HvJ EU, 04-05-2023, nr. C-300/21

Oorspronkelijke taal: Spaans.

Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1) (hierna: ‘AVG’).

Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

Volgens het verslag van het Bureau van de Europese Unie voor de grondrechten (FRA), Access to data protection remedies in the EU Member States, Bureau voor publicaties van de Europese Unie, 2013, punten 3 en 4.

De wettelijke erkenning van dit recht is, in hoge mate, een bijzonder kenmerk van de beschermingsregeling van de Unie. Bij de analyse van de geldigheid van rechtsinstrumenten betreffende de doorgifte van persoonsgegevens aan derde landen wordt specifiek rekening gehouden met de vraag of er al dan niet een regeling met dezelfde doelstelling bestaat. Zie punten 226 en 227 van advies 1/15 (PNR-overeenkomst EU-Canada) van 26 juli 2017 (EU:C:2017:592), alsook arresten van 16 juli 2020, Facebook Ierland en Schrems (C-311/18, EU:C:2020:559), en 21 juni 2022, Ligue des droits humains (C-817/19, EU:C:2022:491).

Op het moment van schrijven van deze conclusie zijn er nog zeven andere verzoeken om een prejudiciële beslissing over dit onderwerp in behandeling (zaken C-340/21, C-667/21, C-687/21, C-741/21, C-182/22, C-189/22 en C-456/22). Tegelijkertijd is aan de Commissie verzoekschriften van het Europees Parlement verzocht ‘de overwegingen van de AVG, in het bijzonder met betrekking tot immateriële schade, te verduidelijken teneinde verdere onjuiste beoordelingen door Duitse rechters te voorkomen’ (verzoekschrift nr. 0386/2021).

De rechter in eerste aanleg heeft het verzoek tot staken van de gedraging daarentegen toegewezen, welke toewijzing in hoger beroep werd bekrachtigd. Het door Österreichische Post ingestelde beroep in Revision tegen het bevel tot staking is verworpen.

Deze term wordt hier gebruikt in de zin van artikel 4, punt 1, AVG.

In sommige gevallen zal de betrokkene niet eens hoeven te bewijzen dat hij geen toestemming heeft gegeven, aangezien krachtens artikel 7, lid 1, AVG geldt dat ‘[w]anneer de verwerking berust op toestemming, […] de verwerkingsverantwoordelijke [moet] kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens’. Wel kan van de eisende partij worden verlangd dat zij elementen aandraagt aan de hand waarvan de schade kan worden gekwantificeerd.

In de Spaanse en de Portugese versie worden respectievelijk ‘indemnización’ en ‘indemnização’ gebruikt voor dit begrip. Zeer expressief is ook ‘Schadenersatz’ in de Duitse versie. In het Frans wordt niet ‘indemnisation’ maar ‘réparation’ gebruikt, en in het Engels staat er ‘compensation’. Mijns inziens is het resultaat in elk van deze taalversies — alsmede in andere overeenkomstige taalversies — identiek: schade blijft een onontbeerlijk bestanddeel van de wettelijke aansprakelijkheid.

Overweging 146 AVG. Een schadevergoeding beoogt het evenwicht te herstellen van de rechtssituatie die door de inbreuk op het recht in negatieve zin is gewijzigd (geschaad).

Punitieve schadevergoedingen (punitive damages) zijn kenmerkend voor de common law. In andere rechtsstelsels worden dergelijke schadevergoedingen gebruikt in geval van gedragingen waarbij sprake is van specifieke opzet of ernstige nalatigheid. Zij worden soms gekoppeld aan de beoordeling van immateriële schade na een aantasting van de lichamelijke integriteit of van de persoonlijke levenssfeer.

Arrest van 13 juli 2006, Manfredi e.a. (C-295/04—C-298/04, EU:C:2006:461, punt 92): ‘Wat de toekenning van schadevergoeding betreft en de eventuele mogelijkheid om punitieve schadevergoeding toe te kennen, dient bij gebreke van communautaire bepalingen ter zake de nationale rechtsorde van elke lidstaat de criteria te bevatten ter bepaling van de omvang van de schadevergoeding, mits het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel in acht worden genomen.’ Cursivering van mij.

Arrest van 11 oktober 2007, Paquay (C-460/06, EU:C:2007:601, punten 44 e.v.), betreffende artikel 6 van richtlijn 76/207/EEG van de Raad van 9 februari 1976 betreffende de tenuitvoerlegging van het beginsel van gelijke behandeling van mannen en vrouwen ten aanzien van de toegang tot het arbeidsproces, de beroepsopleiding en de promotiekansen en ten aanzien van de arbeidsvoorwaarden (PB 1976, L 39, blz. 40).

