Voorlopige editie

ARREST VAN HET HOF (Derde kamer)

21 december 2023 (*)

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 6, lid 1 – Voorwaarden voor rechtmatige verwerking – Artikel 9, leden 1 tot en met 3 – Verwerking van bijzondere categorieën van gegevens – Gegevens over gezondheid – Beoordeling van de arbeidsgeschiktheid van een werknemer – Medische dienst van de zorgverzekeraars, die gegevens over de gezondheid van zijn eigen werknemers verwerkt – Toelaatbaarheid en voorwaarden van een dergelijke verwerking – Artikel 82, lid 1 – Recht op schadevergoeding en aansprakelijkheid – Vergoeding van immateriële schade – Compensatoire functie – Invloed van de schuld van de verwerkingsverantwoordelijke”

In zaak C‑667/21,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Bundesarbeitsgericht (hoogste federale rechter in arbeidszaken, Duitsland) bij beslissing van 26 augustus 2021, ingekomen bij het Hof op 8 november 2021, in de procedure

ZQ

tegen

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

wijst

HET HOF (Derde kamer),

samengesteld als volgt: K. Jürimäe, kamerpresident, N. Piçarra, M. Safjan, N. Jääskinen (rapporteur) en M. Gavalec, rechters,

advocaat-generaal: M. Campos Sánchez-Bordona,

griffier: A. Calot Escobar,

gezien de stukken,

gelet op de opmerkingen van:

–        ZQ, vertegenwoordigd door E. Daun, Rechtsanwalt,

–        Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, vertegenwoordigd door M. Wehner, Rechtsanwalt,

–        Ierland, vertegenwoordigd door M. Browne, Chief State Solicitor, A. Joyce en M. Lane als gemachtigden, bijgestaan door D. Fennelly, BL,

–        de Italiaanse regering, vertegenwoordigd door G. Palmieri als gemachtigde, bijgestaan door M. Russo, avvocato dello Stato,

–        de Europese Commissie, vertegenwoordigd door A. Bouchagiar, M. Heller en H. Kranenborg als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 25 mei 2023,

het navolgende

Arrest

1        Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 9, lid 1, lid 2, onder h), en lid 3, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”), gelezen in samenhang met artikel 6, lid 1, van die verordening. Voorts betreft het verzoek de uitlegging van artikel 82, lid 1, van deze verordening.

2        Dit verzoek is ingediend in het kader van een geding tussen ZQ en zijn werkgever, Medizinischer Dienst der Krankenversicherung Nordrhein (medische dienst van de ziektekostenverzekering voor Noordrijn, Duitsland; hierna: „MDK Nordrhein”), betreffende de vergoeding van de schade die ZQ beweert te hebben geleden ingevolge de onrechtmatige verwerking door MDK Nordrhein van gegevens over zijn gezondheid.

 Toepasselijke bepalingen

 Unierecht

3        De overwegingen 4 tot en met 8, 10, 35, 51 tot en met 53, 75 en 146 AVG luiden als volgt:

„(4)      De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest [van de grondrechten van de Europese Unie (hierna: „Handvest”)] zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie- en gezinsleven, [...] de bescherming van persoonsgegevens, [...].

(5)      Dankzij de interne markt is een niveau van economische en sociale integratie bereikt dat tot een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens heeft geleid. De uitwisseling van persoonsgegevens tussen publieke en particuliere actoren, waaronder natuurlijke personen, verenigingen en ondernemingen, is overal in de [Europese] Unie toegenomen. Het Unierecht noopt de nationale autoriteiten in de lidstaten tot samenwerken en tot het uitwisselen van persoonsgegevens om hun opdrachten te vervullen of om taken uit te voeren namens een autoriteit in een andere lidstaat.

(6)      Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.

(7)      Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties.

(8)      Voor zover deze verordening bepaalt dat de regels die zij bevat door lidstatelijk recht kunnen worden gespecificeerd of beperkt, kunnen de lidstaten indien nodig elementen van deze verordening in hun recht opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpelijk te maken voor degenen op wie zij van toepassing zijn.

[...]

(10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. [...] Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van bijzondere persoonsgegevenscategorieën (‚gevoelige gegevens’) betreft. [...]

[...]

(35)      Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. [...]

[...]

(51)      Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden. [...] Naast de specifieke voorschriften voor die verwerking dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën [van] persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften [...].

(52)      Van het verbod op de verwerking van bijzondere categorieën van persoonsgegevens moet ook kunnen worden afgeweken, indien Unierecht of lidstatelijk recht hierin voorziet en er passende waarborgen worden geboden ter bescherming van persoonsgegevens en andere grondrechten, wanneer zulks in het algemeen belang is, in het bijzonder de verwerking van persoonsgegevens op het gebied van het arbeidsrecht en het socialebeschermingsrecht, met inbegrip van de pensioenen, en voor doeleinden inzake gezondheidsbeveiliging, -bewaking en -waarschuwing, preventie of bestrijding van overdraagbare ziekten en andere ernstige gezondheidsbedreigingen. In een dergelijke afwijking kan worden voorzien voor gezondheidsdoeleinden, zoals de volksgezondheid en het beheer van gezondheidszorgdiensten, met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. [...]

(53)      Bijzondere categorieën van persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten, met inbegrip van de verwerking door de beheersautoriteiten en de centrale nationale gezondheidsinstanties van die gegevens met het oog op kwaliteitscontrole, beheersinformatie en het algemeen nationaal en lokaal toezicht op het gezondheidszorgstelsel of het stelsel van sociale diensten, en bij het waarborgen van de continuïteit van de gezondheidszorg of de sociale diensten [...]. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het Unierecht of het lidstatelijke recht moet voorzien in specifieke en passende maatregelen voor de bescherming van de grondrechten en persoonsgegevens van natuurlijke personen. De lidstaten moet worden toegestaan andere voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid te handhaven of in te voeren. [...]

[...]

(75)      Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; [...] bij de verwerking van [...] gegevens over gezondheid [...]; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, [...] te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; [...].

[...]

(146)      De verwerkingsverantwoordelijke of de verwerker [moet] alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Het begrip ‚schade’ moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere regels in het Unierecht of het lidstatelijke recht onverlet. Onder verwerking die inbreuk maakt op deze verordening, valt eveneens een verwerking die inbreuk maakt op gedelegeerde handelingen en uitvoeringshandelingen die werden vastgesteld overeenkomstig deze verordening, alsmede het lidstatelijke recht waarin in deze verordening vervatte regels worden gespecificeerd. De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen. [...]”

4        Hoofdstuk I van de AVG, met als opschrift „Algemene bepalingen”, bevat een artikel 2 („Materieel toepassingsgebied”), dat in lid 1 het volgende bepaalt:

„Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

5        Artikel 4 („Definities”) van die verordening luidt als volgt:

„Voor de toepassing van deze verordening wordt verstaan onder:

1)      ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); [...]

2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, [...];

[...]

7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; [...]

[...]

15)      ‚gegevens over gezondheid’: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;

[...]”

6        Hoofdstuk II van de AVG, met als opschrift „Beginselen”, omvat de artikelen 5 tot en met 11.

7        Artikel 5 AVG, met als opschrift „Beginselen inzake verwerking van persoonsgegevens”, bepaalt het volgende:

„1.      Persoonsgegevens moeten:

a)      worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

[...]

f)      door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).

2.      De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

8        Artikel 6 AVG, met als opschrift „Rechtmatigheid van de verwerking”, bepaalt in lid 1:

„De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)      de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b)      de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c)      de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d)      de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e)      de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f)      de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.”

