Domstolens dom (tredje avdelningen) den 21 december 2023
Hänvisat till av
I mål C‑667/21, angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland) genom beslut av den 26 augusti 2021, som inkom till domstolen den 8 november 2021, i målet
DOMSTOLEN (tredje avdelningen) sammansatt av avdelningsordföranden K. Jürimäe samt domarna N. Piçarra, M. Safjan, N. Jääskinen (referent) och M. Gavalec, generaladvokat: M. Campos Sánchez-Bordona, justitiesekreterare: A. Calot Escobar,
efter det skriftliga förfarandet,
med beaktande av de yttranden som avgetts av: ZQ, genom E. Daun, Rechtsanwalt, Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, genom M. Wehner, Rechtsanwalt, Irland, genom M. Browne, Chief State Solicitor, A. Joyce och M. Lane, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL, Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av M. Russo, avvocato dello Stato, Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,
och efter att den 25 maj 2023 ha hört generaladvokatens förslag till avgörande,
följande
Dom
Tillämpliga bestämmelser
Unionsrätt
Tysk rätt
Målet vid den nationella domstolen och tolkningsfrågorna
Prövning av tolkningsfrågorna
Den första frågan
Den andra frågan
Den tredje frågan
Den fjärde frågan
Den femte frågan
Rättegångskostnader
1 Begäran om förhandsavgörande avser tolkningen av artikel 9.1, 9.2 h och 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen), jämförd med artikel 6.1 i samma förordning, samt tolkningen av artikel 82.1 i förordningen.
2 Begäran har framställts i ett mål mellan ZQ och hans arbetsgivare Medizinischer Dienst der Krankenversicherung Nordrhein (sjukförsäkringskassan i Nordrhein, Tyskland) (nedan kallad MDK Nordrhein). Målet rör ersättning för den skada som ZQ påstår sig ha lidit till följd av den otillåtna behandling av uppgifter om hans hälsa, som MDK Nordrhein ska ha gjort sig skyldig till.
3 Skälen 4–8, 10, 35, 51–53, 75 och 146 i dataskyddsförordningen har följande lydelse:
4 I kapitel I i förordningen, som innehåller allmänna bestämmelser, återfinns artikel 2, med rubriken Materiellt tillämpningsområde, där följande föreskrivs i punkt 1:
5 I artikel 4 i förordningen, med rubriken Definitioner, föreskrivs följande:
6 Kapitel II i dataskyddsförordningen, som gäller [p]rinciper, innehåller artiklarna 5–11.
7 I artikel 5 i dataskyddsförordningen, med rubriken Principer för behandling av personuppgifter, föreskrivs följande:
8 I artikel 6 i förordningen, med rubriken Laglig behandling av personuppgifter, föreskrivs följande i punkt 1:
9 I artikel 9 i samma förordning, med rubriken Behandling av särskilda kategorier av personuppgifter, föreskrivs följande:
10 Kapitel IV i dataskyddsförordningen, med rubriken Personuppgiftsansvarig och personuppgiftsbiträde, innehåller artiklarna 24–43.
11 I avsnitt 1 i detta kapitel, med rubriken Allmänna skyldigheter, återfinns artikel 24, som har rubriken Den personuppgiftsansvariges ansvar, där följande föreskrivs i punkt 1:
12 I avsnitt 2 i nämnda kapitel, med rubriken Säkerhet för personuppgifter, återfinns artikel 32, som i sin tur har rubriken Säkerhet i samband med behandlingen, där följande föreskrivs i punkt 1:
13 Kapitel VIII i dataskyddsförordningen, med rubriken Rättsmedel, ansvar och sanktioner, innehåller artiklarna 77–84.
14 I artikel 82 i förordningen, med rubriken Ansvar och rätt till ersättning, föreskrivs följande:
15 I artikel 83 i dataskyddsförordningen, med rubriken Allmänna villkor för påförande av administrativa sanktionsavgifter, föreskrivs följande:
16 I artikel 84 i förordningen, med rubriken Sanktioner, föreskrivs följande i punkt 1:
17 Enligt 275 § 1 Sozialgesetzbuch, Fünftes Buch (sociallagen, femte boken), i den lydelse som är tillämplig i det nationella målet, är försäkringskassorna inom den obligatoriska sjukförsäkringen skyldiga att från en så kallad Medizinischer Dienst (läkartjänst), som bistår dem, inhämta ett sakkunnigutlåtande för att skingra tvivel om den försäkrades arbetsoförmåga, i de fall som anges i lag eller när dennes sjukdom så kräver.
18 I 278 § 1 i denna lag föreskrivs att en sådan läkartjänst ska inrättas i varje tysk delstat i form av ett offentligrättsligt organ.
19 Det offentligrättsliga organet MDK Nordrhein har, i egenskap av läkartjänst för sjukförsäkringskassorna, enligt lag bland annat till uppgift att avge medicinska sakkunnigutlåtanden för att skingra tvivlen om huruvida personer som är försäkrade genom de sjukförsäkringskassor som omfattas av dess arbetsområde verkligen är arbetsoförmögna. Detta gäller även om dessa sakkunnigutlåtanden gäller dess egna anställda.
20 I ett sådant fall är endast medlemmarna i en särskild enhet, kallad Organisationsenheten Specialfall, behöriga att behandla den anställdes sociala uppgifter, med användning av en låsbar domän i organets informationssystem, och att få tillgång till digitala arkiv efter det att sakkunnigutredningen har avslutats. I en intern tjänsteanteckning avseende dessa fall anges bland annat att ett begränsat antal behöriga tjänstemän, däribland vissa anställda vid IT‑avdelningen, ska ha tillgång till dessa uppgifter.