Artikel 28 van richtlijn 2004/109/EG van het Europees Parlement en de Raad van 15 december 2004 betreffende de transparantievereisten die gelden voor informatie over uitgevende instellingen waarvan effecten tot de handel op een gereglementeerde markt zijn toegelaten en tot wijziging van richtlijn 2001/34/EG (PB 2004, L 390, blz. 38) en artikel 25 van richtlijn 2006/54/EG van het Europees Parlement en de Raad van 5 juli 2006 betreffende de toepassing van het beginsel van gelijke kansen en gelijke behandeling van mannen en vrouwen in arbeid en beroep (PB 2006, L 204, blz. 23).

Waarmee een punitieve schadevergoeding wordt bedoeld. Zie overweging 26 van richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB 2004, L 157, blz. 45). In dat geval is de vaststelling van een punitieve maatregel niet verboden, maar ook niet verplicht: arrest van 25 januari 2017, Stowarzyszenie Oławska Telewizja Kablowa (C-367/15, EU:C:2017:36, punt 28).

Artikel 3, lid 3, van richtlijn 2014/104/EU van het Europees Parlement en de Raad van 26 november 2014 betreffende bepaalde regels voor schadevorderingen volgens nationaal recht wegens inbreuken op de bepalingen van het mededingingsrecht van de lidstaten en van de Europese Unie (PB 2014, L 349, blz. 1), alsook overwegingen 10 en 42 van richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van richtlijn 2009/22/EG (PB 2020, L 409, blz. 1), die ook betrekking heeft op gegevensbescherming.

Artikel 18, lid 2, van verordening (EG) nr. 1768/95 van de Commissie van 24 juli 1995 houdende vaststelling, overeenkomstig artikel 14, lid 3, van verordening (EG) nr. 2100/94 van de Raad inzake het communautaire kwekersrecht, van uitvoeringsbepalingen betreffende de afwijking ten gunste van landbouwers (PB 1995, L 173, blz. 14) wordt vaak als voorbeeld genoemd: de in die bepaling bedoelde inbreukmaker is ‘ter vergoeding aan de houder van alle andere […] ontstane schade […] gehouden tot betaling van ten minste een forfaitaire som, berekend op basis van het viervoud van het gemiddelde bedrag dat in rekening wordt gebracht’.

Zie punt 47.

De begrippen ‘publieke handhaving’ en ‘privaatrechtelijke handhaving’ worden in deze conclusie in dezelfde betekenis als in richtlijn 2014/104 gebruikt.

In overweging 55 van richtlijn 95/46 werd verwezen naar de inhoud van hoofdstuk III (‘Beroep op de rechter, aansprakelijkheid en sancties’) van die richtlijn. Deze drie aspecten werden respectievelijk behandeld in de artikelen 22, 23 en 24. Hoofdstuk VI was gewijd aan de toezichthoudende autoriteiten.

Het Hof heeft de centrale rol van deze autoriteiten in het stelsel bevestigd: bijvoorbeeld in zijn arrest van 9 maart 2010, Commissie/Duitsland (C-518/07, EU:C:2010:125, punt 23). Deze autoriteiten worden tevens genoemd in artikel 8, lid 3, van het Handvest van de grondrechten van de Europese Unie (hierna: ‘Handvest’) en artikel 16, lid 2, in fine, VWEU.

In Estland en Denemarken geldt een speciale regeling, als bedoeld in overweging 151 AVG.

Hoewel in de AVG niet, zoals in overweging 3 van richtlijn 2014/104, rechtstreeks wordt verwezen naar de relevantie van privaatrechtelijke handhaving van de regels.

De instelling van collectieve vorderingen was al vóór de AVG mogelijk: arrest van 29 juli 2019, Fashion ID (C-40/17, EU:C:2019:629). Overeenkomstig artikel 80, lid 1, AVG kan voor schadevergoedingszaken geen beroep worden gedaan op entiteiten die de betrokkenen verdedigen, tenzij het lidstatelijke recht daarin voorziet en de betrokkene daartoe de vereiste opdracht geeft. Deze situatie kan veranderen ten gevolge van richtlijn 2020/1828.

Zoals advocaat-generaal De La Tour in zijn conclusie in de zaak Meta Platforms Ireland (C-319/20, EU:C:2021:979) heeft aangegeven, is de vordering op grond van artikel 80 AVG geschikt om zowel particuliere als algemene belangen te beschermen. In die zaak ging het om een verbodsactie.

Dit speelde vooral in lidstaten die afwijzend stonden tegenover de toekenning van vergoedingen voor immateriële schade zonder wettelijke bepaling ter zake.

