Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
In- en Uitvoer
Home

Conclusie van advocaat-generaal M. Szpunar van 18 september 2025

Conclusie van advocaat-generaal M. Szpunar van 18 september 2025

Gegevens

Datum uitspraak
18 september 2025

Uitspraak

Voorlopige editie

CONCLUSIE VAN ADVOCAAT-GENERAAL

M. SZPUNAR

van 18 september 2025 (1)

Zaak C526/24

Brillen Rottler GmbH & Co. KG

tegen

TC

[verzoek van het Amtsgericht Arnsberg (rechter in eerste aanleg Arnsberg, Duitsland) om een prejudiciële beslissing]

„ Prejudiciële verwijzing – Verordening (EU) 2016/679 – Bescherming van persoonsgegevens – Verzoek van de betrokkene om inzage te verkrijgen in de hem betreffende persoonsgegevens – Recht van de verwerkingsverantwoordelijke om te weigeren gevolg te geven aan het verzoek – Kennelijk buitensporige aard van het verzoek – Rechtsmisbruik – Recht op schadevergoeding – Schadeveroorzakend feit ”






I.      Inleiding

1.        Wanneer de rechtsorde een bepaald subjectief recht toekent aan een individu, moet de uitoefening van dat recht in beginsel rechtmatig worden geacht. Indien de manier waarop dit recht wordt uitgeoefend echter niet verenigbaar is met de doelstellingen van de bepaling waarin het is vastgelegd, kan deze uitoefening door de rechtsorde worden beperkt, met name via het mechanisme van misbruik van recht.(2)

2.        Volgens diezelfde logica bestaat er in het Unierecht een algemeen rechtsbeginsel dat justitiabelen zich niet door middel van fraude of misbruik kunnen beroepen op het Unierecht, welk beginsel eveneens geldt in privaatrechtelijke betrekkingen.(3)

3.        De onderhavige zaak betreft een specifieke secundairrechtelijke uitdrukking van dit beginsel, meer in het bijzonder in het kader van de private enforcement van verordening (EU) 2016/679(4) (hierna: „AVG”). Het Hof wordt met name verzocht de grenzen te verduidelijken van de uitoefening van het recht van inzage en het recht op schadevergoeding, die de betrokkene op vermeend onrechtmatige wijze inroept tegen een privaatrechtelijke onderneming in haar hoedanigheid van verwerkingsverantwoordelijke.

II.    Unierecht: AVG

4.        In de overwegingen 10, 11, 60, 63, 141 en 146 AVG staat te lezen:

„(10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. [...]

(11)      Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen [...].

[...]

(60)      Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene de nadere informatie te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. [...]

[...]

(63)      Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. [...] Elke betrokkene dient dan ook het recht te hebben, te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. [...]

[...]

(141)      Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te stellen overeenkomstig artikel 47 van het [Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”)] indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening. [...]

[…]

(146)      De verwerkingsverantwoordelijke of de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Het begrip „schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. […] De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen. […]”

5.        Artikel 4, punt 2, van deze verordening omschrijft „verwerking” als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.

6.        Artikel 12 van deze verordening, met als opschrift „Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene”, bepaalt in de leden 1 en 5:

„1.      De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt [...].

[...]

5.      Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:

a)      een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel

b)      weigeren gevolg te geven aan het verzoek.

Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

[...]”

7.        In artikel 15 („Recht van inzage van de betrokkene”) AVG staat in lid 1 het volgende te lezen:

„De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens [...].”

8.        Artikel 57 AVG, met als opschrift „Taken”, bepaalt in lid 4:

„Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, kan de toezichthoudende autoriteit op basis van de administratieve kosten een redelijke vergoeding aanrekenen, of weigeren aan het verzoek gevolg te geven. Het is aan de toezichthoudende autoriteit om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.”

9.        Artikel 79 van deze verordening heeft als opschrift „Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker”, en bepaalt in lid 1:

„Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet. [...]”

10.      Artikel 80 van deze verordening, met als opschrift „Vertegenwoordiging van betrokkenen”, bepaalt in lid 2:

„De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het/zij van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.”

11.      Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) van deze verordening bepaalt in de leden 1 tot en met 3 het volgende:

„1.      Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

2.      Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.

3.      Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.”