21 Klaganden i det nationella målet arbetade vid MDK Nordrheins IT‑avdelning innan han av medicinska skäl blev arbetsoförmögen. I slutet av det halvår under vilket detta organ, i egenskap av arbetsgivare, fortsatte att betala ut lön till honom började den obligatoriska försäkringskassa som han var ansluten till att betala ut sjukersättning till honom.
22 Denna försäkringskassa begärde då att MDK Nordrhein skulle inhämta ett sakkunnigutlåtande angående klagandens arbetsoförmåga. En läkare som var verksam inom MDK Nordrheins organisationsenhet för specialfall genomförde sakkunnigutredningen, bland annat genom att inhämta upplysningar från klagandens behandlande läkare. När klaganden informerades om detta av sin behandlande läkare kontaktade han en av sina kolleger vid IT‑avdelningen. Han bad henne att fotografera det sakkunnigutlåtande som fanns i MDK Nordrheins digitala arkiv och att därefter ge honom dessa foton.
23 Klaganden ansåg att dessa uppgifter rörde hans hälsa och att de behandlats olagligt av hans arbetsgivare. Han begärde därför att arbetsgivaren skulle utge ersättning till honom med ett belopp på 20000 euro, vilket MDK Nordrhein vägrade.
24 Klaganden väckte därefter talan vid Arbeitsgericht Düsseldorf (Arbetsdomstolen i Düsseldorf, Tyskland) och yrkade, med stöd av artikel 82.1 i dataskyddsförordningen och av bestämmelser i tysk rätt, att MDK Nordrhein skulle förpliktas att ersätta den skada som han påstod sig ha lidit till följd av den behandling av personuppgifter som hade utförts. Han gjorde i huvudsak gällande dels att det aktuella sakkunnigutlåtandet borde ha genomförts av en annan läkartjänst för att förhindra att hans kolleger fick tillgång till uppgifter om hans hälsa, dels att de säkerhetsåtgärder som omgärdar arkiveringen av expertutlåtandet var otillräckliga. Han anförde även att denna behandling utgjorde ett åsidosättande av de rättsregler varigenom sådana uppgifter skyddas, vilket hade orsakat honom såväl immateriell som materiell skada.
25 MDK Nordrhein gjorde till sitt försvar i huvudsak gällande att insamlingen och lagringen av uppgifter om klagandens hälsa hade genomförts i enlighet med bestämmelserna om skydd för sådana uppgifter.
26 Sedan hans talan ogillats i första instans, överklagade klaganden till Landesarbeitsgericht Düsseldorf (Arbetsöverdomstolen i Düsseldorf, Tyskland), som avslog överklagandet. Han överklagade då till Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland), som är den hänskjutande domstolen i förevarande mål.
27 Sistnämnda domstol utgår från antagandet att det sakkunnigutlåtande som MDK Nordrhein utfärdade i egenskap av läkartjänst, utgör en behandling av personuppgifter, närmare bestämt uppgifter om hälsa, i den mening som avses i artikel 4 leden 1, 2 och 15 i dataskyddsförordningen. Sakkunnigutlåtandet omfattas således av dataskyddsförordningens materiella tillämpningsområde, såsom detta definieras i artikel 2.1 i förordningen. Den hänskjutande domstolen anser dessutom att MDK Nordrhein är personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i förordningen.
28 Den hänskjutande domstolens frågeställningar avser för det första tolkningen av flera bestämmelser i artikel 9 i dataskyddsförordningen, vilken avser behandling av särskilda kategorier av personuppgifter, bland annat med beaktande av att den behandling som är aktuell i det nationella målet har utförts av ett organ som även är den registrerades arbetsgivare, såsom denna definieras i artikel 4 led 1 i förordningen.
29 Den hänskjutande domstolen tvivlar på att den behandling av uppgifter om hälsa som är aktuell i det nationella målet kan omfattas av något av de undantag som föreskrivs i artikel 9.2 i dataskyddsförordningen. Enligt den hänskjutande domstolen är endast undantagen i punkt 2 b och h i denna artikel relevanta i förevarande fall. Enligt den hänskjutande domstolen är det emellertid uteslutet att tillämpa undantaget i artikel 9.2 b i förevarande fall, eftersom den behandling som är aktuell i det nationella målet inte var nödvändig för att den personuppgiftsansvarige skulle kunna fullgöra sina skyldigheter och utöva sina rättigheter, i egenskap av den registrerades arbetsgivare. Det var nämligen ett annat organ som hade tagit initiativ till denna behandling genom att be MDK Nordrhein att i egenskap av läkartjänst genomföra en undersökning. Samtidigt som den hänskjutande domstolen är benägen att inte heller tillämpa undantaget i artikel 9.2 h – eftersom den anser att endast behandling som utförs av en neutral tredje part bör kunna omfattas av detta och att ett organ inte borde kunna grunda sig på sin dubbla funktion som arbetsgivare och läkartjänst för att kunna avvika från förbudet mot en sådan behandling – är den inte helt säker i detta avseende.
30 För det fall behandling av hälsouppgifter under sådana omständigheter är tillåten enligt artikel 9.2 h i dataskyddsförordningen, vill den hänskjutande domstolen vidare få klarhet i vilka bestämmelser om skydd av hälsouppgifter som ska iakttas i detta sammanhang. Enligt den hänskjutande domstolen innebär denna förordning att det inte är tillräckligt att den personuppgiftsansvarige uppfyller kraven i artikel 9.3 i förordningen. Den ansvarige ska dessutom säkerställa att ingen av den registrerades kollegor på något sätt kan få tillgång till uppgifter om vederbörandes hälsotillstånd.