Zoals passieve legitimatie, gronden voor vrijstelling van aansprakelijkheid en de aansprakelijkheidsregeling voor gezamenlijke verwerkingsverantwoordelijken en gezamenlijk opererende verwerkers. In een document van de Raad van de Europese Unie stelt de Belgische delegatie de volgende kwestie aan de orde: ‘whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage’. Het antwoord van de Commissie luidde dat de schade moet worden bewezen; zie voor het eerst in nota van het voorzitterschap nr. 17831/13 van 16 december 2013, voetnoot 541. Nergens blijkt dat deze kwestie verder is besproken.

Hierbij verwijs ik naar de discussies die voorafgingen aan de vaststelling van de richtlijnen 2004/48 en 2014/104. Een uitlegging waarbij artikel 82 AVG wordt uitgebreid tot punitieve schadevergoedingen zou aanzienlijke gevolgen hebben voor de lidstaten: zij zouden zich bijvoorbeeld moeten buigen over de vraag wie de als sanctie fungerende schadevergoeding moet ontvangen, hoe deze moet worden berekend zodat zij aan de doelstelling beantwoordt, of hoe deze moet worden gekoppeld aan administratieve geldboeten en straffen, teneinde te voorkomen dat de bestraffing te zwaar wordt.

Deze ‘andere sancties’, van strafrechtelijke of bestuursrechtelijke aard, zijn niet geharmoniseerd. Evenals geldboeten moeten zij ‘doeltreffend, evenredig en afschrikkend’ zijn (artikel 84, lid 1, in fine).

Mijns inziens is het niet uitgesloten dat sommige factoren in abstracto wel relevant kunnen zijn in het kader van de wettelijke aansprakelijkheid [ik denk bijvoorbeeld aan ‘de opzettelijke of nalatige aard van de inbreuk’ in artikel 83, lid 2, onder b), AVG] of tot uiting kunnen komen in de schadevergoeding [bijvoorbeeld ‘de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft’ in artikel 83, lid 2, onder g), AVG]. Maar zelfs in deze gevallen zou de overdracht van elke factor van het ene gebied naar het andere niet automatisch verlopen.

Artikel 83, lid 2, onder a), AVG.

Noch als parameter voor de berekening, noch om deze van het bedrag af te trekken.

Artikel 1 AVG en overwegingen 6, 9 en 170. In overweging 9 wordt eraan herinnerd dat dit de doelstellingen van richtlijn 95/46 waren en wordt aangegeven dat zij overeind blijven. Doorgaans wordt erop gewezen dat in richtlijn 95/46 de doelstelling van het vrije verkeer van persoonsgegevens prevaleerde boven die van de bescherming, terwijl in de AVG het omgekeerde het geval is. Dit zou kunnen worden verklaard door de formele erkenning van het recht op bescherming van persoonsgegevens in artikel 8 van het Handvest, dat in de nieuwe verordening moest worden overgenomen. Artikel 1 AVG is echter duidelijk over de bedoeling om de bescherming van persoonsgegevens in overeenstemming te brengen met het vrije verkeer van die gegevens. Dit betekent natuurlijk dat ervoor moet worden gezorgd dat het beschermingsniveau in alle lidstaten gelijkwaardig is en dat belemmeringen als gevolg van de versnippering van de regelgeving moeten worden vermeden, maar ook dat de terughoudendheid van particulieren om persoonsgegevens te delen of te verstrekken met het oog op de verwerking ervan, moet worden weggenomen door bij hen het vertrouwen te doen ontstaan dat hun persoonsgegevens worden beschermd.

In punt 53 van haar opmerkingen stelt de Ierse regering: ‘very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage’ (cursivering van mij). In Duitsland wordt in de rechtsleer gewaarschuwd voor het risico van misbruik van vorderingen en wordt erop gewezen dat de totstandkoming van een ‘datenschutzrechtliche Klageindustrie’ moet worden voorkomen: Wybitul, T., Neu, L., en Strauch, M., ‘Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen’, Zeitschrift für Datenschutz, 2018, blz. 202 e.v., met name blz. 206, alsook Paal, B. P., en Kritzer, I., ‘Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell’, Neue Juristische Wochenschrift, 2022, blz. 2433 e.v.

Er kan niet worden uitgesloten dat een succesvolle civielrechtelijke aansprakelijkheidsvordering zonder dat er sprake is van schade een ‘aanzuigend effect’ of multiplicatoreffect heeft. Dit zou de kans vergroten dat marktdeelnemers niet alleen met mogelijke bestuursrechtelijke of strafrechtelijke sancties te maken krijgen, maar ook met collectieve vorderingen, of met talloze individuele vorderingen (waarbij er, al naargelang het geval, in mindere of meerdere mate sprake is van misbruik).