III. Hoofdgeding, prejudiciële vragen en procedure bij het Hof

12.      In maart 2023 heeft TC, verweerder in het hoofdgeding, een in Wenen (Oostenrijk) wonende particulier, zich aangemeld voor de nieuwsbrief van Brillen Rottler GmbH & Co. KG (hierna: „Brillen Rottler”), een familiebedrijf voor opticiensdiensten met zetel in Arnsberg (Duitsland). Hij heeft zijn persoonsgegevens ingevuld in het aanmeldveld op de website van de onderneming en heeft ingestemd met de verwerking van zijn gegevens. Dertien dagen later heeft verweerder in het hoofdgeding bij Brillen Rottler een verzoek tot inzage krachtens artikel 15 AVG ingediend.

13.      Brillen Rottler heeft dit verzoek binnen de gestelde termijn afgewezen op grond dat het misbruik vormde in de zin van artikel 12, lid 5, tweede volzin, AVG, en heeft verweerder in het hoofdgeding dringend verzocht definitief af te zien van zijn verzoek. Verweerder in het hoofdgeding heeft zijn verzoek tot inzage gehandhaafd en heeft krachtens artikel 82 AVG eveneens een schadevergoeding gevorderd van 1 000 EUR.

14.      Brillen Rottler heeft bij de verwijzende rechter een verzoek ingediend tot vaststelling dat verweerder in het hoofdgeding niet het recht had om een schadevergoeding te vorderen. Zij heeft aangevoerd dat uit verschillende onlineberichten en artikels op advocatenblogs bleek dat verweerder in het hoofdgeding stelselmatig en met misbruik van recht verzoeken tot inzage indiende met als enige doel schadevergoeding te verkrijgen door inbreuken op de AVG aan te voeren die hij bewust bewerkstelligde volgens hetzelfde patroon: aanmelding voor een nieuwsbrief, een verzoek tot inzage en vervolgens een vordering tot schadevergoeding.

15.      Op 25 september 2023 heeft verweerder bij de verwijzende rechter een vordering in reconventie ingesteld met het verzoek Brillen Rottler te gelasten om hem inzage te geven in de informatie over de verwerking van zijn gegevens en hem een schadevergoeding krachtens artikel 82 AVG te betalen voor de geleden immateriële schade. Hij voerde aan dat het recht van inzage dat hij aan artikel 15 van die verordening ontleent, onvoorwaardelijk kan worden uitgeoefend en dat hij regelmatig in Duitsland verbleef en daarom een gerechtvaardigd belang had bij aanmelding bij de nieuwsbrief van Brillen Rottler.

16.      De verwijzende rechter is van oordeel dat, gelet op het beginsel van transparantie bij de verwerking van persoonsgegevens, beperkingen van het recht van inzage bij een eerste verzoek een uitzondering moeten blijven en dat het feit dat de verzoeker vervolgens een schadevergoeding wil verkrijgen geen toereikende weigeringsgrond kan zijn. Volgens deze rechter kan het gebruik van openbaar toegankelijke informatie waaruit blijkt dat de betrokkene meerdere verzoeken heeft ingediend, gelet op het risico dat de verwerkingsverantwoordelijke misbruik maakt van deze mogelijkheid tot weigering, op zichzelf niet voldoende zijn om de weigering van het verzoek tot inzage te rechtvaardigen.

17.      Wat het recht op schadevergoeding betreft, is de verwijzende rechter van oordeel dat elke inbreuk op de AVG door de verwerkingsverantwoordelijke een recht op schadevergoeding kan doen ontstaan, zelfs wanneer er geen gegevensverwerking heeft plaatsgevonden. De betrokkene zou derhalve ook een recht op schadevergoeding krachtens artikel 82, lid 1, AVG kunnen ontlenen aan de schending van zijn recht van inzage.

18.      In deze context heeft het Amtsgericht Arnsberg (rechter in eerste aanleg Arnsberg, Duitsland) de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Moet artikel 12, lid 5, tweede volzin, [AVG] aldus worden uitgelegd dat er bij de eerste indiening van een verzoek tot inzage door de betrokkene bij de verwerkingsverantwoordelijke geen sprake kan zijn van een buitensporig verzoek?

