lagen.
EU-domstolen

Domstolens dom (fjärde avdelningen) den 19 mars 2026

CELEX
62024CJ0526
Typ
EU-domstolen
Datum
20240731
ECLI
ECLI:EU:C:2026:216

Källa

Hänvisat till av

Begäran om förhandsavgörandeSkydd för fysiska personer med avseende på behandling av personuppgifterFörordning (EU) 2016/679Artikel 12.5Artikel 15.1Rätten för en registrerad att få tillgång till sina personuppgifterRätten för den personuppgiftsansvarige att avslå en begäran om tillgångOrimlig begäranRättsmissbrukFall där det är fråga om en första begäran om tillgångAnsvar och rätt till ersättningArtikel 82.1Talan grundad på att den registrerades rätt att få tillgång till sina personuppgifter har åsidosattsImmateriell skadaFörlust av kontrollen över de egna personuppgifterna

I mål C‑526/24, angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Amtsgericht Arnsberg (Distriktsdomstolen i Arnsberg, Tyskland) genom beslut av den 31 juli 2024, som inkom till EU-domstolen samma dag, i målet

DOMSTOLEN (fjärde avdelningen) sammansatt av avdelningsordföranden I. Jarukaitis, domstolens ordförande K. Lenaerts, tillika tillförordnad domare på fjärde avdelningen, samt domarna M. Condinanzi, N. Jääskinen och R. Frendo (referent), generaladvokat: M. Szpunar, justitiesekreterare: handläggaren I. Illéssy,

efter det skriftliga förfarandet och förhandlingen den 5 juni 2025,

med beaktande av de yttranden som avgetts av: Brillen Rottler GmbH & Co. KG, genom J. Tröber, Rechtsanwalt, TC, genom P. Brandt, Rechtsanwalt, Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 18 september 2025 ha hört generaladvokatens förslag till avgörande,

följande

Dom

Tillämpliga bestämmelser

Målet vid den nationella domstolen och tolkningsfrågorna

Prövning av tolkningsfrågorna

Fråga 1–3 och fråga 7

Fråga 5 och fråga 6

Fråga 4

Fråga 8

Rättegångskostnader

1 Begäran om förhandsavgörande avser tolkningen av artiklarna 4 led 2, 12.5 och 82.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

2 Begäran har framställts i ett mål mellan Brillen Rottler GmbH & Co. KG, som är ett familjeägt optikföretag (nedan kallat Brillen Rottler eller företaget), och den fysiska personen TC. Målet rör Brillen Rottlers avslag på TC:s begäran om att få tillgång till sina personuppgifter med stöd av artikel 15 i dataskyddsförordningen.

3 I skälen 4, 10, 11, 63, 85, 141 och 146 i dataskyddsförordningen anges följande:

4 Artikel 4 (Definitioner) i dataskyddsförordningen har följande lydelse:

5 I artikel 12 (Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter) i dataskyddsförordningen föreskrivs följande i punkterna 1, 2 och 5:

6 I artikel 15 (Den registrerades rätt till tillgång) i dataskyddsförordningen föreskrivs följande i punkt 1:

7 I artikel 26 (Gemensamt personuppgiftsansvariga) i dataskyddsförordningen föreskrivs följande i punkt 1:

8 I artikel 30 (Register över behandling) i dataskyddsförordningen föreskrivs följande i punkt 1:

9 I artikel 57 (Uppgifter) i dataskyddsförordningen föreskrivs följande i punkterna 1 och 4:

10 I artikel 79 (Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde) i dataskyddsförordningen föreskrivs följande i punkt 1:

11 I artikel 82 (Ansvar och rätt till ersättning) i dataskyddsförordningen föreskrivs följande i punkterna 1, 2 och 4:

12 I mars 2023 registrerade sig TC, som är en fysisk person bosatt i Österrike, för ett nyhetsbrev från det familjeägda optikföretaget Brillen Rottler i Arnsberg (Tyskland). Han angav sina personuppgifter i registreringsformuläret på Brillen Rottlers webbplats och lämnade sitt samtycke till att företaget behandlade hans uppgifter. Tretton dagar senare vände sig TC till Brillen Rottler och begärde med stöd av artikel 15 i dataskyddsförordningen att få tillgång till sina personuppgifter.

13 Brillen Rottler avslog – inom den lagstadgade fristen på en månad – denna begäran med hänvisning till artikel 12.5 första stycket andra meningen b i dataskyddsförordningen, eftersom företaget ansåg att TC haft en otillbörlig avsikt med sin begäran. Företaget uppmanade TC att slutgiltigt återkalla sin begäran.