De partijen suggereren dit standpunt slechts, maar gaan er niet dieper op in. Zo wordt niet gespecificeerd of het om een onweerlegbaar dan wel een weerlegbaar vermoeden zou gaan. De eerste mogelijkheid strookt het best met de vraag van de verwijzende rechter, zodat ik mij daartoe zal beperken.

Zie artikel 7 van verordening (EG) nr. 261/2004 van het Europees Parlement en de Raad van 11 februari 2004 tot vaststelling van gemeenschappelijke regels inzake compensatie en bijstand aan luchtreizigers bij instapweigering en annulering of langdurige vertraging van vluchten en tot intrekking van verordening (EEG) nr. 295/91 (PB 2004, L 46, blz. 1) en artikel 19 van verordening (EU) nr. 1177/2010 van het Europees Parlement en de Raad van 24 november 2010 betreffende de rechten van passagiers die over zee of binnenwateren reizen en houdende wijziging van verordening (EG) nr. 2006/2004 (PB 2010, L 334, blz. 1).

Zonder hier nader op in te gaan, zie artikel 82, leden 3 en 4, AVG.

‘[W]anneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen’.

‘Een inbreuk in verband met persoonsgegevens kan […] voor natuurlijke personen [resulteren] in […] verlies van controle over hun persoonsgegevens’.

De in die overweging genoemde gevolgen treden niet automatisch in. Overeenkomstig artikel 34 AVG moet de verwerkingsverantwoordelijke in elk afzonderlijk geval beoordelen of het nodig is om de betrokkene van de inbreuk in kennis te stellen.

Emotionele gevolgen in verband met het verlies van controle over gegevens, zoals angst voor of bezorgdheid over wat er met de gegevens zou kunnen gebeuren, resulteren uit het verlies, maar zijn er niet identiek aan.

Sommige lidstaten hebben een vermoeden van schade ingevoerd op gebieden die nauw verband houden met gegevensbescherming. Zo is in Spanje in artikel 9, lid 3, van organieke wet 1/1982 van 5 mei 1982 betreffende de civielrechtelijke bescherming van het recht op eer, de eerbiediging van het privéleven en het familie- en gezinsleven en het imago van het individu (BOE nr. 115 van 14 mei 1982, blz. 12546–12548) bepaald dat ‘het bestaan van schade wordt vermoed wanneer de onrechtmatige inmenging [in de door die wet gewaarborgde rechten] wordt erkend’.

Opgemerkt zij dat in dit geschil de onrechtmatigheid van de gedraging juist verband houdt met het ontbreken van toestemming van de betrokkene. De argumenten betreffende de plaats die het recht op schadevergoeding inneemt onder de waarborgen voor de naleving van de regels van de AVG, zijn hier evenzeer relevant.

Het betreft echter slechts één grond voor rechtmatige verwerking en alle in de AVG genoemde gronden hebben dezelfde rechtsgeldigheid. Zie advies 06/2014 van de Groep gegevensbescherming artikel 29 over het begrip ‘gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke’ in artikel 7 van richtlijn 95/46, vastgesteld op 9 april 2014, blz. 10. De verwerkingsverantwoordelijke kan de grond voor de verwerking niet wijzigen zodra deze verwerking is aangevat: Europees Comité voor gegevensbescherming, richtsnoeren 05/2020 inzake toestemming overeenkomstig verordening 2016/679, punten 121–123.

Artikel 17, lid 1, AVG. Dit betekent echter niet dat er geen recht is op vergoeding van schade die eventueel is veroorzaakt door de verwerking die tot het moment van wissing heeft plaatsgevonden.

Arrest van 13 mei 2014, Google Spain en Google (C-131/12, EU:C:2014:317, punt 4 van het dictum).

Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), [COM(2012) 011 final], blz. 2 en overweging 6 van de voorgestelde tekst. Zie tevens punt 2 van de mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's ‘Privacywaarborging in het online tijdperk. Een Europees gegevensbeschermingskader voor de 21e eeuw’ [COM(2012) 09 final].

Mij lijkt dit stilzwijgen geen toeval. Afgezien van de conceptuele beschouwingen over de eigendom van persoonsgegevens, rijst de vraag of moet worden aangenomen dat de controle over hun gegevens erop neerkomt dat natuurlijke personen beschikken over een recht op eigendom wat de hen betreffende informatie betreft (hetgeen waarschijnlijk niet verenigbaar zou zijn met de belangen van derden en de samenleving als geheel). De aanbeveling om een recht op eigendom van persoonsgegevens te erkennen, staat in het advies van het Europees Economisch en Sociaal Comité over het ‘Voorstel voor een verordening van het Europees Parlement en de Raad betreffende Europese datagovernance (datagovernanceverordening)’, COM(2020) 767 final (PB 2021, C 286, blz. 38), punt 4.18: ‘Het EESC beveelt […] aan om een Europees recht op eigendom van digitale gegevens te erkennen, zodat burgers (werknemers, consumenten, ondernemers) in staat worden gesteld het gebruik van hun gegevens te controleren en te beheren of dat gebruik te verbieden’ (cursivering van mij). Voor de tegenovergestelde zienswijze (gegevens zijn geen goed) zie voetnoot 53, in fine.