2)      Moet artikel 12, lid 5, tweede volzin, AVG in die zin worden uitgelegd dat de verwerkingsverantwoordelijke kan weigeren gevolg te geven aan het verzoek tot inzage van de betrokkene, wanneer de betrokkene beoogt om met dit verzoek vorderingen tot schadevergoeding jegens de verwerkingsverantwoordelijke te bewerkstelligen?

3)      Moet artikel 12, lid 5, tweede volzin, AVG aldus worden uitgelegd dat openbaar toegankelijke informatie over de betrokkene, waaruit de conclusie kan worden getrokken dat hij in een groot aantal gevallen van inbreuk op de gegevensbescherming vorderingen tot schadevergoeding jegens verwerkingsverantwoordelijken heeft ingesteld, de weigering van inzage kan rechtvaardigen?

4)      Moet artikel 4, punt 2, AVG in die zin worden uitgelegd dat het in artikel 15, lid 1, AVG bedoelde verzoek tot inzage van een betrokkene jegens de verwerkingsverantwoordelijke en/of diens antwoord daarop een verwerking in de zin van artikel 4, punt 2, AVG, vormt?

5)      Moet artikel 82, lid 1, AVG, gelet op overweging 146, eerste volzin, AVG, aldus worden uitgelegd dat slechts de schade kan worden vergoed die de betrokkene ten gevolge van een verwerking lijdt of heeft geleden? Betekent dit dat voor een vordering tot schadevergoeding als bedoeld in artikel 82, lid 1, AVG – ervan uitgaande dat de betrokkene causale schade heeft geleden – noodzakelijkerwijs sprake moet zijn geweest van verwerking van de persoonsgegevens van de betrokkene?

6)      Indien de vijfde vraag bevestigend wordt beantwoord: heeft dit tot gevolg dat de betrokkene – ervan uitgaande dat er sprake is van causale schade – enkel op grond van een inbreuk op zijn recht van inzage als bedoeld in artikel 15, lid 1, AVG geen recht op schadevergoeding ingevolge artikel 82, lid 1, AVG heeft?

7)      Moet artikel 82, lid 1, AVG in die zin worden uitgelegd dat de tegenwerping van de verwerkingsverantwoordelijke dat een verzoek tot inzage van de betrokkene misbruik van recht oplevert, gelet op het Unierecht, niet daarin kan bestaan dat de betrokkene de verwerking van zijn persoonsgegevens uitsluitend of onder meer heeft bewerkstelligd om vorderingen tot schadevergoeding in te stellen?

8)      Indien de vijfde en de zesde vraag ontkennend worden beantwoord: vormt het uit een inbreuk op artikel 15, lid 1, AVG voortvloeiende verlies van de controle over de persoonsgegevens dan wel de onzekerheid over de verwerking ervan voor de betrokkene een immateriële schade in de zin van artikel 82, lid 1, AVG of is daarvoor ook nog een andere (objectieve of subjectieve) beperking en/of (merkbare) schade voor de betrokkene vereist?”

19.      Brillen Rottler (verweerder in het hoofdgeding) en de Europese Commissie hebben schriftelijke opmerkingen ingediend en deelgenomen aan de terechtzitting, die heeft plaatsgevonden op 5 juni 2025.

20.      Overeenkomstig het verzoek van het Hof heeft deze conclusie enkel betrekking op de analyse van de eerste tot en met de zevende prejudiciële vraag.

IV.    Analyse

A.      Eerste, tweede, derde en zevende prejudiciële vraag

1.      Herformulering van de vragen

21.      Met zijn eerste, tweede en derde vraag, die mijns inziens samen kunnen worden behandeld, wenst de verwijzende rechter in wezen te vernemen of een eerste verzoek tot inzage als „buitensporig” in de zin van artikel 12, lid 5, tweede volzin, AVG kan worden aangemerkt indien de betrokkene dit verzoek heeft ingediend om vervolgens een schadevergoeding te verkrijgen van de verwerkingsverantwoordelijke en uit openbaar toegankelijke informatie blijkt dat de betrokkene in een groot aantal gevallen van inbreuk op gegevensbescherming jegens een verwerkingsverantwoordelijke zijn recht op schadevergoeding heeft uitgeoefend.