14 TC vidhöll dock sin begäran om tillgång och begärde dessutom ersättning enligt artikel 82 i dataskyddsförordningen med ett belopp på 1000 euro. Brillen Rottler väckte då talan vid Amtsgericht Arnsberg (Distriktsdomstolen i Arnsberg, Tyskland), som är hänskjutande domstol i förevarande mål, och yrkade att den skulle fastställa att TC inte hade rätt till någon ersättning.

15 Till stöd för sin fastställelsetalan gjorde Brillen Rottler gällande bland annat följande. Det framgår av olika mediareportage, bloggartiklar och nyhetsbrev från advokatbyråer att TC systematiskt och på ett otillbörligt sätt ägnar sig åt att begära ut sina personuppgifter från olika aktörer i det enda syftet att erhålla ersättning för ett påstått – av honom själv medvetet framprovocerat – åsidosättande av hans rättigheter enligt dataskyddsförordningen. TC:s tillvägagångssätt består i att registrera sig för ett nyhetsbrev från ett visst företag och efter en tid ge in en begäran till företaget om att få tillgång till sina personuppgifter, för att sedan begära ersättning.

16 TC gjorde för sin del gällande att den begäran han ingett till Brillen Rottler om att få tillgång till sina personuppgifter är berättigad och ska ses som ett uttryck för den rätt till sådan tillgång som han har enligt artikel 15 i dataskyddsförordningen. Enligt TC försöker Brillen Rottler på ett rättsstridigt sätt att begränsa hans rättigheter enligt förordningen. Han yrkade i genkäromål att Brillen Rottler skulle förpliktas att till honom utge ersättning på minst 1000 euro för den ideella skada som han lidit till följd av företaget vägran att ge honom tillgång till hans personuppgifter.

17 Den hänskjutande domstolen har angett att det nationella målet ger upphov till tre frågeställningar. Den första frågeställningen avser huruvida en första begäran från en registrerad om att få tillgång till sina personuppgifter kan anses utgöra en orimlig begäran, i den mening som avses i artikel 12.5 i dataskyddsförordningen, och därmed anses utgöra rättsmissbruk samt vilka omständigheter som ska beaktas vid bedömningen av om en sådan första begäran är orimlig. Den vill särskilt få klarhet i huruvida en personuppgiftsansvarig har rätt att avslå en begäran om tillgång med stöd av nämnda bestämmelse på grundval av allmänt tillgängliga uppgifter som visar att den som gett in begäran har gjort ett stort antal framställningar till andra personuppgiftsansvariga där denne begärt att få tillgång till sina personuppgifter och begärt ersättning.

18 Den andra frågeställningen avser huruvida en registrerads begäran om tillgång enligt artikel 15.1 i dataskyddsförordningen och/eller den personuppgiftsansvariges svar på en sådan begäran ska anses utgöra behandling, i den mening som avses i artikel 4 led 2 i förordningen.

19 Den tredje frågeställningen avser kriterierna för rätt till ersättning för skada enligt artikel 82.1 i dataskyddsförordningen. Den hänskjutande domstolen vill särskilt få klarhet i huruvida rätt till ersättning enligt denna artikel föreligger redan på grund av ett åsidosättande av rätten till tillgång enligt artikel 15.1 i förordningen, även om det inte skett någon personuppgiftsbehandling.

20 Det är mot den nu angivna bakgrunden som Amtsgericht Arnsberg (Distriktsdomstolen i Arnsberg) har beslutat att vilandeförklara målet och ställa följande frågor till EU-domstolen:

21 Den hänskjutande domstolen har ställt frågorna 1–3 och fråga 7, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 12.5 i dataskyddsförordningen ska tolkas på så sätt att en första begäran om att få tillgång till sina personuppgifter som en registrerad framställer till en personuppgiftsansvarig med stöd av artikel 15 i förordningen kan anses utgöra en orimlig begäran i den förstnämnda bestämmelsens mening och, om så är fallet, under vilka omständigheter en sådan begäran i förekommande fall kan anses vara orimlig.

22 EU-domstolen gör i denna del följande bedömning. Enligt artikel 15.1 i dataskyddsförordningen ska en registrerad ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas. Om så är fallet ska den registrerade ha rätt att få tillgång till sina personuppgifter och till därmed sammanhängande information (se, för ett liknande resonemang, dom av den 26 oktober 2023, FT (Kopior av patientjournalen), C‑307/22, EU:C:2023:811, punkt 31).