In de Spaanse overweging staat er: ‘Las personas físicas deben tener el control de sus propios datos personales’ (cursivering van mij). In het Engels luidt deze overweging: ‘Natural persons should have control of their own personal data’ (en niet ‘the control’). In andere taalversies, zoals het Portugees, staat er: ‘As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais.’ Overeenkomstig artikel 4 AVG heeft de controle over persoonsgegevens betrekking op de in die gegevens vervatte informatie. De controle over het gebruik van de gegevens heeft veeleer betrekking op de verwerking ervan.

In de praktijk blijft de toestemming beperkt tot de aanvaarding of weigering van het voorstel van de verwerkingsverantwoordelijke.

Volgens mij kan niet worden uitgesloten dat het rechtsstelsel zich zodanig ontwikkelt dat eigendomsrechten worden erkend voor de betrokkene. Mij lijkt het twijfelachtig dat dit tot een maximalisering van de individuele controle zal leiden: een dominante eigendomspositie van de betrokkene over persoonsgegevens zou weleens niet goed kunnen samengaan met de ontwikkeling van de economie en met innovatie; de verenigbaarheid ervan met de dimensie van grondrecht zou betwistbaar zijn. Zie overweging 24 van richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten (PB 2019, L 136, blz. 1): ‘Hoewel deze richtlijn volledig onderkent dat de bescherming van persoonsgegevens een grondrecht is en dat persoonsgegevens dan ook niet kunnen worden beschouwd als een goed […].’ Cursivering van mij.

Formuleringen zoals die welke voor artikel 19 zijn voorgesteld in de nota van het presidium, Projet de Charte des Droits Fondamentaux de l'Union Européenne, Charte 4284/1/00 REV 1, van 11 mei 2000, hebben het niet gehaald: ‘Toute personne a le droit de décider elle-même de la divulgation et de l'utilisation de ses données personnelles.’ Hetzelfde geldt voor de formulering van dezelfde bepaling in de nota van het presidium, Projet de Charte des Droits Fondamentaux de l'Union Européenne, Charte 4333/00, van 4 juni 2000: ‘Toute personne a le droit de décider elle-même de la collecte, de l'utilisation et de la divulgation des données à caractère personnel la concernant.’ Op nationaal niveau heeft het idee van informationele zelfbeschikking in sommige lidstaten ingang gevonden, zoals in Duitsland na de uitspraak van het Bundesverfassungsgericht (federaal grondwettelijk hof, Duitsland) van 15 december 1983, 1 BvR 209/83. Zie in Spanje bijvoorbeeld arrest 292/2000 van het Tribunal Constitucional (grondwettelijk hof, Spanje) van 30 november 2000 (BOE van 4 januari 2001). Of dit het geval is in de Unie weet ik niet zeker, maar de conclusie van advocaat-generaal Szpunar in de zaak Orange Romania (C-61/19, EU:C:2020:158, punt 37) tendeert — onder verwijzing naar de Duitse rechtsleer — wel in die richting: ‘In het Unierecht inzake gegevensbescherming wordt in beginsel uitgegaan van een onafhankelijk genomen besluit van een individu dat in staat is keuzen te maken met betrekking tot het gebruik en de verwerking van zijn of haar gegevens.’

Ontwerpverslag over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) [COM(2012) 011 — C7–0025/2012–2012/0011(COD)], PE501.927v04-00, 16 januari 2013, amendement 29.

Hierbij suggereer ik niet dat de inbreuk op de regel onbestraft moet blijven: volgens mij is een schadevergoeding niet het juiste instrument indien er geen schade is opgetreden.

Hoewel het op zich geen doelstelling is van de AVG om een individu controle te verlenen over zijn persoonsgegevens, sluit ik niet uit dat het verlies van controle als leidraad kan dienen voor de vaststelling van immateriële schade, in die zin dat rekening wordt gehouden met hoe er wordt gereageerd ten aanzien van dat verlies.

Zie punt 51 van deze conclusie. Het vrije verkeer van gegevens is de enige doelstelling met betrekking tot de niet-persoonsgebonden gegevens: artikel 1 van verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB 2018, L 303, blz. 59).

Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's ‘Privacywaarborging in het online tijdperk — Een Europees gegevensbeschermingskader voor de 21e eeuw’ [COM(2012) 09 final], punt 1. Zie tevens op blz. 5: ‘bezorgdheid omtrent hun privacy [houdt] mensen heel vaak tegen om goederen en diensten online te kopen’.