22.      Met zijn zevende vraag wenst deze rechter in wezen te vernemen of artikel 82, lid 1, AVG in die zin moet worden uitgelegd dat de tegenwerping van de verwerkingsverantwoordelijke dat een verzoek tot inzage van de betrokkene misbruik van recht oplevert, niet daarin kan bestaan dat de betrokkene de verwerking van zijn persoonsgegevens slechts of onder meer heeft bewerkstelligd om vorderingen tot schadevergoeding in te stellen.

23.      Hoewel deze vraag formeel betrekking heeft op de uitlegging van artikel 82, lid 1, AVG, ben ik van mening dat zij niet bedoeld is om de voorwaarden van het in die bepaling neergelegde recht op schadevergoeding uit te leggen. In deze vraag wordt immers geen van deze voorwaarden genoemd, anders dan in de vierde, de vijfde, de zesde en de achtste prejudiciële vraag, die specifiek betrekking hebben op voornoemde bepaling. Zoals zij nu is geformuleerd, is de zevende prejudiciële vraag naar mijn mening bedoeld om duidelijkheid te scheppen over de vraag of een verwerkingsverantwoordelijke het buitensporige karakter van een verzoek tot inzage in de zin van artikel 12, lid 5, tweede volzin, AVG kan inroepen wanneer de betrokkene de intentie heeft de verwerking van zijn gegevens te „bewerkstelligen” om vorderingen tot schadevergoeding in te stellen.

24.      Derhalve moet ervan worden uitgegaan dat de verwijzende rechter met de zevende vraag doelt op de „modus operandi” die Brillen Rottler jegens verweerder in het hoofdgeding aanvoert, te weten dat hij instemt met de verwerking van zijn gegevens door zich aan te melden voor een nieuwsbrief, om vervolgens een verzoek tot inzage en een verzoek tot schadevergoeding te kunnen indienen. Vanuit dit oogpunt betreft deze vraag de uitlegging van artikel 12, lid 5, tweede volzin, AVG, waarop de eerste, de tweede en de derde prejudiciële vraag betrekking hebben.

25.      Ik stel derhalve voor om de eerste, de tweede, de derde en de zevende vraag gezamenlijk te behandelen als een poging om te bepalen of artikel 12, lid 5, tweede volzin, AVG aldus moet worden uitgelegd dat een eerste verzoek tot inzage, dat krachtens artikel 15 van deze verordening bij een verwerkingsverantwoordelijke wordt ingediend, als „buitensporig” kan worden aangemerkt wanneer:

–        de betrokkene met de verwerking van zijn gegevens heeft ingestemd om een verzoek tot inzage te kunnen indienen en vervolgens een vordering tot schadevergoeding te kunnen instellen;

–        uit openbaar toegankelijke informatie blijkt dat de betrokkene in een groot aantal gevallen van inbreuk op de gegevensbescherming jegens een verwerkingsverantwoordelijke zijn recht op schadevergoeding heeft uitgeoefend.

2.      Analyse

a)      Buitensporig karakter van een eerste verzoek tot inzage

26.      Volgens artikel 12, lid 5, eerste volzin, AVG „[geschieden] [h]et verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 [...] kosteloos”. Zoals het Hof in het arrest FT (Kopieën uit het medisch dossier)(5) heeft opgemerkt, is in deze bepaling het beginsel neergelegd dat de uitoefening van met name het recht van inzage van de betrokkene van de gegevens die worden verwerkt en de daarop betrekking hebbende informatie, krachtens artikel 15 AVG voor de betrokkene geen kosten met zich meebrengen.

27.      In artikel 12, lid 5, tweede en derde volzin, AVG zijn vervolgens twee redenen opgenomen waarom een verwerkingsverantwoordelijke ofwel een redelijke vergoeding kan aanrekenen in het licht van de administratieve kosten, ofwel kan weigeren gevolg te geven aan het verzoek: wanneer hij aantoont dat de verzoeken van de betrokkene „kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter”.

28.      Uit de bewoordingen van deze bepaling blijkt dus dat een verzoek tot inzage niet alleen in het geval van meerdere verzoeken „buitensporig” kan zijn, aangezien het repetitieve karakter slechts ter indicatie wordt vermeld.