9        Artikel 9 AVG, met als opschrift „Verwerking van bijzondere categorieën van persoonsgegevens”, is verwoord als volgt:

„1.      Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

2.      Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

[...]

b)      de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;

[...]

h)      de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;

[...]

3.      De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, punt h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden.

4.      De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren.”

10      Hoofdstuk IV van de AVG, met als opschrift „Verwerkingsverantwoordelijke en verwerker”, bevat de artikelen 24 tot en met 43.

11      Dit hoofdstuk bevat een afdeling 1 („Algemene verplichtingen”) waarvan artikel 24 („Verantwoordelijkheid van de verwerkingsverantwoordelijke”) in lid 1 het volgende bepaalt:

„Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

12      Datzelfde hoofdstuk bevat een afdeling 2 („Persoonsgegevensbeveiliging”) waarvan lid 1 van artikel 32 („Beveiliging van de verwerking”) geformuleerd is als volgt:

„Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

a)      de pseudonimisering en versleuteling van persoonsgegevens;

b)      het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te garanderen;

[...]”

13      Hoofdstuk VIII van de AVG, met als opschrift „Beroep, aansprakelijkheid en sancties”, bevat de artikelen 77 tot en met 84 van deze verordening.

14      Artikel 82 AVG, met als opschrift „Recht op schadevergoeding en aansprakelijkheid”, luidt als volgt:

„1.      Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

2.      Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. [...]

3.      Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

[...]”

15      Artikel 83 AVG, met als opschrift „Algemene voorwaarden voor het opleggen van administratieve geldboeten”, bepaalt:

„1.      Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.

2.      [...] Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

a)      de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

b)      de opzettelijke of nalatige aard van de inbreuk;

[...]

d)      de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;

[...]

k)      elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

3.      Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.

[...]”

16      Artikel 84 AVG, met als opschrift „Sancties”, bepaalt in lid 1:

„De lidstaten stellen de regels inzake andere sancties vast die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83, en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. Die sancties zijn doeltreffend, evenredig en afschrikkend.”

 Duits recht

17      Krachtens § 275, lid 1, van het Sozialgesetzbuch, Fünftes Buch (Boek V van het Duitse socialezekerheidswetboek), in de versie die van toepassing is op het hoofdgeding, zijn de publieke zorgverzekeraars verplicht om, in de bij wet bepaalde gevallen of wanneer de ziekte van de verzekerde het vereist, advies in te winnen bij een Medizinischer Dienst (medische dienst) die hen bijstaat, om met name twijfels omtrent de arbeidsongeschiktheid van die verzekerde weg te nemen.

18      § 278, lid 1, van dat wetboek bepaalt dat een dergelijke medische dienst in elke deelstaat wordt opgericht met de rechtsvorm van een publiekrechtelijke instelling.

 Hoofdgeding en prejudiciële vragen

19      MDK Nordrhein is een publiekrechtelijke instelling die als medische dienst van de zorgverzekeraars onder meer als wettelijke opdracht heeft het opstellen van medische adviezen om bij de verplichte zorgverzekeraars alle twijfels weg te nemen met betrekking tot de arbeidsongeschiktheid van de door hen verzekerde personen, ook wanneer die adviezen op hun eigen werknemers betrekking hebben.

20      In een dergelijk geval is het alleen de leden van een speciale eenheid, de organisatie-eenheid „Bijzondere gevallen”, toegestaan om de „sociale gegevens” van die werknemer via een vergrendeld domein van het IT-systeem van die instantie te verwerken, en om na het afsluiten van het adviesdossier toegang te hebben tot het elektronisch archief. Een interne dienstinstructie met betrekking tot deze gevallen bepaalt met name dat een beperkt aantal personeelsleden, waaronder sommige personeelsleden van de IT-afdeling, toegang heeft tot die gegevens.

21      Verzoeker in het hoofdgeding was in dienst bij de IT-afdeling van MDK Nordrhein alvorens om medische redenen arbeidsongeschikt te zijn verklaard. Na afloop van het semester waarin die instelling, in haar hoedanigheid als werkgever, verzoekers bezoldiging is blijven betalen, is de zorgverzekeraar waarbij hij was aangesloten, gestart met het uitbetalen van uitkeringen wegens ziekte.

22      Daarop heeft die zorgverzekeraar MDK Nordrhein verzocht om een advies op te stellen betreffende de arbeidsongeschiktheid van verzoeker in het hoofdgeding. Een arts die werkzaam is binnen de organisatie-eenheid „Bijzondere gevallen” van MDK Nordrhein heeft het deskundigenadvies opgesteld, met name door inlichtingen te vragen aan de behandelend arts van verzoeker in het hoofdgeding. Toen deze laatste daarvan door zijn behandelend arts in kennis werd gesteld, heeft verzoeker contact opgenomen met een van zijn collega’s van de IT-dienst en hem verzocht om foto’s te nemen van het deskundigenadvies in het elektronisch archief van MDK Nordrhein teneinde hem deze te bezorgen.

23      Aangezien verzoeker in het hoofdgeding van mening was dat aldus gegevens over zijn gezondheid door zijn werkgever onrechtmatig waren verwerkt, heeft hij deze laatste verzocht hem een vergoeding van 20 000 EUR te betalen, hetgeen MDK Nordrhein heeft geweigerd.

24      Vervolgens heeft verzoeker in het hoofdgeding een vordering ingesteld bij het Arbeitsgericht Düsseldorf (arbeidsrechter in eerste aanleg Düsseldorf, Duitsland) opdat MDK Nordrhein op grond van artikel 82, lid 1, AVG en bepalingen van Duits recht zou worden veroordeeld tot vergoeding van de schade die hij stelt te hebben geleden door de aldus verrichte verwerking van persoonsgegevens. Hij heeft in wezen aangevoerd dat, ten eerste, het betrokken deskundigenadvies door een andere medische dienst had moeten worden uitgevoerd om te voorkomen dat zijn collega’s toegang zouden hebben tot gegevens over zijn gezondheid en, ten tweede, de veiligheidsmaatregelen rond de archivering van het advies ontoereikend waren. Hij heeft ook betoogd dat deze verwerking de rechtsregels ter bescherming van dergelijke gegevens schendt, waardoor hij zowel immateriële als materiële schade heeft geleden.

25      Ter verdediging heeft MDK Nordrhein hoofdzakelijk aangevoerd dat de verzameling en opslag van gegevens over de gezondheid van verzoeker in het hoofdgeding waren uitgevoerd in overeenstemming met de bepalingen inzake de bescherming van dergelijke gegevens.

26      Nadat zijn vordering in eerste aanleg was afgewezen, heeft verzoeker in het hoofdgeding hoger beroep ingesteld bij het Landesarbeitsgericht Düsseldorf (arbeidsrechter van de deelstaat Noordrijn-Westfalen, Düsseldorf, Duitsland), dat zijn beroep eveneens heeft afgewezen. Daarop heeft hij beroep in Revision ingesteld bij het Bundesarbeitsgericht (hoogste federale rechter in arbeidszaken, Duitsland), de verwijzende rechter in de onderhavige zaak.

27      Die rechter gaat uit van de premisse dat het door MDK Nordrhein als medische dienst in het hoofdgeding opgestelde advies een „verwerking” van „persoonsgegevens” en meer in het bijzonder van „gegevens over gezondheid” in de zin van artikel 4, punten 1, 2 en 15, AVG vormt, en dat deze handeling bijgevolg binnen het materiële toepassingsgebied van deze verordening valt, zoals omschreven in artikel 2, lid 1, ervan. Voorts is de verwijzende rechter van oordeel dat MDK Nordrhein de betrokken „verwerkingsverantwoordelijke” is in de zin van artikel 4, punt 7, van deze verordening.