In overweging 2 AVG staat te lezen: ‘[…] Deze verordening beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen.’ Uit overweging 4 volgt dat ‘[h]et recht op bescherming van persoonsgegevens […] geen absolute gelding [heeft], maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en […] conform het evenredigheidsbeginsel tegen andere grondrechten [moet] worden afgewogen’. Zie in dezelfde geest arrest van 24 september 2019, Google (Territoriale reikwijdte van de verwijdering van links) (C-507/17, EU:C:2019:772, punt 60, met verdere verwijzingen).

Deze doelstelling is ook aanwezig in het regelgevingskader ter versterking van de interne markt voor gegevens. In die zin wordt in punt 1 van de mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's ‘Een Europese datastrategie’, COM(2020) 66 final, blz. 1, verklaard: ‘In een samenleving waarin iedereen steeds meer data genereert is het belangrijk hoe die data worden verzameld en gebruikt. Het belang van de burger moet daarbij altijd op de eerste plaats komen, in overeenstemming met de Europese waarden, grondrechten en regels. De burger zal datagestuurde innovaties alleen vertrouwen als hij ervan op aan kan dat persoonsgegevens in de EU alleen maar worden gedeeld volgens de strenge privacyregels van de EU.’

De verwijzende rechter lijkt te vrezen (punt 5 van de motivering van de vragen) dat de schadevergoeding uiteindelijk een punitief karakter krijgt doordat de AVG reeds in hoge geldboeten voorziet, waardoor met het oog op doeltreffendheid niet ook nog een hoge vergoeding voor immateriële schade vereist zou zijn.

Zaak C-30/19, Braathens Regional Aviation (EU:C:2021:269, punt 49): ‘[D]e betaling van een geldbedrag [volstaat] in dit verband niet om te voldoen aan de aanspraken van een persoon die door middel van een vergoeding voor de geleden immateriële schade bovenal de erkenning wenst te verkrijgen dat hij is gediscrimineerd, zodat deze betaling niet kan worden geacht een voor dat doel toereikende herstellende functie te hebben.’ Die zaak betrof richtlijn 2000/43/EG van de Raad van 29 juni 2000 houdende toepassing van het beginsel van gelijke behandeling van personen ongeacht ras of etnische afstamming (PB 2000, L 180, blz. 22).

Zie Magnus, U., ‘Comparative Report on the Law of Damages’, in Unification of Tort Law: Damages, Kluwer Law International, 2001, blz. 187, punten 14 en 15.

Doorgaans in de common law-stelsels, met name in de Verenigde Staten, waar de vordering tot een symbolische schadevergoeding het laatste rechtsmiddel voor de verdediging van grondwettelijke rechten is. Voor een samenvatting van de besprekingen over het nut van dergelijke schadevorderingen in dat land, zie Grealish, M-B., ‘A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion’, in Fordham L. Rev., deel 87, blz. 733, en onlangs het arrest van het Amerikaanse Hooggerechtshof van 8 maart 2021 in Uzuegbunam tegen Preczewski. Ook in het Verenigd Koninkrijk worden nominal damages niet zonder meer aanvaard: aangenomen wordt dat het belang van toekenning van een symbolische schadevergoeding in de praktijk afhangt van de vraag of de begunstigde met het oog op de toewijzing van de proceskosten wordt beschouwd als de in het gelijk gestelde partij, hetgeen sinds het arrest Anglo-Cyprian Trade Agencies Ltd/Paphos Wine Industries Ltd [1951] 1 All ER 873 niet automatisch het geval is.

Het Hof heeft in het kader van (het toenmalige) artikel 215 EEG-Verdrag de eisende partij gevraagd bewijs te leveren voor de schade, zelfs wanneer, gelet op de moeilijkheid om deze schade te bewijzen, een symbolische schadevergoeding wordt gevorderd: arrest van 21 mei 1976, Roquette Frères/Commissie (26/74, EU:C:1976:69, punten 23 en 24).

In de context van de intellectuele eigendom dient de schadevergoeding, als reactie op de inbreuk op de regel, om het eigenlijke wezenlijke doel ter zake te bereiken, namelijk de bescherming van de financiële integriteit van het recht. Artikel 13, lid 1, onder a), van richtlijn 2004/48 verwijst naar ‘de onrechtmatige winst die de inbreukmaker heeft genoten’ als een van de factoren waarmee de rechterlijke instanties rekening moeten houden bij de vaststelling van de schadevergoeding.