29.      Mijns inziens kan dus niet worden uitgesloten dat een eerste verzoek tot inzage als buitensporig kan worden beschouwd, al ben ik het met de verwijzende rechter eens dat een verwerkingsverantwoordelijke zich slechts in uitzonderlijke gevallen op dit buitensporige karakter kan beroepen.

30.      In de eerste plaats moet de mogelijkheid voor de verwerkingsverantwoordelijke om een redelijke vergoeding aan te rekenen of te weigeren gevolg te geven aan het verzoek tot inzage volgens een algemeen uitleggingsbeginsel(6) strikt worden uitgelegd, aangezien bij artikel 12, lid 5, tweede volzin, AVG een uitzondering wordt ingevoerd op het beginsel dat het recht van inzage kosteloos is.(7)

31.      In de tweede plaats wijs ik op het fundamentele belang van het in artikel 15 AVG neergelegde recht van inzage voor het waarborgen van de transparantie van de wijze waarop de persoonsgegevens worden verwerkt en daarmee ook van de uitoefening van talrijke andere rechten die betrokkenen aan deze verordening ontlenen.(8) Bovendien is in artikel 8, lid 2, tweede volzin, van het Handvest het beginsel neergelegd dat „[e]enieder [...] recht van inzage [heeft] in de over hem verzamelde gegevens en op rectificatie daarvan”. De uitoefening van het recht van inzage kan derhalve niet aan al te strikte voorwaarden worden onderworpen.(9)

32.      Het recht van inzage is immers noodzakelijk om de betrokkene in staat te stellen om in voorkomend geval zijn recht op rectificatie, zijn recht op gegevenswissing („recht op vergetelheid”) en zijn recht op beperking van de verwerking uit te oefenen, die hem respectievelijk worden toegekend door de artikelen 16 tot en met 18 AVG, alsook zijn in artikel 21 AVG opgenomen recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens en zijn in artikel 79 respectievelijk artikel 82 AVG neergelegde recht om zich tot de rechter te wenden en om schadevergoeding te verkrijgen.(10)

33.      In de derde plaats is het uitzonderlijke karakter van de mogelijkheid om een redelijke vergoeding aan te rekenen of te weigeren gevolg te geven aan een verzoek tot inzage op grond van artikel 12, lid 5, tweede volzin, AVG mijns inziens in overeenstemming met het doel van deze verordening. Zoals blijkt uit de overwegingen 10 en 11 ervan, heeft deze verordening tot doel natuurlijke personen een consistent en hoog beschermingsniveau te bieden binnen de Unie en niet alleen de rechten van betrokkenen(11), maar ook de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, te versterken en nader te omschrijven.

34.      Gelet op het voorgaande ben ik van mening dat de criteria om een eerste verzoek tot inzage als „buitensporig” aan te merken, hoog moeten zijn.

b)      Omstandigheden op grond waarvan een verzoek als „buitensporig” kan worden aangemerkt

35.      Uit het arrest FT(12) blijkt dat de twee redenen voor de invoering van een uitzondering op het beginsel van kosteloosheid van met name de uitoefening van het recht van inzage betrekking hebben op gevallen van „misbruik van recht”.

36.      Het Hof heeft de reikwijdte van dit begrip in dit arrest echter niet verduidelijkt. In deze zaak stond vast dat het verzoek tot inzage van de betrokkene geen misbruik opleverde.(13)

37.      De achtergrond van het arrest FT was het verzoek van een patiënt aan zijn tandarts om kosteloos een eerste kopie van zijn medisch dossier te verkrijgen met het oog op de aansprakelijkheidsstelling van deze tandarts wegens vermeende fouten die tijdens de medische behandeling zouden zijn gemaakt.(14) De volkomen legitieme bedoeling van de patiënt was dus om inzage te krijgen in zijn gegevens teneinde in voorkomend geval zijn uit de medische behandelingsovereenkomst voortvloeiende rechten te kunnen uitoefenen in geval van medische fouten. In die context heeft het Hof op basis van een letterlijke, contextuele en teleologische uitlegging van artikel 12, lid 5, en artikel 15 AVG geoordeeld dat het niet nodig was om een van de in overweging 63, eerste volzin, van deze verordening vermelde specifieke redenen aan te voeren om het verzoek tot inzage te motiveren, te weten zich van de verwerking op de hoogte stellen en de rechtmatigheid daarvan controleren.(15)

38.      Hoewel de betrokkene zijn verzoek tot inzage dus niet hoeft te motiveren, wil dit niet zeggen dat nooit rekening kan worden gehouden met zijn intentie.