31 Med utgångspunkt i samma antagande vill den hänskjutande domstolen slutligen få klarhet i huruvida åtminstone ett av villkoren i artikel 6.1 i dataskyddsförordningen dessutom måste vara uppfyllt för att en sådan behandling ska vara laglig. Enligt den hänskjutande domstolen borde detta vara fallet och i det nationella målet kan i princip endast leden c och e i artikel 6.1 första stycket vara relevanta. Dessa två led bör emellertid inte tillämpas, eftersom behandlingen i fråga inte är nödvändig i den mening som avses i dessa bestämmelser. Den skulle nämligen lika väl kunna utföras av en annan läkartjänst än MDK Nordrhein.
32 För det andra vill den hänskjutande domstolen, för det fall det skulle anses föreligga ett åsidosättande av dataskyddsförordningen i förevarande fall, få klarhet i vilken ersättning klaganden eventuellt skulle ha rätt till enligt artikel 82 i denna förordning.
33 Den hänskjutande domstolen vill dels få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska ha en avskräckande eller bestraffande verkan, utöver dess reparativa funktion, och, i förekommande fall, huruvida denna verkan ska beaktas vid fastställandet av det skadestånd som ska utgå för immateriell skada, särskilt med hänsyn till principerna om effektivitet, proportionalitet och likvärdighet, vilka har stadfästs på andra områden av unionsrätten.
34 Den hänskjutande domstolen anser dels att den personuppgiftsansvarige torde kunna hållas ansvarig med stöd av nämnda artikel 82.1, utan att det måste visas att den personuppgiftsansvarige har gjort fel. Den hänskjutande domstolen hyser emellertid tvivel, främst med hänsyn till tysk rätt, huruvida det är nödvändigt att kontrollera att den aktuella överträdelsen av dataskyddsförordningen kan tillskrivas den personuppgiftsansvarige på grund av uppsåtlig eller vårdslös handling från dennes sida och huruvida felets svårighetsgrad kan påverka vilket skadestånd som utges som ersättning för immateriell skada.
35 Mot denna bakgrund beslutade Bundesarbeitsgericht (Federala arbetsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
36 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 9.2 h i dataskyddsförordningen, med hänsyn till förbudet mot behandling av uppgifter om hälsa i artikel 9.1 i denna förordning, ska tolkas så, att det undantag som föreskrivs i artikel 9.2 h är tillämpligt på situationer där ett organ för medicinsk kontroll behandlar uppgifter om en av sina anställdas hälsa i egenskap av läkartjänst och inte i egenskap av arbetsgivare, för att bedöma den anställdes arbetskapacitet.
37 Vid tolkningen av en unionsbestämmelse ska enligt fast rättspraxis inte bara lydelsen beaktas, utan också det sammanhang i vilket bestämmelsen förekommer samt de mål och syften som eftersträvas med de föreskrifter som bestämmelsen ingår i. Även tillkomsthistorien avseende en unionsbestämmelse kan vara relevant för tolkningen av densamma (dom av den 16 mars 2023, Towercast, C‑449/21, EU:C:2023:207, punkt 31 och där angiven rättspraxis).
38 För det första ska det erinras om att artikel 9 i dataskyddsförordningen, såsom framgår av dess rubrik, avser [b]ehandling av särskilda kategorier av personuppgifter, vilka i skälen 10 och 51 i förordningen även betecknas som känsliga uppgifter.
39 I skäl 51 i dataskyddsförordningen anges att personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande fri- och rättigheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för dessa grundläggande fri- och rättigheter.
40 I artikel 9.1 i dataskyddsförordningen uppställs således som huvudregel att behandling av de särskilda kategorier av personuppgifter som anges i den bestämmelsen är förbjuden. Bland de sistnämnda återfinns uppgifter om hälsa, såsom de definieras i artikel 4 led 15 i förordningen, jämförd med skäl 35 i samma förordning, vilka utgör föremål för förevarande mål.
41 Domstolen har preciserat att syftet med artikel 9.1 i dataskyddsförordningen är att säkerställa ett utökat skydd mot behandling som, på grund av att de uppgifter som behandlas är särskilt känsliga, kan utgöra ett synnerligen allvarligt ingrepp i de grundläggande rättigheter avseende respekt för privatlivet och skydd för personuppgifter som garanteras genom artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna (se, för ett liknande resonemang, dom av den 5 juni 2023, kommissionen/Polen (Domares oavhängighet och privatliv), C‑204/21, EU:C:2023:442, punkt 345 och där angiven rättspraxis).
42 I artikel 9.2 a–j i dataskyddsförordningen anges emellertid en uttömmande uppräkning av undantag från huvudregeln om förbud mot behandling av sådana känsliga uppgifter.
43 Enligt artikel 9.2 h i dataskyddsförordningen tillåts sådan behandling om den är nödvändig av skäl som hör samman med [bland annat] bedömningen av en arbetstagares arbetskapacitet, … på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. I denna bestämmelse anges särskilt att all behandling som genomförs med stöd av densamma endast är tillåten under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 [i artikel 9] är uppfyllda.
44 Det följer av artikel 9.2 h i dataskyddsförordningen, jämförd med punkt 3 i samma artikel, att möjligheten att behandla känsliga uppgifter, såsom uppgifter om hälsa, är strikt reglerad av ett antal kumulativa villkor. Dessa villkor avser i) de syften som räknas upp i nämnda led h, däribland bedömningen av en arbetstagares arbetskapacitet; ii) den rättsliga grunden för behandlingen, som kan vara unionsrätten, medlemsstaternas nationella rätt eller avtal med yrkesverksamma på hälsoområdet, enligt samma led h, och slutligen iii) den sekretess som åläggs de personer som är behöriga att utföra en sådan behandling enligt nämnda artikel 9.3, eftersom alla dessa personer omfattas av tystnadsplikt enligt sistnämnda bestämmelse.