Een soortgelijke bepaling is opgenomen in artikel 94, lid 2, van verordening (EG) nr. 2100/94 van de Raad van 27 juli 1994 inzake het communautaire kwekersrecht (PB 1994, L 227, blz. 1): ‘In geval van lichte onachtzaamheid mag de vordering tot schadevergoeding in evenredige mate verminderd worden, doch niet tot een lager bedrag dan overeenkomt met het voordeel dat voor de overtreder uit de inbreuk is ontstaan.’

Het feit dat emoties of gevoelens niet onder woorden kunnen worden gebracht, vooral wanneer zij betrekking hebben op risico's omtrent wat er in de toekomst met de gegevens zou kunnen gebeuren, heeft ertoe geleid dat zij niet als schade worden beschouwd omdat zij niet concreet genoeg zijn of een hypothetisch karakter hebben.

Dus om chefs de préjudice of heads of damages.

Volgens deze overweging moeten de betrokkenen een ‘volledige en daadwerkelijke’ schadevergoeding ontvangen. Mijns inziens zijn deze bewoordingen niet relevant voor de derde prejudiciële vraag, aangezien zij geen betrekking hebben op de categorieën van schade die in aanmerking komt voor vergoeding, maar op de berekening van de schadevergoeding (een stap die logischerwijs volgt op, en niet mag worden verward met, de vaststelling van wat in aanmerking komt voor vergoeding). Gelet op de ontstaansgeschiedenis van de AVG zorgt de nadruk op ‘volledige en daadwerkelijke’ schadevergoeding ervoor dat de betrokkenheid van verschillende verwerkingsverantwoordelijken of verwerkers niet resulteert in slechts een gedeeltelijke vergoeding voor de betrokkene. Daarom is in artikel 82, lid 4, AVG het volgende bepaald: ‘[E]lke verwerkingsverantwoordelijke of verwerker [wordt] voor de gehele schade aansprakelijk gehouden teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed.’

In artikel 23 van richtlijn 95/46 was niet gespecificeerd welke schade voor vergoeding in aanmerking kwam, hetgeen aanleiding gaf tot een debat over de vraag welke schade onder de richtlijn viel. De aan de AVG voorafgaande onderhandelingen waren erop gericht de twijfels over de opneming van immateriële schade weg te nemen. In overweging 118 van het in voetnoot 49 genoemde voorstel van de Commissie werd verwezen naar de vergoeding van de schade. In de daaropvolgende fasen van de medewetgevingsprocedure werd gesproken over ‘de al dan niet geldelijke schade’, wat plaats zou maken voor de formulering ‘de al dan niet financiële schade’ en uiteindelijk zou leiden tot de huidige uitdrukking ‘materiële of immateriële schade’.

Het Hof heeft zich niet over deze kwestie gebogen met betrekking tot artikel 23 van richtlijn 95/46 en evenmin, tot dusver, met betrekking tot artikel 82 AVG. Tenzij ik mij vergis, geldt hetzelfde met betrekking tot artikel 56 van richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89), alsook met betrekking tot artikel 19 van het ingetrokken kaderbesluit.

Het heeft ook niet aangegeven dat een bepaalde methode van uitlegging — autonoom of onder verwijzing naar de nationale rechtsstelsels — de voorkeur verdient: dit hangt af van welk onderwerp er aan de orde is. Vergelijk de arresten van 10 mei 2001, Veedfald (C-203/99, EU:C:2001:258, punt 27), over producten met gebreken; 6 mei 2010, Walz (C-63/09, EU:C:2010:251, punt 21), over de aansprakelijkheid van luchtvervoerders, en 10 juni 2021, Van Ameyde España (C-923/19, EU:C:2021:475, punten 37 e.v.), over de wettelijke aansprakelijkheid voor ongevallen ten gevolge van de deelneming aan het verkeer van motorrijtuigen. Uit de documenten met betrekking tot de onderhandelingen over de AVG blijkt dat de lidstaten twijfelden of de begrippen schade en schadevergoeding in (het toenmalige) artikel 77 al dan niet autonoom moesten zijn, en blijkt verder dat er verschillende standpunten bestonden. De Commissie was er voorstander van de kwestie aan het Hof over te laten. Zie de Raad, nota van het voorzitterschap nr. 17831/13 van 16 december 2013, voetnoot 539.

Bijvoorbeeld consumenten van producten of slachtoffers van verkeersongevallen.

Zie, op het gebied van pakketreizen, arrest van 12 maart 2002, Leitner (C-168/00, EU:C:2002:163), alsmede, op het gebied van de wettelijke aansprakelijkheid waartoe deelneming aan het verkeer van motorrijtuigen aanleiding kan geven, de arresten van 24 oktober 2013, Haasová (C-22/12, EU:C:2013:692, punten 47–50); 24 oktober 2013, Drozdovs (C-277/12, EU:C:2013:685, punt 40), en 23 januari 2014, Petillo (C-371/12, EU:C:2014:26, punt 35).