28      Zijn vragen slaan in de eerste plaats op de uitlegging van verschillende bepalingen van artikel 9 AVG, dat betrekking heeft op de verwerking van bijzondere categorieën van persoonsgegevens, met name gelet op het feit dat de in het hoofdgeding aan de orde zijnde verwerking is verricht door een orgaan dat tevens de werkgever van de betrokkene is, zoals gedefinieerd in artikel 4, punt 1, van deze verordening.

29      Om te beginnen betwijfelt de verwijzende rechter of de in het hoofdgeding aan de orde zijnde verwerking van gegevens over gezondheid onder een van de uitzonderingen van artikel 9, lid 2, AVG kan vallen. Volgens die rechter zijn in casu enkel de uitzonderingen van de punten b) en h) van dat artikel 9, lid 2, relevant. Hij sluit echter van meet af aan uit dat de in dat punt b) bedoelde afwijking in het onderhavige geval wordt toegepast, omdat de in het hoofdgeding aan de orde zijnde verwerking niet noodzakelijk was met het oog op de uitvoering van de rechten en verplichtingen van de verwerkingsverantwoordelijke, in zijn hoedanigheid van werkgever van de betrokkene. Het initiatief tot deze verwerking is immers genomen door een andere instantie, die MDK Nordrhein heeft verzocht een controle uit te voeren in haar hoedanigheid van medische dienst. Hoewel de verwijzende rechter evenmin geneigd is de in punt h) bedoelde afwijking toe te passen, aangezien hij van mening is dat alleen een door een „neutrale derde” uitgevoerde verwerking hieronder zou kunnen vallen en dat een instelling zich niet op haar „dubbele hoedanigheid” van werkgever en medische dienst kan baseren om voorbij te gaan aan het verbod op een dergelijke verwerking, is hij daarentegen op dit punt niet stellig.

30      Indien ervan wordt uitgegaan dat de verwerking van gegevens over gezondheid in dergelijke omstandigheden zou zijn toegestaan op grond van artikel 9, lid 2, onder h), AVG, vraagt de verwijzende rechter zich vervolgens af welke regels inzake de bescherming van gegevens over gezondheid in dat kader in acht moeten worden genomen. Volgens hem houdt deze verordening in dat het niet volstaat dat de verwerkingsverantwoordelijke aan de vereisten van artikel 9, lid 3, voldoet. De verantwoordelijke moet volgens hem bovendien garanderen dat geen van de collega’s van de betrokkene toegang kan hebben tot de gegevens met betrekking tot de gezondheidstoestand van deze laatste.

31      Nog steeds daarvan uitgaand, wenst de verwijzende rechter ten slotte te vernemen of de rechtmatigheid van een dergelijke verwerking bovendien vereist dat ten minste een van de voorwaarden van artikel 6, lid 1, AVG moet zijn vervuld. Volgens die rechter moet dit het geval zijn en kunnen in het kader van het hoofdgeding a priori alleen de punten c) en e) van artikel 6, lid 1, eerste alinea, relevant zijn. Deze twee punten c) en e) zijn evenwel niet van toepassing omdat de betrokken verwerking niet „noodzakelijk” is in de zin van deze bepalingen, aangezien deze net zo goed door een andere medische dienst als door MDK Nordrhein kan worden uitgevoerd.

32      In de tweede plaats, indien er in casu sprake is van een inbreuk op de AVG, vraagt de verwijzende rechter zich af of verzoeker in het hoofdgeding eventueel recht heeft op schadevergoeding op grond van artikel 82 van deze verordening.

33      Hij wenst te vernemen of de regeling van artikel 82, lid 1, AVG, naast haar compensatoire functie, een afschrikkend of punitief karakter heeft en, in voorkomend geval, of met die aard rekening moet worden gehouden bij de vaststelling van de hoogte van de schadevergoeding voor immateriële schade, met name gelet op de beginselen van doeltreffendheid, evenredigheid en gelijkwaardigheid die in andere domeinen van het Unierecht zijn neergelegd.

34      De verwijzende rechter is geneigd te oordelen dat de verwerkingsverantwoordelijke aansprakelijk kan worden gesteld op grond van artikel 82, lid 1, AVG zonder dat zijn schuld hoeft te worden aangetoond. Aangezien de verwijzende rechter – voornamelijk in het licht van de Duitse rechtsregels – echter twijfels heeft, vraagt hij zich af of moet worden nagegaan of de betrokken schending van de AVG wegens een opzettelijke handeling of nalatigheid aan de verwerkingsverantwoordelijke kan worden toegerekend, en of de mate van eventuele schuld van deze laatste invloed heeft op de schadevergoeding voor immateriële schade.

35      Tegen deze achtergrond heeft het Bundesarbeitsgericht de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen gesteld:

„1)      Moet artikel 9, lid 2, onder h), [AVG] aldus worden uitgelegd dat een medische dienst van een zorgverzekeraar gezondheidsgegevens van zijn werknemer, die een voorwaarde voor de beoordeling van de arbeidsgeschiktheid van die werknemer zijn, niet mag verwerken?

2)      Voor het geval het Hof de eerste vraag ontkennend beantwoordt, met als gevolg dat krachtens artikel 9, lid 2, onder h), AVG zou kunnen worden afgeweken van het in artikel 9, lid 1, AVG gestelde verbod op verwerking van gegevens over gezondheid: moeten in een geval als het onderhavige naast de in artikel 9, lid 3, AVG vastgestelde voorwaarden nog andere vereisten inzake gegevensbescherming in acht worden genomen, en, zo ja, welke?

3)      Voor het geval het Hof de eerste vraag ontkennend beantwoordt, met als gevolg dat krachtens artikel 9, lid 2, onder h), AVG zou kunnen worden afgeweken van het in artikel 9, lid 1, AVG gestelde verbod op verwerking van gegevens over gezondheid: hangt in een geval als het onderhavige de toelaatbaarheid of rechtmatigheid van de verwerking van gegevens over gezondheid tevens ervan af of aan ten minste een van de in artikel 6, lid 1, AVG genoemde voorwaarden is voldaan?

4)      Heeft artikel 82, lid 1, AVG een specifiek of algemeen preventief karakter, en moet daarmee rekening worden gehouden bij de berekening van de hoogte van de immateriële schade die op grond van artikel 82, lid 1, AVG moet worden vergoed door de verwerkingsverantwoordelijke of de verwerker?

5)      Is de mate van schuld van de verwerkingsverantwoordelijke of de verwerker bepalend voor de berekening van de hoogte van de op grond van artikel 82, lid 1, AVG te vergoeden immateriële schade? Kan met name afwezigheid van schuld of lichte schuld van de verwerkingsverantwoordelijke of de verwerker te zijnen gunste in aanmerking worden genomen?”

 Beantwoording van de prejudiciële vragen

 Eerste vraag

36      Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of, gelet op het in artikel 9, lid 1, AVG neergelegde verbod om gegevens over gezondheid te verwerken, lid 2, onder h), van dat artikel aldus moet worden uitgelegd dat de daarin neergelegde uitzondering van toepassing is op situaties waarin een medisch controleorgaan gezondheidsgegevens van een van zijn werknemers niet verwerkt in de hoedanigheid van werkgever maar van medische dienst, teneinde de arbeidsgeschiktheid van die werknemer te beoordelen.