45 Såsom generaladvokaten har framhållit i punkterna 32 och 33 i sitt förslag till avgörande ger varken ordalydelsen i artikel 9.2 h i dataskyddsförordningen eller bestämmelsens tillkomsthistoria vid handen att tillämpningen av det undantag som föreskrivs i denna bestämmelse skulle vara förbehållen, såsom antytts av den hänskjutande domstolen, de fall där behandlingen utförs av en neutral tredje part och inte av arbetsgivaren till den registrerade, såsom denna definieras i artikel 4 led 1 i förordningen.
46 EU-domstolen preciserar – såvitt avser den hänskjutande domstolens uppfattning att ett organ inte bör kunna stödja sig på sin dubbla funktion som den registrerades arbetsgivare och som läkartjänst för att få avvika från huvudregeln om förbud mot behandling av hälsouppgifter i artikel 9.1 i dataskyddsförordningen – att det är avgörande att beakta på vilken grund behandlingen av dessa uppgifter utförs.
47 Även om behandling av uppgifter om hälsa i princip är förbjuden enligt artikel 9.1 i dataskyddsförordningen, föreskrivs i artikel 9.2 leden a–j tio undantag som är oberoende av varandra och som således ska prövas självständigt. Härav följer att den omständigheten att villkoren för att tillämpa ett av de undantag som föreskrivs i punkt 2 i artikel 9 inte är uppfyllda inte utgör hinder för att en personuppgiftsansvarig kan åberopa ett annat av de undantag som anges i denna bestämmelse.
48 Av det ovan anförda följer att artikel 9.2 h i dataskyddsförordningen, jämförd med punkt 3 i samma artikel, inte på något sätt utesluter att undantaget i led h kan tillämpas på situationer där ett organ för medicinsk kontroll behandlar uppgifter om en av sina anställdas hälsa i egenskap av läkartjänst, och inte i egenskap av arbetsgivare, i syfte att bedöma den anställdes arbetskapacitet.
49 För det andra vinner en sådan tolkning stöd av det system som artikel 9.2 h i dataskyddsförordningen ingår i samt av de mål som eftersträvas med denna förordning och denna bestämmelse.
50 I ett första led finner EU-domstolen att artikel 9.2 i dataskyddsförordningen visserligen ska tolkas restriktivt, eftersom den innehåller ett undantag från huvudregeln om förbud mot behandling av särskilda kategorier av personuppgifter (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 76).
51 Iakttagandet av det som en huvudregel utformade förbudet i artikel 9.1 i dataskyddsförordningen får emellertid inte leda till att tillämpningsområdet för en annan bestämmelse i denna förordning begränsas på ett sätt som strider mot denna bestämmelses klara ordalydelse. Den föreslagna tolkningen, nämligen att tillämpningsområdet för det undantag som föreskrivs i artikel 9.2 h ska begränsas till fall där en neutral tredje part behandlar uppgifter om hälsa för att bedöma en arbetstagares arbetskapacitet, innebär att ytterligare ett krav uppställs, ett krav som inte på något sätt framgår av den klara ordalydelsen i sistnämnda bestämmelse.
52 Det saknar i detta avseende betydelse att ett annat organ för medicinsk kontroll – för det fall MDK Nordrhein skulle förbjudas att fullgöra sitt uppdrag som läkartjänst när det rör sig om en av dess egna anställda – skulle kunna ombesörja detta uppdrag. Detta alternativ som den hänskjutande domstolen har hänvisat till är inte nödvändigtvis tillgängligt eller genomförbart i alla medlemsstater, eller i alla situationer som kan omfattas av artikel 9.2 h i dataskyddsförordningen. Tolkningen av denna bestämmelse kan emellertid inte vägledas av överväganden hänförliga till en enda medlemsstats hälso- och sjukvårdssystem eller av omständigheter som är unika för det nationella målet.
53 I ett andra led finner EU-domstolen att tolkningen i punkt 48 ovan är förenlig med målen med dataskyddsförordningen och med artikel 9 i denna förordning.
54 Enligt skäl 4 i dataskyddsförordningen är nämligen rätten till skydd av personuppgifter inte en absolut rättighet eftersom den måste bedömas utifrån dess funktion i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen (se, för ett liknande resonemang, dom av den 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punkt 78). Domstolen har dessutom redan slagit fast att de mekanismer som gör det möjligt att uppnå en korrekt balans mellan de olika rättigheter och intressen som är för handen återfinns i själva dataskyddsförordningen (se, för ett liknande resonemang, dom av den 17 juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punkt 112).
55 Dessa överväganden gäller även när de ifrågavarande uppgifterna omfattas av de särskilda kategorier som avses i artikel 9 i förordningen (se, för ett liknande resonemang, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkterna 57 och 66–68), såsom uppgifter om hälsa.
56 Av skäl 52 i dataskyddsförordningen framgår närmare bestämt att [u]ndantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas när allmänintresset motiverar detta, i synnerhet … inom ramen för arbetsrätt och sociallagstiftning och för hälsoändamål, … särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet. Även i skäl 53 i förordningen anges att behandling som utförs i hälsorelaterade syften bör vara möjlig om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system.
57 Det är mot bakgrund av detta helhetsperspektiv och med hänsyn till de olika legitima intressen som står på spel som unionslagstiftaren i artikel 9.2 h i dataskyddsförordningen har föreskrivit en möjlighet att göra undantag från den i artikel 9.1 föreskrivna huvudregeln om förbud mot behandling av hälsouppgifter, under förutsättning att den ifrågavarande behandlingen uppfyller de villkor och skyddsåtgärder som uttryckligen föreskrivs i led h och i andra relevanta bestämmelser i denna förordning, särskilt artikel 9.3; dessa bestämmelser innehåller inte något krav på att en läkartjänst som behandlar sådana uppgifter, med stöd av artikel 9.2 h i dataskyddsförordningen, ska vara en separat enhet i förhållande till den registrerades arbetsgivare.