Arrest van 23 januari 2014, Petillo (C-371/12, EU:C:2014:26, dictum), waaruit blijkt dat het Unierecht zich niet verzet tegen ‘een nationale wettelijke regeling […] die een bijzonder stelsel inhoudt voor de vergoeding van immateriële schade die voortvloeit uit lichte verwondingen ten gevolge van verkeersongevallen op de weg en waarin de vergoeding van deze schade is beperkt ten opzichte van de vergoeding die kan worden toegewezen voor identieke schade die voortvloeit uit andere oorzaken dan [verkeers]ongevallen’.

Zie bijvoorbeeld de arresten van 12 maart 2002, Leitner (C-168/00, EU:C:2002:163), over gederfd vakantiegenot, en 6 mei 2010, Walz (C-63/09, EU:C:2010:251), over het verlies van bagage in het kader van pakketreizen.

In het arrest van 17 maart 2016, Liffers (C-99/15, EU:C:2016:173, punt 17), over de uitlegging van richtlijn 2004/48, werd onderstreept dat immateriële schade, ‘mits die schade is bewezen’, deel uitmaakt van de werkelijk geleden schade. Logischerwijs veronderstelt het bewijs dat de schade reëel is; dit benadert het concept betreffende de ernst van de inbreuk, maar valt er niet mee samen.

Zie punt 51 van deze conclusie.

Zie punten 45 e.v. van deze conclusie.

Zie recentelijk op het gebied van gegevensbescherming, in Italië Tribunale di Palermo, sez. I civile (rechter in eerste aanleg, civiele kamer nr. 1, Palermo, Italië), vonnis nr. 5261 van 5 oktober 2017, alsook Cass Civ. Sez 6 (hoogste rechter in civiele en strafzaken, kamer nr. 6, Italië), beschikking nr. 17383/2020. In Duitsland onder meer Amtsgericht Diez (rechter in eerste aanleg Diez, Duitsland), 7 november 2018–8 C 130/18; Landgericht Karlsruhe (rechter in eerste aanleg Karlsruhe, Duitsland), 2 augustus 2019–8 O 26/19, en Amtsgericht Frankfurt am Main (rechter in eerste aanleg Frankfurt am Main, Duitsland), 10 juli 2020–385 C 155/19 (70). In Oostenrijk, Oberster Gerichtshof, 6 Ob 56/21k.

Zie arrest van 23 oktober 2012, Nelson e.a. (C-581/10 en C-629/10, EU:C:2012:657, punt 51), over het onderscheid tussen ‘schade’ in de zin van artikel 19 van het op 28 mei 1999 te Montreal gesloten Verdrag tot het brengen van eenheid in enige bepalingen inzake het internationale luchtvervoer en ‘ongemak’ in de zin van verordening nr. 261/2004, dat kan worden vergoed op grond van artikel 7 van die verordening, gelet op het arrest van 19 november 2009, Sturgeon e.a. (C-402/07 en C-432/07, EU:C:2009:716). In deze sector heeft de wetgever, net als in het geval van het passagiersvervoer over zee en over binnenwateren, dat onder verordening nr. 1177/2010 valt, een abstracte categorie kunnen vaststellen omdat de aan die moeilijkheden ten grondslag liggende factor en de essentie van de moeilijkheden voor alle benadeelden identiek zijn. Volgens mij is een dergelijke gevolgtrekking niet mogelijk op het gebied van gegevensbescherming.

Het typische mechanisme voor de uitoefening van het recht uit hoofde van artikel 82 AVG is de gang naar de gewone rechter. Het doeltreffendheidsbeginsel kan uiteraard grenzen stellen aan de toepassing van nationale regels op aspecten zoals proceskosten of bewijsmateriaal. De moeilijkheid om te erkennen dat ook ongemak op zich in aanmerking komt voor vergoeding, is echter niet alleen te wijten aan de wanverhouding tussen de geldelijke waarde ervan en de kosten van een rechtszaak (nog afgezien van het feit dat de kosten van de rechtspleging niet alleen door de partijen worden gedragen). Gezien het stilzwijgen van de AVG lijkt het mij niet gerechtvaardigd om van de lidstaten te verlangen dat zij een ad-hocprocedure uitwerken.

Ter herinnering: overeenkomstig artikel 82, lid 3, AVG wordt de verwerkingsverantwoordelijke of de verwerker alleen van aansprakelijkheid vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

Met deze overwegingen wil ik niet vooruitlopen op de vraag of de situatie van UI in casu onder de ene of de andere categorie valt, daar dit ter beoordeling van de verwijzende rechter staat.

Hetzelfde geldt voor het bedrag van de vergoeding.