23 I artikel 12.5 i dataskyddsförordningen uppställs dessutom en princip enligt vilken den registrerades rätt att få tillgång till sina personuppgifter ska kunna utövas utan kostnad för honom eller henne. I denna bestämmelse anges dock två skäl som kan ge en personuppgiftsansvarig rätt att antingen ta ut en skälig avgift för att täcka de administrativa kostnaderna eller avslå en begäran om tillgång. Dessa skäl avser fall av rättsmissbruk, där den registrerades begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art (dom av den 26 oktober 2023, FT (Kopior av patientjournalen), C‑307/22, EU:C:2023:811, punkt 31).

24 Vad först gäller frågan huruvida en första begäran om att få tillgång till sina personuppgifter som en registrerad framställer till en personuppgiftsansvarig med stöd av artikel 15 i dataskyddsförordningen kan anses utgöra en orimlig begäran, ska följande påpekas. Eftersom begreppet orimlig begäran inte definieras i förordningen, ska det, enligt fast rättspraxis, vid tolkningen av detta begrepp tas hänsyn både till de termer som används i artikel 12.5 i förordningen utifrån deras normala betydelse i vanligt språkbruk och till den bestämmelsens sammanhang samt till de mål som eftersträvas med de föreskrifter som den ingår i (se dom av den 17 november 1983, Merck, 292/82, EU:C:1983:335, punkt 12, och dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkt 24 och där angiven rättspraxis).

25 Vad gäller ordalydelsen i artikel 12.5, och i synnerhet den normala betydelsen av begreppet orimlig begäran i vanligt språkbruk, kan det konstateras att adjektivet orimlig betecknar något som går utöver vad som är normalt eller skäligt eller som går utöver vad som är önskvärt eller tillåtet (se, för ett liknande resonemang, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkt 43). Således kan man inte redan av den omständigheten att bestämmelsen använder adjektivet orimlig – som avser både kvalitativa och kvantitativa aspekter – dra den slutsatsen att en första ansökan om att få tillgång till sina personuppgifter aldrig kan vara orimlig.

26 Av ordalydelsen i artikel 12.5 första stycket andra meningen i dataskyddsförordningen framgår vidare att framställningar från en registrerad kan vara orimliga särskilt på grund av deras repetitiva art. Den omständigheten att en registrerad har gjort ett stort antal framställningar kan således vara ett tecken på att det är fråga om ett fall av orimliga framställningar (se, för ett liknande resonemang, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkt 57). EU-domstolen konstaterar dock, i likhet med vad generaladvokaten har påpekat i punkt 28 i sitt förslag till avgörande, att framställningarnas repetitiva art endast nämns som ett exempel på orimlighet i denna bestämmelse. För att en begäran från en registrerad om att få tillgång till sina personuppgifter ska kunna anses vara orimlig krävs det således inte att den aktuella begäran är en i raden av många framställningar från en och samma registrerade.

27 Vid en bokstavstolkning av artikel 12.5 i dataskyddsförordningen kan det således inte uteslutas att en första begäran från en registrerad om att få tillgång till sina personuppgifter kan anses vara orimlig i bestämmelsens mening.

28 Det nu anförda vinner stöd av det sammanhang i vilket artikel 12.5 första stycket andra meningen i dataskyddsförordningen ingår. Det ska i detta avseende påpekas att artikel 12, som ingår i kapitel III (Den registrerades rättigheter) i dataskyddsförordningen, anger vilka allmänna skyldigheter personuppgiftsansvariga har i fråga om öppenhet i information och kommunikation samt reglerar villkoren för utövandet av den registrerades rättigheter. Av artikel 12.2 första meningen framgår att den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter enligt bland annat artikel 15, som kompletterar dataskyddsförordningens öppenhetsreglering genom att den registrerade ges rätt att få tillgång till sina personuppgifter (se, för ett liknande resonemang, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkterna 45 och 46).

29 Av artikel 12.5 framgår att en personuppgiftsansvarig i fall av uppenbart ogrundade eller orimliga framställningar även har möjlighet att ta ut en skälig avgift grundad på de administrativa kostnaderna eller att avslå framställningarna. Denna möjlighet utgör därmed ett undantag från den personuppgiftsansvariges skyldighet att underlätta utövandet av bland annat rätten att få tillgång till sina personuppgifter, vilket ska tolkas restriktivt (se, för ett liknande resonemang, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkt 33).