37      Volgens vaste rechtspraak moet bij de uitlegging van een Unierechtelijke bepaling niet alleen rekening worden gehouden met haar bewoordingen, maar ook met de context en de doelstellingen ervan en met het oogmerk van de regeling waarvan zij deel uitmaakt. Ook de ontstaansgeschiedenis van een Unierechtelijke bepaling kan relevante gegevens voor de uitlegging van die bepaling bevatten (arrest van 16 maart 2023, Towercast, C‑449/21, EU:C:2023:207, punt 31 en aldaar aangehaalde rechtspraak).

38      In de eerste plaats zij erop gewezen dat artikel 9 AVG, blijkens het opschrift ervan, betrekking heeft op de „verwerking van bijzondere categorieën van persoonsgegevens”, die tevens als „gevoelig” worden gekwalificeerd in de overwegingen 10 en 51 van die verordening.

39      In overweging 51 AVG staat te lezen dat persoonsgegevens die door hun aard bijzonder gevoelig zijn uit het oogpunt van de grondrechten en de fundamentele vrijheden, specifieke bescherming verdienen aangezien de context van de verwerking ervan significante risico’s voor deze grondrechten en de fundamentele vrijheden met zich kan brengen.

40      In artikel 9, lid 1, AVG wordt dan ook het beginsel neergelegd dat de verwerking van bijzondere categorieën van persoonsgegevens verboden is. Tot die laatste behoren de in casu aan de orde zijnde „gegevens over gezondheid”, zoals gedefinieerd in artikel 4, punt 15, van deze verordening, gelezen in het licht van overweging 35 ervan.

41      Het Hof heeft verduidelijkt dat artikel 9, lid 1, AVG beoogt een verhoogde bescherming te bieden tegen verwerkingen die, wegens de bijzondere gevoeligheid van de gegevens die er het voorwerp van zijn, op bijzonder ernstige wijze inbreuk kunnen maken op de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens [zie in die zin arrest van 5 juni 2023, Commissie/Polen (Onafhankelijkheid en privéleven van rechters), C‑204/21, EU:C:2023:442, punt 345 en aldaar aangehaalde rechtspraak].

42      Artikel 9, lid 2, onder a) tot en met j), AVG voorziet evenwel in een uitputtende lijst met uitzonderingen op het beginsel van het verbod op de verwerking van die gevoelige gegevens.

43      In het bijzonder staat artikel 9, lid 2, onder h), AVG een dergelijke verwerking toe indien zij „noodzakelijk [is met name] voor de beoordeling van de arbeidsgeschiktheid van de werknemer [...] op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker”. Deze bepaling preciseert dat elke daarop gebaseerde verwerking bovendien specifiek aan „de in lid 3 genoemde voorwaarden en waarborgen” van dat artikel 9 onderworpen is.

44      Uit artikel 9, lid 2, onder h), AVG, gelezen in samenhang met lid 3 van dat artikel, volgt dat de mogelijkheid om gevoelige gegevens – zoals die over gezondheid – te verwerken, strikt is geregeld door een reeks cumulatieve voorwaarden. Deze voorwaarden hebben betrekking op, ten eerste, de in punt h) genoemde doelstellingen – waaronder de beoordeling van de arbeidsgeschiktheid van een werknemer –, ten tweede, de rechtsgrondslag van die verwerking – volgens punt h) het Unierecht, lidstatelijk recht of een overeenkomst met een gezondheidswerker – en ten slotte, ten derde, de geheimhoudingsplicht die rust op de personen die krachtens artikel 9, lid 3, bevoegd zijn om een dergelijke verwerking te verrichten, die allen overeenkomstig laatstgenoemde bepaling tot geheimhouding moeten zijn gehouden.

45      Zoals de advocaat-generaal in de punten 32 en 33 van zijn conclusie in wezen heeft opgemerkt, bevatten noch de bewoordingen van artikel 9, lid 2, onder h), AVG, noch de ontstaansgeschiedenis van deze bepaling aanwijzingen dat de toepassing van de in deze bepaling neergelegde uitzondering beperkt is tot gevallen waarin de verwerking wordt verricht door een „neutrale derde en niet door de werkgever” van de betrokkene, zoals gedefinieerd in artikel 4, punt 1, van deze verordening, zoals de verwijzende rechter suggereert.

46      Gelet op de opvatting van de verwijzende rechter die erop neerkomt dat een instantie zich niet mag kunnen baseren op haar „dubbele hoedanigheid” van werkgever van de betrokkene enerzijds en medische dienst anderzijds om te ontsnappen aan het beginsel van het verbod op verwerking van gegevens over gezondheid, zoals neergelegd in artikel 9, lid 1, AVG, dient te worden verduidelijkt dat het van doorslaggevend belang is om rekening te houden met de grondslag op basis waarvan de verwerking van die gegevens plaatsvindt.

47      Hoewel artikel 9, lid 1, de verwerking van gegevens over gezondheid principieel verbiedt, voorziet lid 2, punten a) tot en met j), van datzelfde artikel immers in tien uitzonderingen die los van elkaar staan en derhalve onafhankelijk moeten worden beoordeeld. Wanneer niet is voldaan aan een van de voorwaarden voor de toepassing van een uitzondering van lid 2, staat dit dus niet eraan in de weg dat een verwerkingsverantwoordelijke zich op een andere uitzondering van die bepaling kan beroepen.

48      Uit het voorgaande volgt dat artikel 9, lid 2, onder h), AVG, gelezen in samenhang met lid 3 van dat artikel, geenszins uitsluit dat de in punt h) bedoelde uitzondering wordt toegepast op situaties waarin een medisch controleorgaan gezondheidsgegevens van een van zijn werknemers verwerkt in de hoedanigheid van medische dienst, en niet in die van werkgever, teneinde de arbeidsgeschiktheid van die werknemer te beoordelen.

49      In de tweede plaats wordt een dergelijke uitlegging bevestigd wanneer rekening wordt gehouden met het stelsel waarvan artikel 9, lid 2, onder h), AVG, deel uitmaakt, en vindt zij steun in de doelstellingen van die verordening en deze bepaling.

50      Ten eerste moet artikel 9, lid 2, AVG, voor zover daarin een uitzondering is opgenomen op het beginsel dat de verwerking van bijzondere categorieën van persoonsgegevens verboden is, inderdaad restrictief worden uitgelegd [arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punt 76].

51      De naleving van het principiële verbod van artikel 9, lid 1, AVG mag evenwel niet tot gevolg hebben dat de werkingssfeer van een andere bepaling van die verordening wordt beperkt op een manier die indruist tegen de duidelijke bewoordingen van deze laatste bepaling. De voorgestelde uitlegging, volgens welke de werkingssfeer van de uitzondering van artikel 9, lid 2, onder h), moet worden beperkt tot de gevallen waarin een „neutrale derde” gegevens over gezondheid verwerkt met het oog op de beoordeling van de arbeidsgeschiktheid van een werknemer, zou echter een vereiste toevoegen dat geenszins uit de duidelijke bewoordingen van laatstgenoemde bepaling blijkt.

52      In dit verband is het irrelevant dat in casu – indien het MDK Nordrhein verboden zou zijn om haar taak van medische dienst te vervullen wanneer een van haar eigen werknemers betrokken is – een andere instantie voor medische controle deze taak op zich zou kunnen nemen. Dit alternatief, dat door de verwijzende rechter wordt geopperd, is niet noodzakelijkerwijs aanwezig of uitvoerbaar in alle lidstaten en in alle situaties die onder artikel 9, lid 2, onder h), AVG kunnen vallen. Bij de uitlegging van deze bepaling mag echter niet worden uitgegaan van overwegingen die zijn ontleend aan het gezondheidsstelsel van één enkele lidstaat of die voortvloeien uit de specifieke omstandigheden van het hoofdgeding.