58 Mot bakgrund av det ovan anförda, och utan att det påverkar svaren på den andra och den tredje frågan, ska den första frågan besvaras enligt följande. Artikel 9.2 h i dataskyddsförordningen ska tolkas så, att det undantag som föreskrivs i denna bestämmelse är tillämpligt på situationer där ett organ för medicinsk kontroll behandlar uppgifter om en av sina anställdas hälsa i egenskap av läkartjänst och inte i egenskap av arbetsgivare, för att bedöma den anställdes arbetskapacitet, under förutsättning att behandlingen i fråga uppfyller de villkor och skyddsåtgärder som uttryckligen föreskrivs i artikel 9.2 h och 9.3 i denna förordning.
59 Enligt den hänskjutande domstolen framgår det av skälen 35, 51, 53 och 75 i dataskyddsförordningen att det inte räcker att uppfylla kraven i artikel 9.3 i dataskyddsförordningen i en sådan situation som den som är aktuell i det nationella målet, där den personuppgiftsansvarige även är arbetsgivare till den person vars arbetskapacitet bedöms. Enligt den domstolen följer det även av förordningen att alla anställda hos den personuppgiftsansvarige som behöver ha någon som helst yrkesmässig kontakt med den registrerade ska uteslutas från behandlingen av dennes hälsouppgifter. Den anser att varje personuppgiftsansvarig som har flera verksamhetsställen, såsom MDK Nordrhein, ska säkerställa att den enhet som ansvarar för behandlingen av uppgifter om hälsan hos den personuppgiftsansvariges anställda alltid ska tillhöra ett annat verksamhetsställe än det där den registrerade arbetar. Den tystnadsplikt som åligger anställda med behörighet att behandla sådana uppgifter hindrar inte heller i praktiken att en kollega till den registrerade kan få tillgång till uppgifter som rör honom eller henne, vilket medför en risk för skada, till exempel vad avser den registrerades anseende.
60 Under dessa omständigheter har den hänskjutande domstolen ställt den andra frågan för att få klarhet i huruvida bestämmelserna i dataskyddsförordningen ska tolkas så, att den personuppgiftsansvarige vid behandling av uppgifter om hälsa, med stöd av artikel 9.2 h i förordningen, är skyldig att säkerställa att ingen kollega till den registrerade kan få tillgång till uppgifter som rör dennes hälsotillstånd.
61 Enligt artikel 9.3 i dataskyddsförordningen får behandling av uppgifter som avser de ändamål som räknas upp i artikel 9.1 respektive 9.2 h, i förevarande fall uppgifter om en arbetstagares hälsa i syfte att bedöma dennes arbetskapacitet, utföras endast om uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
62 Unionslagstiftaren har, genom att anta artikel 9.3 i dataskyddsförordningen, i vilken bestämmelse det just hänvisas till punkt 2 h i samma artikel, fastställt de särskilda skyddsåtgärder som ska gälla de personuppgiftsansvariga vid sådan behandling. Dessa skyddsåtgärder består i att endast personer som omfattas av tystnadsplikt, i enlighet med de villkor som anges i artikel 9.3, får utföra sådan behandling. Det finns således ingen anledning att till ordalydelsen i den sistnämnda bestämmelsen lägga till krav som inte nämns däri.
63 Av detta följer, såsom generaladvokaten har påpekat i punkt 43 i sitt förslag till avgörande, att artikel 9.3 i dataskyddsförordningen inte kan utgöra rättslig grund för en åtgärd genom vilken det skulle säkerställas att ingen kollega till den registrerade kan få tillgång till uppgifter om dennes hälsotillstånd.
64 Det ska emellertid prövas huruvida kravet på att ingen kollega till den registrerade ska få tillgång till uppgifter om dennes hälsotillstånd kan gälla den personuppgiftsansvarige vid behandling av uppgifter om hälsa, med stöd av artikel 9.2 h i dataskyddsförordningen, på grundval av någon annan bestämmelse i denna förordning.
65 Den enda möjligheten för medlemsstaterna att tillföra ett sådant krav, i förhållande till dem som föreskrivs i artikel 9.2 och 9.3 i förordningen, är att ta i anspråk det handlingsutrymme som de uttryckligen tillerkänns i punkt 4 i denna artikel att behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av … uppgifter om hälsa.
66 Dessa eventuella ytterligare villkor följer emellertid inte av dataskyddsförordningens bestämmelser i sig, utan, i förekommande fall, av nationella bestämmelser som reglerar denna typ av behandling, och för dessa bestämmelser tillerkänns medlemsstaterna uttryckligen ett handlingsutrymme enligt förordningen (se, för ett liknande resonemang, dom av den 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punkterna 51 och 78).
67 En medlemsstat som avser att nyttja det handlingsutrymme som tillerkänns enligt artikel 9.4 i dataskyddsförordningen ska vidare, i enlighet med proportionalitetsprincipen, försäkra sig om att de praktiska konsekvenser, särskilt av organisatorisk, ekonomisk och medicinsk art, som följer av de ytterligare krav som denna stat avser att uppställa, inte blir orimligt omfattande för de personuppgiftsansvariga, vilka inte nödvändigtvis förfogar över tillräckliga medel eller de tekniska resurser och den personalstyrka som behövs för att uppfylla dessa krav. Dessa får nämligen inte menligt påverka den ändamålsenliga verkan av det tillstånd till personuppgiftsbehandling som uttryckligen föreskrivs i artikel 9.2 h i dataskyddsförordningen och som regleras i punkt 3 i samma artikel.