30 EU-domstolen har dock i sin praxis rörande tolkningen av begreppet orimlig begäran i artikel 57.4 i dataskyddsförordningen – vilken är överförbar på det nu aktuella målet, eftersom den bestämmelse i huvudsak har samma lydelse och syfte som artikel 12.5 i förordningen – uttalat att bestämmelsen i artikel 57.4 ger uttryck för en allmän princip i EU-rätten som innebär att enskilda inte får åberopa EU-rättsliga bestämmelser i bedrägligt eller otillbörligt syfte (se, för ett liknande resonemang, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkt 49). Tillämpningen av EU-lagstiftning får nämligen inte utsträckas till att omfatta även förfaranden som har ett otillbörligt syfte (se, för ett liknande resonemang, dom av den 19 september 2024, Matmut, C‑236/23, EU:C:2024:761, punkt 52 och där angiven rättspraxis).

31 Det sagda innebär att det för den personuppgiftsansvariges rätt att utnyttja sin möjlighet enligt artikel 12.5 i dataskyddsförordningen att avslå en begäran från en registrerad om att få tillgång till sina personuppgifter inte i sig är avgörande hur många sådana framställningar som den registrerade har gjort. Den personuppgiftsansvarige kan således utnyttja denna möjlighet även vid en första begäran om denne kan visa – med stöd av samtliga relevanta omständigheter i det enskilda fallet – att det finns en otillbörlig avsikt från den registrerades sida (se, för ett liknande resonemang, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkt 50).

32 Den nu angivna kontextuella tolkningen är förenlig med de mål som eftersträvas med dataskyddsförordningen. I detta avseende ska det påpekas att förordningen, såsom anges i skälen 10 och 11 i denna, syftar till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer inom unionen samt att stärka och precisera de registrerades rättigheter. I linje med detta är den personuppgiftsansvariges skyldigheter enligt artikel 12 i dataskyddsförordningen – bland annat i fråga om kommunikation enligt artikel 15 i förordningen – tänkta som ett sätt att skydda de registrerades rättigheter och intressen på ett effektivt sätt (se, för ett liknande resonemang, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran) , C‑416/23, EU:C:2025:3, punkterna 38 och 39 samt där angiven rättspraxis).

33 Enligt skäl 4 i dataskyddsförordningen är rätten till skydd av personuppgifter dock inte en absolut rättighet, utan den måste bedömas utifrån sin funktion i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. EU-domstolen har dessutom redan uttalat att metoder som gör det möjligt att uppnå en korrekt balans mellan de olika rättigheter och intressen som är för handen finns angivna i själva dataskyddsförordningen (dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 54 och där angiven rättspraxis).

34 Vid den praktiska tillämpningen gäller det därför att hitta en korrekt balans av nyss nämnt slag som säkerställer den aktuella undantagsregelns ändamålsenliga verkan. Det som är relevant för att kunna slå fast att en registrerad haft en otillbörlig avsikt med en begäran om att få tillgång till sina personuppgifter är huruvida begäran kan anses vara orimlig, vilket är en bedömning som ska göras utifrån kvalitativa aspekter (se punkt 26 ovan). Vid orimlighetsbedömningen ska det således inte endast tas hänsyn till hur många sådana framställningar den registrerade har gjort, och det saknar därmed betydelse att det rör sig om en första begäran om tillgång från honom eller henne.

35 Det sagda innebär att en första begäran om att få tillgång till sina personuppgifter som en registrerad framställer till en personuppgiftsansvarig med stöd av artikel 15 i dataskyddsförordningen kan anses vara orimlig, i den mening som avses i artikel 12.5 i förordningen. Av det ovan anförda (se punkt 29) framgår dock att begreppet orimlig begäran ska tolkas restriktivt. Detta innebär att en personuppgiftsansvarig endast i undantagsfall kan göra gällande att en begäran är orimlig och att det, såsom generaladvokaten har angett i punkt 34 i sitt förslag till avgörande, bör gälla högt ställda krav för att en första begäran om tillgång ska anses vara orimlig. Det ska även påpekas att det uttryckligen framgår av artikel 12.5 andra stycket i dataskyddsförordningen att det ankommer på den personuppgiftsansvarige att visa att en begäran är orimlig.

36 EU-domstolens övergår nu till att behandla frågan om under vilka omständigheter en registrerads första begäran om att få tillgång till sina personuppgifter kan anses vara orimlig, i den mening som avses i artikel 12.5 i dataskyddsförordningen, och således utgöra rättsmissbruk, i den mening som avses i ovan i punkterna 23 och 30 angiven rättspraxis. För att styrka att det är fråga om ett förfarande som har en otillbörlig avsikt krävs dels att det föreligger en rad objektiva omständigheter av vilka det framgår att det mål som eftersträvas med den aktuella EU-lagstiftningen inte har uppnåtts, trots att de förutsättningar som föreskrivs i lagstiftningen formellt sett är uppfyllda, dels att det föreligger en subjektiv omständighet som består i att den registrerades avsikt är att erhålla en förmån enligt nämnda lagstiftning genom att på ett konstlat sätt skapa de förutsättningar som krävs för att erhålla förmånen. Det krävs även att det tas hänsyn till samtliga fakta och omständigheter i det aktuella fallet (se, för ett liknande resonemang, dom av den 21 december 2023, BMW Bank m.fl. ( C‑38/21, C‑47/21 och C‑232/21, EU:C:2023:1014, punkterna 285 och 286 och där angiven rättspraxis).