39.      In het arrest Österreichische Datenschutzbehörde heeft het Hof immers op basis van een letterlijke, contextuele en teleologische uitlegging van artikel 57, lid 4, AVG geoordeeld dat om te kunnen vaststellen dat er sprake is van buitensporige klachten, aan de hand van alle relevante omstandigheden van het specifieke geval moet worden aangetoond dat er sprake is van opzettelijk misbruik door de persoon die zich tot de toezichthoudende autoriteit wendt.(16)

40.      Ik merk op dat artikel 57, lid 4, en artikel 12, lid 5, tweede volzin, AVG dezelfde bewoordingen hebben en hetzelfde doel nastreven, te weten te voorzien in een uitzondering op respectievelijk het beginsel dat de toezichthoudende autoriteiten hun taken kosteloos moeten uitvoeren en het beginsel dat de betrokkene met name zijn recht van inzage kosteloos moet kunnen uitoefenen. Ik ben derhalve van mening dat de uitlegging in het voorgaande punt naar analogie van toepassing is op laatstgenoemde bepaling.(17)

41.      Hieruit volgt dat de verwerkingsverantwoordelijke, om gebruik te kunnen maken van de in artikel 12, lid 5, tweede volzin, geboden mogelijkheid om te weigeren gevolg te geven aan een buitensporig verzoek tot inzage – of om, naargelang het geval, een redelijke vergoeding aan te rekenen –, overeenkomstig de derde volzin van deze bepaling aan de hand van alle relevante omstandigheden van het specifieke geval moet aantonen dat er sprake is van opzettelijk misbruik door de betrokkene.

42.      Misbruik van recht is een mechanisme dat werkt in de gegeven omstandigheden van het concrete geval. Het zal dus aan de verwijzende rechter staan om na te gaan of Brillen Rottler, gelet op de omstandigheden van de onderhavige zaak, heeft aangetoond dat het door verweerder in het hoofdgeding ingediende verzoek tot inzage buitensporig is.(18)

43.      De uitleggingstaak van het Hof bestaat er daarentegen in te verduidelijken of bepaalde omstandigheden onder het algemene rechtsbegrip „buitensporig karakter” vallen.

44.      Meer concreet wenst de verwijzende rechter te vernemen of een eerste verzoek tot inzage als buitensporig kan worden aangemerkt wanneer de betrokkene een „modus operandi” volgt waarbij hij instemt met de verwerking van zijn gegevens en vervolgens uitsluitend of onder meer een verzoek tot inzage indient om een schadevergoeding te kunnen vorderen en uit openbaar toegankelijke informatie blijkt dat de betrokkene in een groot aantal gevallen van inbreuk op de gegevensbescherming jegens een verwerkingsverantwoordelijke zijn recht op schadevergoeding heeft uitgeoefend.

45.      In dat verband heeft het Hof in het arrest Österreichische Datenschutzbehörde opgemerkt dat artikel 57, lid 4, AVG de vaste rechtspraak weerspiegelt inzake het algemene rechtsbeginsel dat justitiabelen zich niet door middel van fraude of misbruik kunnen beroepen op het Unierecht.(19) In deze rechtspraak is voorzien in een tweestappentoets die voorschrijft dat voor de vaststelling dat er sprake is van misbruik zowel een objectief als een subjectief element vereist is.(20) Zoals ik al heb kunnen uiteenzetten(21), is het, wanneer het door de Unieregeling nagestreefde doel a priori lijkt te zijn bereikt, nuttig om de analyse niet te beginnen met het objectieve, maar met het subjectieve element teneinde vast te stellen wat de bedoeling van de betrokkene was. Aangezien artikel 15 AVG tot doel heeft de inzage van de gegevens die worden verwerkt en de daarop betrekking hebbende informatie te waarborgen, lijkt dit doel in casu a priori te zijn bereikt voor zover verweerder in het hoofdgeding een verzoek heeft ingediend tot inzage van de gegevens die naar aanleiding van zijn aanmelding voor de nieuwsbrief van Brillen Rottler zijn verwerkt.

