krachtens artikel 82, lid 1, van deze verordening op deze persoon rustende verplichting om te bewijzen dat hij daadwerkelijk materiële of immateriële schade heeft geleden (zie in die zin arrest van 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 39 ).

    28 Gelet op een en ander moet op de eerste en de tweede vraag worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een inbreuk op deze verordening op zichzelf niet volstaat om een recht op schadevergoeding op grond van deze bepaling te doen ontstaan. De betrokken persoon moet ook aantonen dat deze inbreuk schade heeft veroorzaakt, waarbij evenwel niet vereist is dat deze schade een bepaalde mate van ernst bereikt.

    Derde vraag

    29 Met zijn derde vraag wenst de verwijzende rechter in essentie te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat de vrees van een persoon dat zijn persoonsgegevens ten gevolge van een inbreuk op deze verordening aan derden zijn doorgegeven, zonder dat kan worden aangetoond dat dit daadwerkelijk het geval is geweest, volstaat om een recht op vergoeding voor immateriële schade te doen ontstaan.

    30 Uit de verwijzingsbeslissing blijkt dat verzoekers in het hoofdgeding op grond van de AVG vergoeding wensen te verkrijgen voor immateriële schade wegens verlies van controle over hun persoonsgegevens die zijn verwerkt, zonder dat zij kunnen aantonen in hoeverre derden daadwerkelijk kennis hebben genomen van die gegevens.

    31 In dat verband moet, aangezien artikel 82, lid 1, AVG niet verwijst naar het nationale recht van de lidstaten, het begrip „immateriële schade” in de zin van deze bepaling autonoom en uniform worden gedefinieerd binnen het Unierecht [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 30 en 44 , en  25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 64 ].

    32 Volgens het Hof blijkt niet alleen uit de bewoordingen van artikel 82, lid 1, AVG, gelezen in het licht van de overwegingen 85 en 146 van die verordening, die om een ruime opvatting van het begrip „immateriële schade” in de zin van die eerste bepaling vragen, maar ook uit de doelstelling om natuurlijke personen een hoog beschermingsniveau te bieden op het vlak van de door die verordening bedoelde verwerking van hun persoonsgegevens, dat de vrees die een betrokkene na een inbreuk op diezelfde verordening koestert voor mogelijk misbruik van zijn persoonsgegevens door derden, op zich „immateriële schade” in de zin van dat artikel 82, lid 1, kan vormen [zie in die zin arresten van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punten 79‑86 , en  25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 65 ].

    33 Het verlies van controle over persoonsgegevens, zelfs gedurende een korte tijdspanne, kan „immateriële schade” in de zin van artikel 82, lid 1, AVG opleveren waarvoor een recht op schadevergoeding bestaat, op voorwaarde dat de betrokkene bewijst dat hij daadwerkelijk dergelijke schade heeft geleden, hoe miniem ook, waarbij eraan wordt herinnerd dat een inbreuk op de bepalingen van deze verordening op zichzelf niet volstaat voor de toekenning van een recht op schadevergoeding (zie in die zin arresten van 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 66 , en  11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 42 ).

    34 De persoon die meent dat zijn persoonsgegevens in strijd met de relevante bepalingen van de AVG zijn verwerkt en schadevergoeding vordert op grond van artikel 82, lid 1, van deze verordening, moet dus bewijzen dat hij daadwerkelijk materiële of immateriële schade heeft geleden.

    35 Wanneer iemand louter beweert een vrees te koesteren, zonder dat er negatieve gevolgen zijn aangetoond, kan dit dus geen aanleiding geven tot schadevergoeding op grond van deze bepaling.

    36 Gelet op een en ander dient op de derde vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat de vrees van een persoon dat zijn persoonsgegevens ten gevolge van een inbreuk op deze verordening aan derden zijn doorgegeven zonder dat kan worden aangetoond dat dit daadwerkelijk het geval is geweest, volstaat om een recht op schadevergoeding te doen ontstaan indien die vrees en de negatieve gevolgen ervan naar behoren worden bewezen.

    Vierde en vijfde vraag

    37 Met zijn vierde en zijn vijfde vraag, die samen dienen te worden onderzocht, wenst de verwijzende rechter in essentie te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, ten eerste, de in artikel 83 van deze verordening neergelegde criteria voor de vaststelling van het bedrag van administratieve geldboeten mutatis mutandis moeten worden toegepast en, ten tweede, aan dit recht op schadevergoeding een afschrikkende functie moet worden toegekend.