53      Ten tweede is de uitlegging in punt 48 van het onderhavige arrest in overeenstemming met de doelstellingen van de AVG en met die van artikel 9 van deze verordening.

54      Zo staat in overweging 4 AGV te lezen dat het recht op bescherming van persoonsgegevens geen absolute gelding heeft, aangezien het moet worden beschouwd in relatie tot de functie ervan in de samenleving en het conform het evenredigheidsbeginsel tegen andere grondrechten moet worden afgewogen (zie in die zin arrest van 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punt 78). Bovendien heeft het Hof er reeds op gewezen dat de regelingen die het mogelijk maken om een juist evenwicht te vinden tussen de verschillende aan de orde zijnde rechten en belangen, vervat zijn in de AVG zelf (zie in die zin arrest van 17 juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punt 112).

55      Die overwegingen gelden ook wanneer de betrokken gegevens vallen onder de bijzondere categorieën als vermeld in artikel 9 van die verordening [zie in die zin arrest van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens), C‑136/17, EU:C:2019:773, punten 57 en 66‑68], zoals de gegevens over gezondheid.

56      Meer in het bijzonder blijkt uit overweging 52 AVG dat „[afwijkingen] van het verbod op de verwerking van [deze] bijzondere categorieën van [gegevens]” moeten worden toegestaan „wanneer zulks in het algemeen belang is, in het bijzonder [...] op het gebied van het arbeidsrecht en het socialebeschermingsrecht” en „voor gezondheidsdoeleinden, [...] met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering”. In overweging 53 van deze verordening staat ook te lezen dat verwerkingen „voor gezondheidsdoeleinden” mogelijk moeten zijn „indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten”.

57      Vanuit die algemene invalshoek bezien en gelet op de verschillende aan de orde zijnde legitieme belangen heeft de Uniewetgever in artikel 9, lid 2, onder h), AVG voorzien in de mogelijkheid om af te wijken van het in lid 1 van dat artikel opgenomen principiële verbod op de verwerking van gegevens over gezondheid, op voorwaarde dat de betrokken verwerking aan de voorwaarden en waarborgen voldoet die uitdrukkelijk door punt h) en de andere relevante bepalingen van die verordening, in het bijzonder lid 3 van artikel 9, zijn opgelegd, welke bepalingen niet voorzien in het vereiste dat een medische dienst die dergelijke gegevens op grond van dat punt h) verwerkt, een entiteit is die losstaat van de werkgever van de betrokkene.

58      Gelet op een en ander en onverminderd de antwoorden op de tweede en de derde vraag, moet op de eerste vraag worden geantwoord dat artikel 9, lid 2, onder h), AVG aldus moet worden uitgelegd dat de in deze bepaling neergelegde uitzondering van toepassing is op situaties waarin een medisch controleorgaan gezondheidsgegevens van een van zijn werknemers niet verwerkt in de hoedanigheid van werkgever maar van medische dienst, teneinde de arbeidsgeschiktheid van die werknemer te beoordelen, mits de betrokken verwerking voldoet aan de voorwaarden en waarborgen waarin dat punt h) en artikel 9, lid 3, uitdrukkelijk voorzien.

 Tweede vraag

59      Volgens de verwijzende rechter blijkt uit de overwegingen 35, 51, 53 en 75 AVG dat er in een situatie als in het hoofdgeding, waarin de verwerkingsverantwoordelijke tegelijkertijd de werkgever is van de persoon wiens arbeidsgeschiktheid wordt beoordeeld, niet alleen moet worden voldaan aan de vereisten van artikel 9, lid 3, AVG. Die verordening gebiedt volgens hem bovendien dat alle werknemers van de verwerkingsverantwoordelijke die enig beroepsmatig contact met die persoon hebben, van de verwerking van gezondheidsgegevens worden uitgesloten. Volgens die rechter moet elke verwerkingsverantwoordelijke die meerdere vestigingen heeft – zoals MDK Nordrhein –, ervoor zorgen dat de entiteit die belast is met de verwerking van gegevens over de gezondheid van werknemers van die verantwoordelijke, steeds onder een andere vestiging ressorteert dan deze waar de betrokken werknemer werkzaam is. Bovendien belet het beroepsgeheim dat rust op de werknemers die bevoegd zijn om dergelijke gegevens te verwerken, in feite niet dat een collega van de betrokkene toegang heeft tot de hem betreffende gegevens, hetgeen risico’s op schade met zich meebrengt, zoals de aantasting van diens reputatie.

60      In die omstandigheden wenst de verwijzende rechter met zijn tweede vraag in wezen te vernemen of de bepalingen van de AVG aldus moeten worden uitgelegd dat de verantwoordelijke voor een op artikel 9, lid 2, onder h), van deze verordening gebaseerde verwerking van gegevens over gezondheid moet waarborgen dat geen enkele collega van de betrokkene toegang heeft tot de gegevens die betrekking hebben op zijn gezondheidstoestand.

61      Er zij aan herinnerd dat, overeenkomstig artikel 9, lid 3, AVG, een verwerking die betrekking heeft op de gegevens en ziet op de doeleinden die in respectievelijk artikel 9, lid 1, en lid 2, onder h), zijn vermeld – in casu de verwerking van gegevens over gezondheid voor de beoordeling van de arbeidsgeschiktheid van een werknemer – slechts kan worden verricht wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden.

62      Met de vaststelling van artikel 9, lid 3, AVG, dat juist naar lid 2, onder h), van dat artikel verwijst, heeft de Uniewetgever de specifieke beschermingsmaatregelen omschreven die hij aan de verantwoordelijken voor dergelijke verwerkingen wilde opleggen en die erin bestaan dat deze verwerkingen zijn voorbehouden aan personen die overeenkomstig de voorwaarden van lid 3 tot geheimhouding zijn gehouden. Aan de bewoordingen van laatstgenoemde bepaling mogen dus geen eisen worden toegevoegd die daarin niet worden genoemd.

63      Daaruit volgt – zoals de advocaat-generaal in punt 43 van zijn conclusie in wezen heeft opgemerkt – dat artikel 9, lid 3, AVG niet als rechtsgrondslag kan dienen voor een maatregel die waarborgt dat geen enkele collega van de betrokkene toegang heeft tot de gegevens over diens gezondheidstoestand.

64      Evenwel moet worden onderzocht of het vereiste dat ervoor moet worden gezorgd geen enkele collega van de betrokkene toegang heeft tot de gegevens betreffende zijn gezondheidstoestand, krachtens een andere bepaling van deze verordening kan worden opgelegd aan de verantwoordelijke voor de verwerking van gegevens over gezondheid uit hoofde van artikel 9, lid 2, onder h), AVG.

65      In dit verband zij erop gewezen dat de enige mogelijkheid voor de lidstaten om een dergelijk vereiste toe te voegen aan de in artikel 9, leden 2 en 3, AVG genoemde voorwaarden, gelegen is in de mogelijkheid die hun door lid 4 van dat artikel uitdrukkelijk is verleend om „bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van [...] gegevens over gezondheid [te] handhaven of [in te voeren]”.

66      Dergelijke aanvullende voorwaarden vloeien echter niet voort uit de bepalingen van de AVG als zodanig, maar – in voorkomend geval – uit regels van nationaal recht die op dergelijke verwerkingen van toepassing zijn, ten aanzien waarvan de verordening de lidstaten uitdrukkelijk een beoordelingsmarge laat (zie in die zin arrest van 30 maart 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punten 51 en 78).