46.      In het arrest Österreichische Datenschutzbehörde heeft het Hof, met het oog op de uitlegging van het begrip „buitensporig karakter” van een klacht, opgemerkt dat kan worden vastgesteld dat er sprake is van opzettelijk misbruik „wanneer een persoon klachten indient zonder dat dit objectief noodzakelijk is om de rechten te beschermen die hij aan [de AVG] ontleent”.(22) Wanneer een betrokkene bij de toezichthoudende autoriteit een groot aantal klachten indient, moet deze autoriteit aantonen dat „dit aantal niet wordt verklaard door de wil van de betrokkene om bescherming te verkrijgen van de rechten die hij aan de AVG ontleent, maar wel door een ander doel, dat geen verband houdt met deze bescherming”.(23)

47.      Om terug te komen op het recht van inzage en, in de eerste plaats, de intentie van de betrokkene om een recht op schadevergoeding te „bewerkstelligen” door een verzoek tot inzage in te dienen, merk ik op dat het, zoals blijkt uit overweging 63 AVG, volkomen legitiem en in overeenstemming met de door artikel 15 AVG nagestreefde doelstellingen kan zijn om bijvoorbeeld een verzoek tot inzage in te dienen om na te gaan of de verwerkingsverantwoordelijke de gegevens rechtmatig heeft verwerkt.(24) Zoals blijkt uit punt 32 van deze conclusie is het recht van inzage bovendien noodzakelijk om de betrokkene in staat te stellen om in voorkomend geval zijn recht op schadevergoeding uit te oefenen.

48.      In de tweede plaats merk ik op dat de motivering van de zevende prejudiciële vraag, wat betreft de intentie van de betrokkene om een verwerking van zijn persoonsgegevens uitsluitend of onder meer „te bewerkstelligen” om een schadevergoeding te krijgen, bijzonder beknopt is. In deze motivering wordt veeleer verwezen naar de hypothese dat de werkelijke intentie van de betrokkene die instemt met de verwerking van zijn gegevens erin zou bestaan een inbreuk op de AVG „te detecteren” door een verzoek tot inzage in te dienen om vervolgens vorderingen tot schadevergoeding te kunnen instellen.

49.      In het licht van deze hypothese lijkt het mij dat de betrokkene, door een verzoek tot inzage in te dienen nadat hij heeft ingestemd met de verwerking van zijn gegevens, in werkelijkheid geen inzage wil krijgen in deze gegevens of in de in artikel 15 AVG bedoelde informatie, maar het stelsel van uit deze verordening voortvloeiende rechten en plichten – dat a priori gunstig is voor de betrokkenen – voor andere doeleinden dan de bescherming van zijn gegevens wil gebruiken.

50.      Dat kan met name het geval zijn wanneer het net de intentie van de betrokkene is om de verwerkingsverantwoordelijke ertoe te brengen het verzoek tot inzage te weigeren om de onmiddellijke betaling van een schadevergoeding te eisen, eventueel onder dreiging met gerechtelijke stappen om schadevergoeding te verkrijgen. Gelet op deze omstandigheden zou een dergelijke intentie mijns inziens misbruik opleveren en dient zij niet te worden beschermd door de AVG. De voorbeelden van gevallen van misbruik die in de richtsnoeren van het Europees Comité voor gegevensbescherming (hierna: „EDPB”) worden aangehaald, wijzen eveneens in die richting.(25)

51.      In de derde plaats, met betrekking tot de omstandigheid dat uit openbaar toegankelijke informatie blijkt dat de betrokkene in een groot aantal gevallen van inbreuk op de gegevensbescherming vorderingen tot schadevergoeding jegens verwerkingsverantwoordelijken heeft ingesteld, ben ik van mening dat deze omstandigheid op zichzelf, bij gebrek aan andere elementen, niet volstaat om opzettelijk misbruik aan te tonen. Artikel 82 AVG verleent juist het recht om een schadevergoeding te eisen bij inbreuken op deze verordening, zodat de uitoefening van dit recht niet kan worden verondersteld misbruik op te leveren.