37 Vad först gäller det objektiva rekvisitet för ett otillbörligt förfarande, ska det påpekas att artikel 15 jämförd med skäl 63 i dataskyddsförordningen syftar till att ge en registrerad rätt att få tillgång till sina personuppgifter och att enkelt och med rimliga intervall utöva denna rätt. Detta syftar i sin tur bland annat till att den registrerade ska kunna hålla sig underrättad om att personuppgiftsbehandling sker och kunna kontrollera att den är laglig, för att på detta sätt i förekommande fall kunna utöva sin rätt till rättelse, radering och behandlingsbegränsning samt sin rätt att göra invändningar och väcka talan vid skada (se, för ett liknande resonemang, dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter), C‑154/21, EU:C:2023:3, punkterna 37 och 38).

38 I förevarande fall framgår av handlingarna i målet att TC framställde den nu aktuella begäran om att få tillgång till sina personuppgifter efter att ha registrerat sig för Brillen Rottlers nyhetsbrev och vid registreringen ha lämnat ut vissa personuppgifter till företaget. Detta innebär att nämnda begäran formellt sett skulle kunna betraktas som att TC utnyttjade sin rätt till tillgång i syfte att uppnå det mål som eftersträvas med den aktuella EU-lagstiftningen.

39 Det följer dock av ovan i punkt 36 angiven rättspraxis att den omständigheten att förutsättningarna för tillämpning av artikel 15 i dataskyddsförordningen formellt sett är uppfyllda inte automatiskt innebär att en begäran om att få ut sina personuppgifter inte kan anses vara orimlig och att det därmed inte är fråga om rättsmissbruk.

40 Vad därefter gäller det subjektiva rekvisitet för ett otillbörligt förfarande, ska det påpekas att en personuppgiftsansvarig som avser att utnyttja sin möjlighet att kvalificera en begäran från en registrerad om att få tillgång till sina personuppgifter som orimlig, i den mening som avses i artikel 12.5 i dataskyddsförordningen, måste kunna visa – mot bakgrund av samtliga relevanta omständigheter i det enskilda fallet – att den registrerade haft en otillbörlig avsikt med sin begäran. En sådan avsikt kan anses föreligga om den registrerade har lämnat in begäran i något annat syfte än att hålla sig underrättad om att behandling av hans eller hennes personuppgifter sker och kontrollera huruvida den är laglig, för att därefter kunna få sina rättigheter enligt dataskyddsförordningen skyddade (se, för ett liknande resonemang, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkterna 50 och 56).

41 Vad gäller förevarande fall innebär det nu sagda följande. Mot bakgrund bland annat av vad som anförts ovan i punkt 35 ankommer det på den personuppgiftsansvarige att på ett otvetydigt sätt visa att den registrerades avsikt med att begära ut sina personuppgifter med stöd av artikel 15 i dataskyddsförordningen inte har varit att hålla sig underrättad om att behandling av hans eller hennes personuppgifter sker, utan att på ett konstlat sätt skapa de förutsättningar som krävs för att erhålla ersättning från den personuppgiftsansvarige.

42 I detta avseende ska samtliga omständigheter i det enskilda fallet beaktas, däribland att den registrerade frivilligt har lämnat ut sina personuppgifter till den personansvarige och vad syftet med detta har varit. Hänsyn ska även tas till hur lång tid som förflutit mellan att den registrerade lämnade ut sina personuppgifter till den personansvarige och att den registrerade begärde ut dem samt till den registrerades agerande.

43 Enligt den hänskjutande domstolen uppkommer i det nationella målet frågan huruvida det vid bedömningen av om det är fråga om rättsmissbruk är möjligt att beakta allmänt tillgängliga uppgifter som visar att TC systematiskt har ägnat sig åt att begära ut sina personuppgifter från olika personuppgiftsansvariga och begära ersättning av dem, enligt ett tillvägagångssätt som är jämförbart med det som är i fråga i det nationella målet. EU-domstolen finner att detta är en omständighet som i och för sig kan läggas till grund för att anse att den registrerade haft en otillbörlig avsikt, förutsatt att den vinner stöd av andra relevanta omständigheter i ärendet.