67      Bovendien moet worden benadrukt dat een lidstaat die gebruik wil maken van de in artikel 9, lid 4, van die verordening geboden mogelijkheid, overeenkomstig het evenredigheidsbeginsel ervoor moet zorgen dat de praktische gevolgen, met name van organisatorische, economische en medische aard, die voortvloeien uit de aanvullende eisen welke die lidstaat wil stellen, niet buitensporig zijn voor de verwerkingsverantwoordelijken, die niet noodzakelijkerwijs over de vereiste omvang of de nodige technische en personele middelen beschikken om aan deze eisen te voldoen. Zij mogen namelijk geen afbreuk doen aan het nuttige effect van de machtiging tot verwerking waarin uitdrukkelijk is voorzien in artikel 9, lid 2, onder h), van die verordening en die door lid 3 van dat artikel nader wordt geregeld.

68      Tot slot moet worden benadrukt dat ingevolge artikel 32, lid 1, onder a) en b), AVG – dat de in artikel 5, lid 1, onder f), van deze verordening neergelegde beginselen van integriteit en vertrouwelijkheid concretiseert – elke verantwoordelijke voor de verwerking van persoonsgegevens passende technische en organisatorische maatregelen moet treffen om een op het risico afgestemd beveiligingsniveau te garanderen, in het bijzonder de pseudonimisering en versleuteling van dergelijke gegevens, en het vermogen om met name de vertrouwelijkheid en de integriteit van de verwerkingssystemen en -diensten te garanderen. Wanneer hij vaststelt hoe hij deze verplichting in de praktijk zal brengen, moet de verwerkingsverantwoordelijke overeenkomstig artikel 32, lid 1, AVG rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.

69      Het staat evenwel aan de verwijzende rechter om te beoordelen of alle technische en organisatorische maatregelen die in casu door MDK Nordrhein ten uitvoer zijn gelegd, in overeenstemming zijn met de voorschriften van artikel 32, lid 1, onder a) en b), AVG.

70      Op de tweede vraag moet derhalve worden geantwoord dat artikel 9, lid 3, AVG aldus moet worden uitgelegd dat de verantwoordelijke voor een op artikel 9, lid 2, onder h), van deze verordening gebaseerde verwerking van gegevens over gezondheid krachtens deze bepalingen niet verplicht is te waarborgen dat geen enkele collega van de betrokkene toegang heeft tot de gegevens die betrekking hebben op zijn gezondheidstoestand. Een dergelijke verplichting kan echter aan de verantwoordelijke voor die verwerking worden opgelegd, hetzij op grond van een regeling die door een lidstaat is vastgesteld krachtens artikel 9, lid 4, AVG, hetzij op grond van de beginselen van integriteit en vertrouwelijkheid die zijn neergelegd in artikel 5, lid 1, onder f), van die verordening en nader zijn uitgewerkt in artikel 32, lid 1, onder a) en b), ervan.

 Derde vraag

71      Met zijn derde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 9, lid 2, onder h), en artikel 6, lid 1, AVG aldus moeten worden uitgelegd dat een op eerstgenoemde bepaling gebaseerde verwerking van gegevens over gezondheid slechts rechtmatig is indien zij niet alleen voldoet aan de uit die bepaling voortvloeiende vereisten, maar ook aan ten minste een van de in artikel 6, lid 1, AVG gestelde rechtmatigheidsvoorwaarden.

72      In dit verband zij eraan herinnerd dat de artikelen 5, 6 en 9 AVG zijn opgenomen in hoofdstuk II van deze verordening, met als opschrift „Beginselen, en respectievelijk betrekking hebben op de beginselen inzake verwerking van persoonsgegevens, de voorwaarden voor de rechtmatigheid van de verwerking en de verwerking van bijzondere categorieën van persoonsgegevens.

73      Bovendien moet worden opgemerkt dat overweging 51 AVG uitdrukkelijk vermeldt dat „[n]aast de specifieke voorschriften” die van toepassing zijn op de verwerking van de in artikel 9, leden 2 en 3, van die verordening vermelde „bijzonder gevoelige gegevens”, en onverminderd de maatregelen die een lidstaat eventueel op grond van lid 4 van dat artikel heeft vastgesteld, „de algemene beginselen en andere regels van [die] verordening [ook dienen] te worden toegepast [op een dergelijke verwerking], met name wat betreft de voorwaarden voor rechtmatige verwerking”, zoals die blijken uit artikel 6 AVG.

74      Overeenkomstig artikel 6, lid 1, eerste alinea, AVG is de verwerking van „bijzonder gevoelige gegevens”, zoals die betreffende de gezondheid, slechts rechtmatig indien ten minste aan een van de voorwaarden van lid 1, eerste alinea, onder a) tot en met f), is voldaan.

75      Artikel 6, lid 1, eerste alinea, AVG bevat een uitputtende en limitatieve lijst van de gevallen waarin de verwerking van persoonsgegevens als rechtmatig kan worden beschouwd. Een dergelijke verwerking kan dus alleen als rechtmatig worden aangemerkt indien deze valt onder een van de in deze bepaling bedoelde gevallen [arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punt 90 en aldaar aangehaalde rechtspraak].

76      Het Hof heeft dan ook reeds herhaaldelijk geoordeeld dat elke verwerking van persoonsgegevens in overeenstemming moet zijn met de in artikel 5, lid 1, AVG geformuleerde beginselen inzake gegevensverwerking en moet voldoen aan de in artikel 6 van die verordening genoemde voorwaarden voor de rechtmatigheid van de verwerking [arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C‑60/22, EU:C:2023:373, punt 57 en aldaar aangehaalde rechtspraak].

77      Voorts is reeds geoordeeld dat, aangezien de artikelen 7 tot en met 11 AVG – die net als de artikelen 5 en 6 AVG zijn opgenomen in hoofdstuk II van deze verordening – tot doel hebben de omvang te preciseren van de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van artikel 5, lid 1, onder a), en artikel 6, lid 1, van die verordening, de verwerking van persoonsgegevens slechts rechtmatig is indien zij ook in overeenstemming is met die andere bepalingen van dat hoofdstuk, die in wezen betrekking hebben op de toestemming, de verwerking van bijzondere categorieën van gevoelige persoonsgegevens en de verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, zoals uit de rechtspraak van het Hof blijkt [arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C‑60/22, EU:C:2023:373, punt 58 en aldaar aangehaalde rechtspraak).

78      Daaruit volgt in het bijzonder dat, aangezien artikel 9, lid 2, onder h), AVG tot doel heeft de omvang te preciseren van de verplichtingen die krachtens artikel 5, lid 1, onder a), en artikel 6, lid 1, van deze verordening op de verwerkingsverantwoordelijke rusten, een op eerstgenoemde bepaling gebaseerde verwerking van gegevens over gezondheid slechts rechtmatig is indien zij zowel voldoet aan de uit die bepaling voortvloeiende vereisten als aan de uit deze laatste twee bepalingen voortvloeiende verplichtingen, en in het bijzonder voldoet aan ten minste een van de in artikel 6, lid 1, AVG gestelde rechtmatigheidsvoorwaarden.

79      Gelet op het voorgaande dient op de derde vraag te worden geantwoord dat artikel 9, lid 2, onder h), en artikel 6, lid 1, AVG aldus moeten worden uitgelegd dat een op eerstgenoemde bepaling gebaseerde verwerking van gegevens over gezondheid slechts rechtmatig is indien zij niet alleen voldoet aan de uit die bepaling voortvloeiende vereisten, maar ook aan ten minste een van de in artikel 6, lid 1, AVG gestelde rechtmatigheidsvoorwaarden.