68 Slutligen ska varje personuppgiftsansvarig, enligt artikel 32.1 a och b i dataskyddsförordningen, vilken utgör ett konkret uttryck för de principer om integritet och konfidentialitet som anges i artikel 5.1 f i denna förordning, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet pseudonymisering och kryptering av personuppgifter, samt åtgärder för att säkerställa bland annat konfidentialitet och integritet hos behandlingssystemen och behandlingstjänsterna. Vid fastställandet av de praktiska formerna för denna skyldighet ska den personuppgiftsansvarige, enligt artikel 32.1, beakta den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers fri- och rättigheter.
69 Det ankommer emellertid på den hänskjutande domstolen att pröva huruvida samtliga tekniska och organisatoriska åtgärder som vidtagits av MDK Nordrhein i förevarande fall är förenliga med kraven i artikel 32.1 a och b i dataskyddsförordningen.
70 Den andra frågan ska således besvaras enligt följande. Artikel 9.3 i dataskyddsförordningen ska tolkas så, att den personuppgiftsansvarige vid behandling av uppgifter om hälsa, med stöd av artikel 9.2 h i förordningen, enligt dessa bestämmelser inte är skyldig att säkerställa att ingen kollega till den registrerade kan få tillgång till uppgifter som rör dennes hälsotillstånd. En sådan skyldighet kan emellertid åligga den personuppgiftsansvarige antingen enligt lagstiftning som en medlemsstat har antagit med stöd av artikel 9.4 i dataskyddsförordningen eller med hänsyn till de principer om konfidentialitet och integritet som föreskrivs i artikel 5.1 f i samma förordning och som konkretiseras genom artikel 32.1 a och b däri.
71 Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artiklarna 9.2 h och 6.1 i dataskyddsförordningen ska tolkas så, att behandling av uppgifter om hälsa med stöd av den förstnämnda bestämmelsen inte bara måste uppfylla de krav som följer av den bestämmelsen för att vara laglig, utan måste även uppfylla åtminstone ett av de laglighetsvillkor som anges i artikel 6.1.
72 Artiklarna 5, 6 och 9 i dataskyddsförordningen återfinns i kapitel II i förordningen, som har rubriken Principer. Dessa artiklar avser principer för behandling av personuppgifter, villkor för laglig behandling av personuppgifter respektive behandling av särskilda kategorier av personuppgifter.
73 I skäl 51 i dataskyddsförordningen anges dessutom uttryckligen att [u]töver de särskilda kraven för behandling av särskilt känsliga uppgifter, vilka uppställs i artikel 9.2 och 9.3 i förordningen, bör, - utan att det påverkar tillämpningen av de åtgärder som en medlemsstat kan vidta med stöd av artikel 9.4 - även de allmänna principerna och andra bestämmelser i denna förordning tillämpas [på en sådan behandling], särskilt när det gäller villkoren för laglig behandling, såsom dessa fastställs i artikel 6 i samma förordning.
74 Enligt artikel 6.1 första stycket i dataskyddsförordningen är behandling av särskilt känsliga uppgifter, såsom uppgifter om hälsa, således laglig endast om minst ett av villkoren i artikel 6.1 första stycket a-f är uppfyllt.
75 I artikel 6.1 första stycket i dataskyddsförordningen anges emellertid en uttömmande och fullständig förteckning av de fall i vilka en behandling av personuppgifter kan anses laglig. För att en behandling ska anses vara laglig måste den omfattas av något av de fall som föreskrivs i den bestämmelsen (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 90 och där angiven rättspraxis).
76 Domstolen har således vid upprepade tillfällen slagit fast att all behandling av personuppgifter ska stå i överensstämmelse med de principer som anges i artikel 5.1 i dataskyddsförordningen och uppfylla de laglighetsvillkor som anges i artikel 6 i samma förordning (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 57 och där angiven rättspraxis).
77 Domstolen har dessutom redan slagit fast att eftersom artiklarna 7–11 i dataskyddsförordningen, vilka i likhet med artiklarna 5 och 6 ingår i förordningens kapitel II, syftar till att precisera omfattningen av den personuppgiftsansvariges skyldigheter enligt artikel 5.1 a och artikel 6.1 i förordningen, måste behandlingen av personuppgifter för att vara laglig, såsom framgår av domstolens praxis, även iaktta dessa övriga bestämmelser i nämnda kapitel, vilka i princip avser samtycke, behandlingen av särskilda kategorier av känsliga personuppgifter och behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 58 och där angiven rättspraxis).
78 Härav följer att eftersom syftet med artikel 9.2 h i dataskyddsförordningen är att precisera omfattningen av de skyldigheter som åligger den personuppgiftsansvarige enligt artiklarna 5.1 a och 6.1 i förordningen, måste en behandling av uppgifter om hälsa med stöd av den förstnämnda bestämmelsen, för att vara laglig, uppfylla både de krav som följer av denna bestämmelse och de skyldigheter som följer av de två sistnämnda bestämmelserna samt, i synnerhet, uppfylla åtminstone ett av de laglighetsvillkor som anges i artikel 6.1.
79 Mot bakgrund av ovanstående överväganden ska den tredje frågan besvaras enligt följande. Artiklarna 9.2 h och 6.1 i dataskyddsförordningen ska tolkas så, att behandling av uppgifter om hälsa med stöd av den förstnämnda bestämmelsen inte bara måste uppfylla de krav som följer av den bestämmelsen för att vara laglig, utan måste även uppfylla åtminstone ett av de laglighetsvillkor som anges i artikel 6.1.