44 I förevarande fall ankommer det således på den hänskjutande domstolen att utifrån samtliga relevanta omständigheter i målet pröva huruvida Brillen Rottler kan anses ha visat att TC haft en otillbörlig avsikt med sin begäran om att få ut sina personuppgifter från företaget.

45 Mot bakgrund av det ovan anförda ska frågorna 1–3 och fråga 7 besvaras enligt följande. Artikel 12.5 i dataskyddsförordningen ska tolkas på så sätt att en första begäran om att få tillgång till sina personuppgifter som en registrerad framställer till en personuppgiftsansvarig med stöd av artikel 15 i förordningen kan anses utgöra en orimlig begäran i den förstnämnda bestämmelsens mening, när den personuppgiftsansvarige, mot bakgrund av samtliga relevanta omständigheter i det enskilda fallet, kan visa att den registrerades avsikt med den aktuella begäran – trots att de förutsättningar som föreskrivs i nämnda bestämmelser i förordningen formellt sett är uppfyllda – inte har varit att hålla sig underrättad om att behandling av hans eller hennes personuppgifter sker och huruvida den är laglig, för att därefter kunna få sina rättigheter enligt förordningen skyddade, utan att den registrerade haft en otillbörlig avsikt, såsom att på ett konstlat sätt skapa de förutsättningar som krävs för att erhålla en förmån enligt förordningen. Om det framgår av allmänt tillgängliga uppgifter att den registrerade har ägnat sig åt att begära ut sina personuppgifter från flera olika personuppgiftsansvariga och begära ersättning av dem, är detta en omständighet som kan läggas till grund för att anse att den registrerade haft en otillbörlig avsikt med den aktuella begäran.

46 Den hänskjutande domstolen har ställt fråga 5 och fråga 6, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att en registrerad har rätt till ersättning enligt denna bestämmelse för den som skada som han eller hon har lidit till följd av att hans eller hennes rätt att få tillgång till sina personuppgifter enligt artikel 15.1 i förordningen har åsidosatts.

47 EU-domstolen gör i denna del följande bedömning. I likhet med vad som anförts ovan i punkt 24 gäller enligt fast rättspraxis att det vid tolkningen av en EU-rättslig bestämmelse inte endast ska tas hänsyn till de termer som används i bestämmelsen, utan även det sammanhang som den ingår i och de mål som eftersträvas med den.

48 Av ordalydelsen i artikel 82.1 i dataskyddsförordningen framgår att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige för den uppkomna skadan. Det kan konstateras att denna bestämmelse inte innehåller någon hänvisning till behandling, vilket innebär att rätten till ersättning inte kan anses vara begränsad till skada till följd av behandling av personuppgifter.

49 Denna bedömning vinner stöd av en kontextuell tolkning av artikel 82.1 jämförd med skäl 141 i dataskyddsförordningen. Av detta skäl framgår att alla registrerade bör ha rätt till ett effektivt rättsmedel inför en domstol i enlighet med artikel 47 i stadgan om [de] anser att [deras] rättigheter enligt [förordningen] har kränkts. Dataskyddsförordningens artikel 82.1 ingår nämligen i kapitel VIII i förordningen, som reglerar de rättsmedel, ansvarsregler och sanktioner som gör det möjligt att skydda de registrerades rättigheter. Dessa rättigheter omfattar både rätten till information (artikel 12) och rätten att få tillgång till sina personuppgifter (artikel 15.1), vilket innebär att de ska skyddas av artikel 82. Denna artikel ska således tolkas på så sätt att den även är tillämplig på skada som en registrerad har lidit till följd av överträdelser av artiklarna 12 och 15.

50 Varken den omständigheten att det i skäl 146 i dataskyddsförordningen anges att den personuppgiftsansvarige bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot förordningen eller att det i artikel 82.2 och 82.4 i förordningen talas om skada som orsakats av behandling föranleder någon annan tolkning än den nyss angivna.

51 EU-domstolen konstaterar nämligen, i likhet med vad kommissionen, i huvudsak, har anfört i sitt skriftliga yttrande, att i fall där en registrerad påstår att hans eller hennes rättigheter enligt bestämmelserna i kapitel III i dataskyddsförordningen – däribland rätten till tillgång till sina personuppgifter och rättelse samt rätten till radering, behandlingsbegränsning och portabilitet – har åsidosatts, så kan det inte vara fråga om en överträdelse av förordningen som är att hänföra till att det faktiskt skett en personuppgiftsbehandling i egentlig mening, utan snarare till att den registrerade har fått avslag på en begäran om att få utöva sina rättigheter enligt förordningen. Sådana situationer skulle således komma att falla utanför tillämpningsområdet för artikel 82.1 i dataskyddsförordningen om det för rätt till ersättning enligt denna bestämmelse krävdes att den registrerade lidit skada till följd av personuppgiftsbehandling i egentlig mening, vilket därmed skulle undergräva bestämmelsens ändamålsenliga verkan.