 Vierde vraag

80      Met zijn vierde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het in deze bepaling bedoelde recht op schadevergoeding niet alleen een compensatoire maar ook een afschrikkende of punitieve functie vervult en, zo ja, of daarmee eventueel rekening moet worden gehouden bij de vaststelling van het bedrag van de krachtens voornoemde bepaling toe te kennen vergoeding voor immateriële schade.

81      Er zij aan herinnerd dat artikel 82, lid 1, AVG stelt dat „[e]enieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, [...] het recht [heeft] om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade”.

82      Het Hof heeft deze bepaling aldus uitgelegd dat de loutere inbreuk op de AVG niet volstaat om recht op schadevergoeding te doen ontstaan, nadat het er met name op had gewezen dat het bestaan van „geleden schade” een van de voorwaarden is voor het in dat artikel 82, lid 1, bedoelde recht op vergoeding, net zoals het bestaan van een inbreuk op deze verordening en een causaal verband tussen die schade en die inbreuk, waarbij deze drie voorwaarden cumulatief vervuld moeten zijn [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 32 en 42].

83      Bovendien heeft het Hof geoordeeld dat, daar de AVG geen bepaling bevat die tot doel heeft de regels vast te stellen voor de berekening van de schadevergoeding die op grond van het in artikel 82 van die verordening verankerde recht op schadevergoeding verschuldigd is, de nationale rechters daartoe, krachtens het beginsel van de procedurele autonomie, de interne regels van elke lidstaat inzake de omvang van de geldelijke schadevergoeding moeten toepassen, zolang de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid, zoals uitgelegd door de vaste rechtspraak van het Hof, worden nageleefd [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 53, 54 en 59].

84      In die context en gelet op overweging 146, zesde volzin, AVG, volgens welke dit instrument een „volledige en daadwerkelijke vergoeding van [de] geleden schade” beoogt te waarborgen, heeft het Hof opgemerkt dat, gelet op de compensatoire functie van het recht op schadevergoeding krachtens artikel 82 van die verordening, een op deze bepaling gebaseerde geldelijke vergoeding als „volledig en daadwerkelijk” moet worden beschouwd indien zij het mogelijk maakt de ten gevolge van de inbreuk op deze verordening werkelijk geleden schade volledig te vergoeden, zonder dat een dergelijke volledige vergoeding vereist dat er een punitieve schadevergoeding wordt opgelegd [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 57 en 58].

85      In dit verband moet worden benadrukt dat artikel 82 AVG geen punitieve maar een compensatoire functie heeft, in tegenstelling tot andere bepalingen van deze verordening die eveneens zijn opgenomen in hoofdstuk VIII ervan, namelijk in de artikelen 83 en 84 van die verordening, die in wezen een punitieve doelstelling hebben, aangezien zij de mogelijkheid bieden om respectievelijk administratieve geldboeten en andere sancties op te leggen. De verhouding tussen de regels van artikel 82 AVG en die van de artikelen 83 en 84 AVG toont aan dat er een verschil bestaat tussen deze twee categorieën bepalingen, maar dat zij elkaar ook aanvullen in de zin dat naleving van de AVG wordt gestimuleerd, met dien verstande dat het recht van eenieder om schadevergoeding te vorderen de werking van de beschermende bepalingen van deze verordening vergroot en inbreukplegers kan weerhouden van herhaling van onrechtmatig gedrag [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 38 en 40].

86      Aangezien het in artikel 82, lid 1, AVG bedoelde recht op schadevergoeding geen afschrikkende of zelfs punitieve functie heeft, zoals door de verwijzende rechter is gesteld, kan de ernst van de door de inbreuk op deze verordening veroorzaakte schade geen invloed hebben op het bedrag van de schadeloosstelling die op grond van die bepaling is toegekend, zelfs niet wanneer het niet om materiële maar om immateriële schade gaat. Hieruit volgt dat dit bedrag niet kan worden vastgesteld op een niveau dat hoger ligt dan de volledige vergoeding van die schade.

87      Bijgevolg dient op de vierde vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet, een compensatoire functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet door de inbreuk op deze verordening geleden schade volledig te vergoeden, doch geen afschrikkende of punitieve functie.

 Vijfde vraag

88      Uit de gegevens die de verwijzende rechter in antwoord op een verzoek om verduidelijking overeenkomstig artikel 101 van het Reglement voor de procesvoering van het Hof heeft verstrekt, blijkt dat de vijfde vraag ertoe strekt te vernemen, ten eerste, of het bestaan en/of het bewijs van schuld noodzakelijke voorwaarden zijn voor de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker en, ten tweede, welke invloed de mate van schuld van de verwerkingsverantwoordelijke of de verwerker kan hebben op de concrete berekening van de schadevergoeding voor de geleden immateriële schade.

89      Gelet op het antwoord van de verwijzende rechter, moet de vijfde vraag aldus worden opgevat dat die rechter daarmee in wezen wenst te vernemen, ten eerste, of artikel 82 AVG aldus moet worden uitgelegd dat als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke geldt dat er bij hem sprake is van schuld en, ten tweede, of de mate van schuld in aanmerking moet worden genomen bij de vaststelling van het bedrag van de krachtens die bepaling toe te kennen vergoeding voor immateriële schade.

90      Wat het eerste onderdeel van deze vraag betreft, moet worden opgemerkt dat – zoals in punt 82 van het onderhavige arrest in herinnering is gebracht – artikel 82, lid 1, AVG het recht op schadevergoeding afhankelijk stelt van drie cumulatieve elementen, te weten het bestaan van een inbreuk op die verordening, het bestaan van geleden schade, en het bestaan van een oorzakelijk verband tussen de inbreuk en de schade.

91      Artikel 82, lid 2, AVG bepaalt dat elke verwerkingsverantwoordelijke die bij de verwerking is betrokken, aansprakelijk is voor de schade die wordt veroorzaakt door de verwerking die inbreuk maakt op deze verordening. Aan de hand van de bewoordingen van deze bepaling in sommige taalversies, met name de versie in de Duitse taal – die de procestaal is in de onderhavige zaak –, kan niet met zekerheid worden vastgesteld of de betrokken inbreuk aan de verwerkingsverantwoordelijke moet kunnen worden toegerekend opdat hij aansprakelijk kan worden gesteld.

92      In dit verband blijkt uit een analyse van de verschillende taalversies van de eerste volzin van artikel 82, lid 2, AVG, dat de verwerkingsverantwoordelijke wordt geacht te hebben deelgenomen aan de verwerking die de betreffende inbreuk op de verordening vormt. Terwijl de Duitse, de Franse en de Finse taalversie ruim zijn geformuleerd, blijken namelijk een aantal andere taalversies nauwkeuriger te zijn en gebruiken zij een aanwijzend voornaamwoord bij de derde vermelding van de term „verwerking”, of voor de derde verwijzing naar deze term, zodat duidelijk is dat deze derde vermelding of deze derde verwijzing op dezelfde handeling slaat als de tweede vermelding van die term. Dit is het geval voor de Spaanse, de Estse, de Griekse, de Italiaanse en de Roemeense taalversie.