80 Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att den rätt till ersättning som föreskrivs i denna bestämmelse inte bara fyller en kompenserande funktion, utan även fyller en avskräckande eller bestraffande funktion och, om så är fallet, huruvida sistnämnda funktion eventuellt ska beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för en immateriell skada med stöd av denna bestämmelse.
81 I artikel 82.1 i dataskyddsförordningen föreskrivs att [v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.
82 Domstolen tolkade denna bestämmelse så, att enbart den omständigheten att dataskyddsförordningen har åsidosatts inte är tillräcklig i sig för att ge rätt till ersättning, efter att bland annat ha framhållit att förekomsten av en skada som har uppkommit utgör ett av villkoren för den rätt till ersättning som föreskrivs i artikel 82.1, liksom att det ska föreligga en överträdelse av förordningen samt ett orsakssamband mellan denna skada och denna överträdelse. Dessa tre villkor är nämligen kumulativa (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 32 och 42).
83 Domstolen har dessutom slagit fast att eftersom dataskyddsförordningen inte innehåller någon bestämmelse som har till syfte att fastställa regler för beräkningen av det skadestånd som kan utgå enligt den rätt till ersättning som föreskrivs i artikel 82 i förordningen, ankommer det på de nationella domstolarna att för detta ändamål, enligt principen om processuell autonomi, tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, under förutsättning att de unionsrättsliga principerna om likvärdighet och effektivitet iakttas, såsom dessa har definierats i domstolens fasta praxis (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 53, 54 och 59).
84 I detta sammanhang, och med beaktande av att det i skäl 146 sjätte meningen i dataskyddsförordningen anges att detta instrument syftar till att registrerade ska få full och effektiv ersättning för den skada de lidit, påpekade domstolen att med hänsyn till den kompenserande funktion som rätten till ersättning har enligt artikel 82 i förordningen ska en ekonomisk ersättning med stöd av denna artikel anses vara full och effektiv om den gör det möjligt att fullt ut kompensera den skada som uppkommit till följd av en överträdelse av denna förordning, utan att det för en sådan fullständig ersättning är nödvändigt att utkräva skadestånd med en bestraffande funktion (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 57 och 58).
85 Det ska i detta hänseende understrykas att artikel 82 i dataskyddsförordningen inte har en bestraffande utan en kompenserande funktion, till skillnad från andra bestämmelser i förordningen som också återfinns i kapitel VIII i förordningen, nämligen artiklarna 83 och 84. Dessa bestämmelser har huvudsakligen ett bestraffande syfte, eftersom de gör det möjligt att ålägga administrativa sanktionsavgifter och andra sanktioner. Förhållandet mellan de regler som anges i nämnda artikel 82 och reglerna i artiklarna 83 och 84 visar att det föreligger en skillnad mellan dessa båda kategorier av bestämmelser, men även att de kompletterar varandra vad gäller de incitament att iaktta dataskyddsförordningen som de innebär. Rätten för var och en att begära ersättning för skada stärker den ändamålsenliga verkan av de skyddsregler som fastställs i förordningen och är ägnad att avskräcka från att överträdelser upprepas (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 38 och 40).
86 Eftersom den rätt till ersättning som föreskrivs i artikel 82.1 i dataskyddsförordningen inte fyller en avskräckande, eller rent av bestraffande, funktion, såsom den hänskjutande domstolen har antytt, kan svårighetsgraden av den överträdelse av förordningen varigenom den ifrågavarande skadan uppkommit inte påverka storleken på det skadestånd som ska utgå med stöd av denna bestämmelse, även om det inte handlar om en materiell skada utan om en immateriell sådan. Av detta följer att skadeståndsbeloppet inte kan fastställas till en nivå som går utöver en fullständig ersättning för denna skada.
87 Den fjärde frågan ska således besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att den rätt till ersättning som föreskrivs i denna bestämmelse fyller en kompenserande funktion, och inte en avskräckande eller bestraffande funktion, i det att den ekonomiska ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som faktiskt uppkommit till följd av en överträdelse av förordningen.
88 Det framgår av de uppgifter som den hänskjutande domstolen har lämnat, som svar på en begäran om klarlägganden som tillställts den i enlighet med artikel 101 i domstolens rättegångsregler, att den femte frågan syftar till att få klarhet i dels huruvida förekomsten av och/eller bevis för fel utgör förutsättningar för att den personuppgiftsansvarige eller personuppgiftsbiträdet ska kunna hållas ansvariga, dels vilken betydelse svårighetsgraden av den personuppgiftsansvariges eller personuppgiftsbiträdets fel kan få för den konkreta beräkningen av det skadestånd som ska utges som ersättning för den immateriella skada som uppkommit.
89 Mot bakgrund av den hänskjutande domstolens uppgifter ska den femte frågan förstås så, att den avser dels huruvida artikel 82 i dataskyddsförordningen ska tolkas så, att en förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig är att denne har gjort fel, dels huruvida felets svårighetsgrad ska beaktas vid fastställandet av det skadeståndsbelopp som ska utges som ersättning för immateriell skada med stöd av denna bestämmelse.
90 Vad gäller den första delen av denna fråga ska det påpekas, såsom det har erinrats om i punkt 82 ovan, att rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen förutsätter att tre villkor är uppfyllda, nämligen att det föreligger en överträdelse av förordningen, att skada har uppkommit och att det finns ett orsakssamband mellan överträdelsen och skadan.
91 I artikel 82.2 i dataskyddsförordningen föreskrivs att varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ordalydelsen i denna bestämmelse i vissa språkversioner, bland annat på tyska som är rättegångsspråk i förevarande mål, gör det emellertid inte möjligt att med säkerhet fastställa huruvida den ifrågavarande överträdelsen ska kunna tillskrivas den personuppgiftsansvarige för att denne ska kunna hållas ansvarig.