    38 Wat in de eerste plaats de vraag betreft of bij de vaststelling van het bedrag van de op grond van artikel 82 AVG verschuldigde schadevergoeding eventueel rekening moet worden gehouden met de in artikel 83 AVG genoemde criteria, staat vast dat met deze twee bepalingen verschillende doelstellingen worden nagestreefd. Artikel 83 bepaalt namelijk de „algemene voorwaarden voor het opleggen van administratieve geldboeten”, terwijl artikel 82 het „recht op schadevergoeding en [de] aansprakelijkheid” regelt.

    39 Hieruit volgt dat de in artikel 83 AVG genoemde criteria voor de vaststelling van het bedrag van administratieve geldboeten, welke criteria ook in overweging 148 van deze verordening worden vermeld, niet kunnen worden gebruikt om het bedrag van de schadevergoeding op grond van artikel 82 AVG vast te stellen (arrest van 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 57 ).

    40 De AVG bevat geen bepaling die ertoe strekt de regels vast te stellen voor de vaststelling van het bedrag van de schadevergoeding waarop een betrokkene in de zin van artikel 4, punt 1, van deze verordening op grond van artikel 82 ervan aanspraak kan maken wanneer hij door een inbreuk op die verordening schade heeft geleden. Bij gebreke van Unierechtelijke regels ter zake is het dus een zaak van de rechtsorde van elke lidstaat om de regels vast te stellen voor vorderingen die worden ingediend ter bescherming van de rechten die de justitiabelen aan artikel 82 AVG ontlenen, en in het bijzonder de criteria ter bepaling van de omvang van de in dat verband verschuldigde vergoeding, mits het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel in acht worden genomen [arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 54 , en  11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 58 ].

    41 In de tweede plaats vervult het recht op schadevergoeding waarin artikel 82, lid 1, AVG voorziet geen afschrikkende of zelfs punitieve functie. Hieruit volgt dat de ernst van de inbreuk op deze verordening waardoor de materiële of immateriële schade is veroorzaakt geen invloed kan hebben op het bedrag van de op grond van deze bepaling toegekende schadevergoeding en dat dit bedrag niet kan worden vastgesteld op een niveau dat hoger ligt dan de volledige vergoeding van die schade [zie in die zin arresten van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 86 , en  11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 60 ].

    42 Rekening houdend met de in overweging 146, zesde volzin, AVG bedoelde compenserende functie van het recht op schadevergoeding waarin artikel 82 van deze verordening voorziet, moet een op dit artikel gebaseerde geldelijke vergoeding als „volledig en daadwerkelijk” worden beschouwd indien zij het mogelijk maakt de ten gevolge van de inbreuk op deze verordening concreet geleden schade volledig te vergoeden, zonder dat een dergelijke volledige vergoeding vereist dat er een punitieve schadevergoeding wordt opgelegd [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 57 en 58 , en  11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 61 ].

    43 Gelet op de verschillen qua bewoordingen en doelstellingen tussen artikel 82 AVG, gelezen in het licht van overweging 146 ervan, en artikel 83 AVG, gelezen in het licht van overweging 148 ervan, kan dus niet worden aangenomen dat de specifiek in artikel 83 genoemde beoordelingscriteria mutatis mutandis kunnen worden toegepast in het kader van artikel 82, ondanks het feit dat de in deze twee bepalingen bedoelde rechtsmiddelen elkaar inderdaad aanvullen om de naleving van deze verordening te waarborgen (arrest van 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 62 ).

    44 Gelet op de voorgaande overwegingen dient op de vierde en de vijfde vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, ten eerste, de in artikel 83 van deze verordening neergelegde criteria voor de vaststelling van het bedrag van administratieve geldboeten niet mutatis mutandis mogen worden toegepast en, ten tweede, aan dit recht op schadevergoeding geen afschrikkende functie mag worden toegekend.

    Zesde vraag

    45 Met zijn zesde vraag wenst de verwijzende rechter in essentie te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, rekening moet worden gehouden met gelijktijdig gepleegde inbreuken op nationale bepalingen die de bescherming van persoonsgegevens tot doel hebben maar er niet toe strekken de in deze verordening vervatte regels te specificeren.