93      Artikel 82, lid 3, AVG verduidelijkt in dit verband dat een verwerkingsverantwoordelijke van aansprakelijkheid op grond van lid 2 van dat artikel wordt vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

94      Uit een gecombineerde analyse van deze verschillende bepalingen van artikel 82 AVG blijkt dus dat dit artikel voorziet in een regeling inzake schuldaansprakelijkheid, waarbij de bewijslast niet rust op de persoon die schade heeft geleden, maar op de verwerkingsverantwoordelijke.

95      Deze uitlegging wordt bevestigd door de context van artikel 82 en door de doelstellingen die de Uniewetgever met de AVG nastreeft.

96      In dit verband blijkt, ten eerste, uit de bewoordingen van de artikelen 24 en 32 AVG dat deze bepalingen de verwerkingsverantwoordelijke enkel verplichten om technische en organisatorische maatregelen te treffen om elke inbreuk op persoonsgegevens zo veel mogelijk te voorkomen. De vraag of dergelijke maatregelen passend zijn, moet concreet worden beoordeeld door te onderzoeken of de verwerkingsverantwoordelijke bij de uitvoering van die maatregelen rekening heeft gehouden met de in die artikelen bedoelde verschillende criteria en de behoeften van gegevensbescherming die specifiek inherent zijn aan de betrokken verwerking en de risico’s daarvan (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 30).

97      Een dergelijke verplichting zou echter worden uitgehold indien de verwerkingsverantwoordelijke vervolgens verplicht zou zijn om alle schade te vergoeden die is veroorzaakt door een verwerking in strijd met de AVG.

98      Wat ten tweede de doelstellingen van de AVG betreft, blijkt uit de overwegingen 4 tot en met 8 ervan dat deze beoogt een evenwicht tot stand te brengen tussen de belangen van de verantwoordelijken voor de verwerking van persoonsgegevens en de rechten van personen van wie dergelijke gegevens worden verwerkt. Het doel bestaat erin de ontwikkeling van de digitale economie mogelijk te maken en tegelijkertijd een hoog beschermingsniveau voor persoonsgegevens te waarborgen. Het gaat derhalve om een afweging van de belangen van de verwerkingsverantwoordelijke en van de personen van wie de persoonsgegevens worden verwerkt. Een schuldaansprakelijkheidsregeling in combinatie met een omkering van de bewijslast, zoals bepaald in artikel 82 AVG, maakt het juist mogelijk een dergelijk evenwicht te waarborgen.

99      Enerzijds – zoals de advocaat-generaal in punt 93 van zijn conclusie in wezen heeft opgemerkt – zou het niet stroken met de doelstelling van een dergelijke hoge mate van bescherming indien zou worden gekozen voor een uitlegging volgens welke de betrokkenen die schade hebben geleden ten gevolge van een inbreuk op de AVG, in het kader van een vordering tot schadevergoeding op grond van artikel 82 AVG, niet alleen het bestaan van die inbreuk en de daaruit voor hen voortvloeiende schade moeten bewijzen, maar ook het bestaan van schuld in de vorm van opzet of nalatigheid bij de verwerkingsverantwoordelijke, en zelfs de mate van die schuld, terwijl artikel 82 AVG dit niet verlangt (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 56).

100    Anderzijds zou een regeling van aansprakelijkheid zonder schuld niet waarborgen dat de blijkens overweging 7 AVG door de wetgever nagestreefde doelstelling van rechtszekerheid wordt verwezenlijkt.

101    Wat het tweede onderdeel van de vijfde vraag betreft, dat betrekking heeft op de vaststelling van het bedrag van de eventueel op grond van artikel 82 AVG verschuldigde schadevergoeding, zij eraan herinnerd dat – zoals in punt 83 van het onderhavige arrest is benadrukt – de nationale rechters bij de berekening van die schadevergoeding de interne regels van elke lidstaat inzake de omvang van de geldelijke vergoeding moeten toepassen, mits de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid, zoals omschreven in de vaste rechtspraak van het Hof, in acht worden genomen.

102    Er zij opgemerkt dat artikel 82 AVG, gelet op de compensatoire functie ervan, niet vereist dat bij de vaststelling van het bedrag van de krachtens die bepaling toe te kennen vergoeding voor immateriële schade, rekening wordt gehouden met de ernst van de inbreuk op deze verordening – die wordt geacht door de verwerkingsverantwoordelijke te zijn begaan –, maar wel vereist dat dit bedrag zo wordt vastgesteld dat de door de inbreuk op die verordening concreet geleden schade integraal wordt vergoed, zoals blijkt uit de punten 84 en 87 van het onderhavige arrest.

103    Bijgevolg moet op de vijfde vraag worden geantwoord dat artikel 82 AVG aldus moet worden uitgelegd dat, ten eerste, als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke geldt dat er bij hem sprake is van schuld, hetgeen wordt vermoed tenzij de verwerkingsverantwoordelijke bewijst dat het schadeveroorzakende feit hem niet kan worden toegerekend en, ten tweede, dat artikel niet vereist dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van het bedrag van de krachtens deze bepaling toe te kennen vergoeding voor immateriële schade.

 Kosten

104    Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Derde kamer) verklaart voor recht:

1)      Artikel 9, lid 2, onder h), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus worden uitgelegd dat

de in deze bepaling neergelegde uitzondering van toepassing is op situaties waarin een medisch controleorgaan gezondheidsgegevens van een van zijn werknemers niet verwerkt in de hoedanigheid van werkgever maar van medische dienst, teneinde de arbeidsgeschiktheid van die werknemer te beoordelen, mits de betrokken verwerking voldoet aan de voorwaarden en waarborgen waarin dat punt h) en artikel 9, lid 3, uitdrukkelijk voorzien.

2)      Artikel 9, lid 3, van verordening 2016/679

moet aldus worden uitgelegd dat

de verantwoordelijke voor een op artikel 9, lid 2, onder h), van deze verordening gebaseerde verwerking van gegevens over gezondheid krachtens deze bepalingen niet verplicht is te waarborgen dat geen enkele collega van de betrokkene toegang heeft tot de gegevens die betrekking hebben op zijn gezondheidstoestand. Een dergelijke verplichting kan echter aan de verantwoordelijke voor die verwerking worden opgelegd, hetzij op grond van een regeling die door een lidstaat is vastgesteld krachtens artikel 9, lid 4, van die verordening, hetzij op grond van de beginselen van integriteit en vertrouwelijkheid die zijn neergelegd in artikel 5, lid 1, onder f), van die verordening en nader zijn uitgewerkt in artikel 32, lid 1, onder a) en b), ervan.

3)      Artikel 9, lid 2, onder h), en artikel 6, lid 1, van verordening 2016/679

moeten aldus worden uitgelegd dat

een op eerstgenoemde bepaling gebaseerde verwerking van gegevens over gezondheid slechts rechtmatig is indien zij niet alleen voldoet aan de uit die bepaling voortvloeiende vereisten, maar ook aan ten minste een van de in artikel 6, lid 1, gestelde rechtmatigheidsvoorwaarden.

4)      Artikel 82, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat

het recht op schadevergoeding waarin deze bepaling voorziet, een compensatoire functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet door de inbreuk op deze verordening geleden schade volledig te vergoeden, doch geen afschrikkende of punitieve functie.

5)      Artikel 82 van verordening 2016/679

moet aldus worden uitgelegd dat

ten eerste, als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke geldt dat er bij hem sprake is van schuld, hetgeen wordt vermoed tenzij de verwerkingsverantwoordelijke bewijst dat het schadeveroorzakende feit hem niet kan worden toegerekend en, ten tweede, dat artikel niet vereist dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van het bedrag van de krachtens die bepaling toe te kennen vergoeding voor immateriële schade.

ondertekeningen

*      Procestaal: Duits.