52 EU-domstolen har dessutom tidigare uttalat att en personuppgiftsansvarigs överträdelse av artiklarna 26 och 30 i dataskyddsförordningen – vilka avser skyldigheten att ingå ett arrangemang för att fastställa det gemensamma ansvaret för behandlingen av personuppgifter respektive skyldigheten att föra ett register över alla personuppgiftsbehandlingar – inte utgör olaglig behandling, som ger den registrerade rätt att kräva radering eller behandlingsbegränsning. En sådan överträdelse ska således avhjälpas genom att andra åtgärder som föreskrivs i dataskyddsförordningen vidtas, särskilt genom ersättning enligt artikel 82 för den skada som den personuppgiftsansvarige eventuellt har orsakat (se, för ett liknande resonemang, dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkterna 66 och 67).

53 Ytterligare stöd för den bedömning som gjorts ovan i punkt 48 följer av en teleologisk tolkning av artikel 82.1 i dataskyddsförordningen. Denna artikel syftar nämligen till att säkerställa att förordningens mål uppnås, däribland det i skäl 11 angivna målet att de registrerades rättigheter ska stärkas och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter ska skärpas. EU-domstolen instämmer här i vad generaladvokaten, i huvudsak, har anfört i punkt 72 i sitt förslag till avgörande, nämligen att de registrerades rättigheter – däribland just rätten att få tillgång till sina personuppgifter, som den hänskjutande domstolen har hänvisat till – avsevärt skulle försvagas om artikel 82.1 tolkades på så sätt att den endast gäller för skada som uppkommit till följd av olagliga handlingar som innefattar personuppgiftsbehandling.

54 Det nu sagda innebär att en registrerad kan göra gällande den rätt till ersättning som föreskrivs i artikel 82 i dataskyddsförordningen även om det är fråga om en överträdelse av förordningen som inte i sig innefattar personuppgiftsbehandling.

55 Mot bakgrund av det ovan anförda ska fråga 5 och fråga 6 besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att en registrerad har rätt till ersättning enligt denna bestämmelse för den skada som han eller hon har lidit till följd av att hans eller hennes rätt att få tillgång till sina personuppgifter enligt artikel 15.1 i förordningen har åsidosatts.

56 Med hänsyn till svaret på fråga 5 och fråga 6 saknas anledning att besvara fråga 4.

57 Den hänskjutande domstolen har ställt fråga 8 för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att immateriell skada som en registrerad har lidit omfattar att den registrerade har förlorat kontrollen över sina personuppgifter eller att han eller hon svävar i ovisshet om huruvida hans eller hennes personuppgifter har behandlats.

58 EU-domstolen gör i denna del följande bedömning. Dataskyddsförordningen innehåller inte någon hänvisning till medlemsstaternas nationella rätt när det gäller innebörden och räckvidden av de termer som används i artikel 82.1, i synnerhet materiell eller ideell skada och ersättning för den uppkomna skadan. Vid tillämpningen av förordningen ska dessa uttryck således anses utgöra självständiga EU-rättsliga begrepp som ska tolkas enhetligt i samtliga medlemsstater (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 30, och dom av den 4 september 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, punkt 55 och där angiven rättspraxis).

59 I detta avseende ska det påpekas att en överträdelse av dataskyddsförordningen inte i sig själv kan anses ge den registrerade rätt till ersättning. I artikel 82.1 i dataskyddsförordningen anges nämligen att [v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av detta framgår tydligt att det för att rätt till ersättning enligt denna bestämmelse ska föreligga krävs att den registrerade har lidit … skada, att det har skett en överträdelse av bestämmelserna i förordningen och att det finns ett orsakssamband mellan den aktuella skadan och överträdelsen av förordningen. Det är således fråga om tre kumulativa villkor (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 31–33, och dom av den 4 september 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, punkt 56 och där angiven rättspraxis).

60 Det sagda innebär att en registrerad som begär ersättning för immateriell skada med stöd av artikel 82.1 i dataskyddsförordningen är skyldig att visa inte bara att det har skett en överträdelse av bestämmelserna i förordningen, utan även att överträdelsen faktiskt har orsakat honom eller henne immateriell skada. En sådan skada kan således inte presumeras föreligga enbart på grund av nämnda överträdelse (dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 141 och där angiven rättspraxis).