92 Det framgår vid en analys av de olika språkversionerna av artikel 82.2 första meningen i dataskyddsförordningen att den personuppgiftsansvarige presumeras ha medverkat i den behandling som överträdelsen av förordningen består i. Medan de tyska, franska och finska språkversionerna är formulerade på ett öppet sätt, visar sig ett antal andra språkversioner vara mer precisa. I dessa språkversioner används ett bestämningsord vid det tredje tillfället då ordet behandling förekommer, eller tredje gången då det hänvisas till detta ord. På så sätt blir det tydligt att tredje gången då detta ord förekommer eller det hänvisas till det avser samma händelse som vid det andra tillfället då ordet nämns. Så är fallet i den spanska, den estniska, den grekiska, den italienska och den rumänska språkversionen.
93 I artikel 82.3 i dataskyddsförordningen preciseras i detta sammanhang att den personuppgiftsansvarige ska undgå ansvar enligt punkt 2 i nämnda artikel om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.
94 Det framgår således av en jämförande analys av dessa olika bestämmelser i artikel 82 i dataskyddsförordningen att det i denna artikel föreskrivs ett system för ansvar vid fel, enligt vilket bevisbördan inte åvilar den som lidit skada, utan den personuppgiftsansvarige.
95 En sådan tolkning vinner stöd såväl av det sammanhang i vilket artikel 82 ingår som av de mål som unionslagstiftaren eftersträvar genom dataskyddsförordningen.
96 För det första framgår det av ordalydelsen i artiklarna 24 och 32 i dataskyddsförordningen att dessa bestämmelser endast innebär en skyldighet för den personuppgiftsansvarige att vidta tekniska och organisatoriska åtgärder för att i möjligaste mån undvika överträdelser i fråga om personuppgifter. Bedömningen av om sådana åtgärder är lämpliga ska ske utifrån de konkreta omständigheterna i det enskilda fallet. I bedömningen ingår att ta ställning till om den personuppgiftsansvarige vid genomförandet av åtgärderna har beaktat de olika faktorer som avses i nämnda artiklar och de skyddsbehov som särskilt gör sig gällande i samband med den aktuella personuppgiftsbehandlingen samt därmed förenade risker (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 30).
97 En sådan skyldighet skulle emellertid äventyras om den personuppgiftsansvarige därefter var skyldig att ersätta all skada som orsakats av en behandling som skett i strid med dataskyddsförordningen.
98 För det andra, vad gäller målen med dataskyddsförordningen, framgår det av skälen 4–8 i denna förordning att den syftar till att skapa en avvägning mellan de personuppgiftsansvarigas intressen och rättigheterna för de personer vars personuppgifter behandlas. Det eftersträvade målet är att utveckla den digitala ekonomin samtidigt som en hög skyddsnivå för enskilda garanteras. Sålunda avses en avvägning mellan den personuppgiftsansvariges intressen och intressena hos de personer vars personuppgifter behandlas. Det är just en mekanism med ansvar vid fel, med omvänd bevisbörda, såsom föreskrivs i artikel 82 i dataskyddsförordningen, som gör det möjligt att uppnå en sådan avvägning.
99 Dels skulle det, såsom generaladvokaten har påpekat i punkt 93 i sitt förslag till avgörande, inte vara förenligt med syftet med en sådan hög skyddsnivå att välja en tolkning som innebär att registrerade som har lidit skada till följd av en överträdelse av dataskyddsförordningen ska, inom ramen för ett ersättningsanspråk enligt artikel 82 i dataskyddsförordningen, bära bevisbördan inte bara för överträdelsen och den skada som överträdelsen medfört för dem, utan även för att den personuppgiftsansvarige gjort fel med uppsåt eller genom oaktsamhet, eller till och med för felets svårighetsgrad, trots att artikel 82 inte innehåller några sådana krav (se, analogt, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 56).
100 Dels skulle den rättssäkerhet som lagstiftaren, enligt vad som framgår av skäl 7 i dataskyddsförordningen, eftersträvat inte kunna säkerställas genom ett system med strikt ansvar.
101 Vad gäller den andra delen av den femte frågan, avseende fastställandet av det skadeståndsbelopp som eventuellt ska utges enligt artikel 82 i dataskyddsförordningen, ska det erinras om att de nationella domstolarna, såsom påpekats i punkt 83 ovan, vid beräkningen av detta skadestånd ska tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, under förutsättning att de unionsrättsliga principerna om likvärdighet och effektivitet, såsom dessa har definierats i domstolens fasta praxis, iakttas.
102 Domstolen preciserar härvid att det enligt artikel 82 i dataskyddsförordningen, med hänsyn till dess kompenserande funktion, inte krävs att svårighetsgraden av den överträdelse av denna förordning som den personuppgiftsansvarige presumeras ha gjort sig skyldig till ska beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för en immateriell skada med stöd av denna bestämmelse. Enligt denna bestämmelse krävs dock att detta belopp fastställs på ett sådant sätt att det fullt ut kompenserar den skada som faktiskt uppkommit till följd av överträdelsen av förordningen, såsom anges ovan i punkterna 84 och 87.
103 Den femte frågan ska följaktligen besvaras så att artikel 82 i dataskyddsförordningen ska tolkas på följande sätt. En förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig är att denne har gjort fel. Det föreligger en presumtion om sådant fel om inte den personuppgiftsansvarige visar att den inte på något sätt kan tillskrivas ansvar för den händelse varigenom skadan uppkom. Enligt artikel 82 i dataskyddsförordningen krävs det inte att felets svårighetsgrad beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för immateriell skada med stöd av denna bestämmelse.
104 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
1 Rättegångsspråk: tyska.