    46 Deze vraag wordt gesteld in het licht van het feit dat verzoekers in het hoofdgeding menen dat het feit dat gelijktijdig inbreuk is gemaakt op bepalingen van de AVG en op de Duitse wetgeving die geldt voor belastingadviseurs – die is vastgesteld voordat deze verordening in werking is getreden en er dus niet toe strekt de regels daarvan de specificeren – tot gevolg moet hebben dat de vergoeding die zij op grond van artikel 82, lid 1, AVG vorderen voor de immateriële schade die zij zouden hebben geleden, wordt verhoogd.

    47 In dit verband blijkt uit de vijfde volzin van overweging 146 AVG inderdaad in wezen dat onder verwerking van persoonsgegevens die inbreuk maakt op deze verordening „eveneens een verwerking [valt] die inbreuk maakt op gedelegeerde handelingen en uitvoeringshandelingen die werden vastgesteld overeenkomstig deze verordening, alsmede het lidstatelijke recht waarin in deze verordening vervatte regels worden gespecificeerd”.

    48 De omstandigheid dat met een dergelijke gegevensverwerking tevens inbreuk is gemaakt op nationale bepalingen die betrekking hebben op de bescherming van persoonsgegevens maar er niet toe strekken de regels van de AVG te specificeren, vormt evenwel geen relevante factor bij de vaststelling van het bedrag van de op grond van artikel 82, lid 1, AVG toegekende schadevergoeding. De schending van die nationale bepalingen valt immers niet onder artikel 82, lid 1, van deze verordening, gelezen in samenhang met overweging 146 ervan.

    49 Dit laat onverlet dat de nationale rechter, indien het nationale recht hem daartoe de mogelijkheid biedt, aan de betrokken persoon een hogere schadevergoeding kan toekennen dan de volledige en daadwerkelijke schadevergoeding waarin artikel 82, lid 1, AVG voorziet indien deze laatste vergoeding, rekening houdend met het feit dat de schade mede is veroorzaakt door een schending van nationale bepalingen zoals die bedoeld in het vorige punt, ontoereikend of ongeschikt wordt geacht.

    50 Gelet op de voorgaande overwegingen dient op de zesde vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, geen rekening mag worden gehouden met gelijktijdig gepleegde inbreuken op nationale bepalingen die de bescherming van persoonsgegevens tot doel hebben maar er niet toe strekken de in deze verordening vervatte regels te specificeren.

    Kosten

    51 Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

    Het Hof (Derde kamer) verklaart voor recht:

    1. Artikel 82, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

      moet aldus worden uitgelegd dat

      een inbreuk op deze verordening op zichzelf niet volstaat om een recht op schadevergoeding op grond van deze bepaling te doen ontstaan. De betrokken persoon moet ook aantonen dat deze inbreuk schade heeft veroorzaakt, waarbij evenwel niet vereist is dat deze schade een bepaalde mate van ernst bereikt.

    2. Artikel 82, lid 1, van verordening 2016/679

      moet aldus worden uitgelegd dat

      de vrees van een persoon dat zijn persoonsgegevens ten gevolge van een inbreuk op deze verordening aan derden zijn doorgegeven zonder dat kan worden aangetoond dat dit daadwerkelijk het geval is geweest, volstaat om een recht op schadevergoeding te doen ontstaan indien die vrees en de negatieve gevolgen ervan naar behoren worden bewezen.

    3. Artikel 82, lid 1, van verordening 2016/679

      moet aldus worden uitgelegd dat

      bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, ten eerste, de in artikel 83 van deze verordening neergelegde criteria voor de vaststelling van het bedrag van administratieve geldboeten niet mutatis mutandis mogen worden toegepast en, ten tweede, aan dit recht op schadevergoeding geen afschrikkende functie mag worden toegekend.

    4. Artikel 82, lid 1, van verordening 2016/679

      moet aldus worden uitgelegd dat

      bij de vaststelling van het bedrag van de schadevergoeding die verschuldigd is op grond van deze bepaling, geen rekening mag worden gehouden met gelijktijdig gepleegde inbreuken op nationale bepalingen die de bescherming van persoonsgegevens tot doel hebben maar er niet toe strekken de in deze verordening vervatte regels te specificeren.

    ondertekeningen