61 EU-domstolen har dock i sin tidigare praxis här hänvisat till den i skäl 85 första meningen i förordningen intagna exemplifierande förteckningen över de typer av skada som en registrerad kan komma att drabbas av och framhållit att det därav framgår att EU-lagstiftaren har avsett att redan den omständigheten att den registrerade [förlorar] kontrollen över sina personuppgifter till följd av en överträdelse av förordningen ska omfattas av begreppet skada, även om det inte har förekommit något konkret missbruk av de aktuella personuppgifterna (dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 145 och där angiven rättspraxis).

62 EU-domstolen har även funnit att begreppet immateriell skada inte kan anses vara begränsat till att avse endast skada av en viss allvarlighetsgrad. Den har därvid särskilt uttalat att det inte kan godtas att det genom en nationell regel eller praxis fastställs en miniminivå för immateriell skada som uppkommit till följd av en överträdelse av dataskyddsförordningen. Den registrerade måste dock kunna visa dels att han eller hon faktiskt har lidit immateriell skada, om än obetydlig, dels att, bortsett från det enkla faktum att bestämmelserna i förordningen har överträtts, de konsekvenser som han eller hon påstår sig ha drabbats av med anledning av överträdelsen utgör en skada (se, för ett liknande resonemang, dom av den 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkterna 22 och 23).

63 Enbart den omständigheten att den registrerade påstår sig känna fruktan över att förlorat kontrollen över sina personuppgifter räcker således inte i sig för att ge rätt till ersättning enligt artikel 82.1 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 20 juni 2024, PS (Felaktig adress), C‑590/22, EU:C:2024:536, punkterna 33 och 35). I detta avseende gäller därmed följande. I ett mål vid en nationell domstol som rör en begäran om skadeersättning enligt denna bestämmelse, där den registrerade till stöd för sin begäran åberopar sin fruktan för att hans eller hennes personuppgifter kan komma att missbrukas i framtiden till följd av en överträdelse av dataskyddsförordningen, måste den nationella domstolen pröva om denna fruktan kan anses välgrundad under de omständigheter som föreligger i det aktuella fallet och med hänsyn till den registrerade (se, för ett liknande resonemang, dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 143 och där angiven rättspraxis).

64 Det nu anförda (punkterna 59–63) gäller även i ett fall där den registrerade anser att det råder ovisshet om huruvida hans eller hennes personuppgifter har behandlats.

65 I syfte att ge den hänskjutande domstolen ett användbart svar ska det även påpekas att orsakssambandet mellan den påstådda överträdelsen av dataskyddsförordningen och den åberopade skadan kan brytas genom den registrerades eget handlande, när detta handlande visar sig vara den avgörande orsaken till skadan. En sådant handlande kan bland annat bestå i ett beslut av den skadelidande, detta dock under förutsättning att denne inte tvingats till detta beslut (se, analogt, dom av den 18 december 2025, WS m.fl./Frontex (Gemensam återvändandeinsats), C‑679/23 P, EU:C:2025:976, punkterna 151 och 152 och där angiven rättspraxis).

66 Av ovan i punkt 59 angiven rättspraxis framgår dessutom att förekomsten av ett orsakssamband mellan den påstådda överträdelsen av dataskyddsförordningen och den skada som den registrerade påstår sig ha lidit är en nödvändig förutsättning för att rätt till ersättning enligt artikel 82.1 i förordningen ska föreligga. Detta innebär att en registrerad som påstår sig ha lidit skada till följd av att han eller hon har förlorat kontrollen över sina personuppgifter eller svävar i ovisshet om huruvida hans eller hennes personuppgifter har behandlats inte kan anses ha rätt till ersättning enligt denna bestämmelse om orsakssambandet har brutits genom den registrerades eget handlande då den åberopade förlusten av kontroll eller ovissheten har orsakats av den registrerades beslut att lämna ut sina personuppgifter till den personuppgiftsansvarige i syfte att på ett konstlat sätt skapa de förutsättningar som krävs för att nämnda bestämmelse ska vara tillämplig.

67 Mot bakgrund av det ovan anförda ska fråga 8 besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att immateriell skada som en registrerad har lidit omfattar att den registrerade har förlorat kontrollen över sina personuppgifter eller att han eller hon svävar i ovisshet om huruvida hans eller hennes personuppgifter har behandlats. Detta gäller dock under förutsättning att den registrerade kan visa bland annat att han eller hon faktiskt har lidit sådan skada och att hans eller hennes eget handlande inte har varit den avgörande orsaken till denna skada.

68 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

1 Rättegångsspråk: tyska.