52.      Ik merk op dat het Hof het aantal verzoeken op zich in het arrest Österreichische Datenschutzbehörde evenmin heeft beschouwd als afdoend criterium om van een „buitensporig” karakter te kunnen spreken.  Het Hof is tot deze conclusie gekomen door dit begrip uit te leggen met inachtneming van de specifieke context van de taken van de toezichthoudende autoriteiten om een hoog niveau van bescherming van persoonsgegevens te waarborgen.(26) De objectieve omstandigheden waarmee rekening moet worden gehouden, zijn mijns inziens dus niet dezelfde voor klachten als voor verzoeken tot inzage, aangezien die laatste niet tot de toezichthoudende autoriteit zijn gericht.

53.      In dat verband wil ik erop wijzen dat de verwerkingsverantwoordelijke in geval van een geschil voor de rechter of in geval van een klacht bij de toezichthoudende autoriteit, te weten nadat hij heeft geweigerd om gevolg te geven aan het verzoek van de betrokkene, moet aantonen dat er sprake is van opzettelijk misbruik. Het is echter in de fase waarin de betrokkene het verzoek tot inzage indient dat de verwerkingsverantwoordelijke moet beoordelen of er in het desbetreffende geval sprake is van opzettelijk misbruik door diegene die het verzoek indient.

54.      Teneinde aan de hand van alle relevante omstandigheden van het specifieke geval aan te tonen dat er sprake is van opzettelijk misbruik door de betrokkene, moet de verwerkingsverantwoordelijke zich dus met name kunnen baseren op het voorwerp van het verzoek tot inzage, de tijd die is verstreken tussen de instemming met de verwerking en dit verzoek, het aantal persoonsgegevens waarop het verzoek betrekking heeft en de aard daarvan en de activiteit in het kader waarvan hij deze gegevens in voorkomend geval verwerkt.(27)

55.      Gelet op het voorgaande moet mijns inziens op de eerste, de tweede, de derde en de zevende vraag worden geantwoord dat artikel 12, lid 5, tweede volzin, AVG aldus dient te worden uitgelegd dat:

–        een eerste verzoek tot inzage, dat krachtens artikel 15 AVG bij een verwerkingsverantwoordelijke wordt ingediend, als „buitensporig” kan worden aangemerkt wanneer deze verwerkingsverantwoordelijke aan de hand van alle relevante omstandigheden van het specifieke geval aantoont dat er sprake is van opzettelijk misbruik door de betrokkene, waarbij dit opzet kan worden vastgesteld wanneer deze betrokkene met de verwerking van zijn persoonsgegevens heeft ingestemd om dit verzoek tot inzage te kunnen indienen en vervolgens een vordering tot schadevergoeding te kunnen instellen;

–        het feit dat uit openbaar toegankelijke informatie blijkt dat de betrokkene in een groot aantal gevallen van inbreuk op de gegevensbescherming vorderingen tot schadevergoeding jegens verwerkingsverantwoordelijken heeft ingesteld, op zich niet volstaat om een dergelijk verzoek als „buitensporig” aan te merken.

B.      Vierde, vijfde en zesde prejudiciële vraag

1.      Volgorde waarin de vragen worden geanalyseerd en herformulering

56.      Om te beginnen wil ik erop wijzen dat indien de verwijzende rechter tot de conclusie zou komen dat het verzoek tot inzage buitensporig was in de zin van artikel 12, lid 5, tweede volzin, AVG, Brillen Rottler inderdaad het recht zou hebben om geen gevolg te geven aan dit verzoek. In dat geval kan het argument dat verweerder in het hoofdgeding ontleent aan een inbreuk op artikel 15 AVG om een recht op schadevergoeding krachtens artikel 82 van die verordening te verkrijgen, niet slagen.

57.      Dat gezegd zijnde, wenst de verwijzende rechter met zijn vierde vraag te vernemen of artikel 4, punt 2, AVG in die zin moet worden uitgelegd dat het in artikel 15, lid 1, AVG bedoelde verzoek tot inzage van een betrokkene jegens de verwerkingsverantwoordelijke en/of diens antwoord daarop een verwerking in de zin van artikel 4, punt 2, AVG, vormt.

58.      Met zijn vijfde vraag wenst deze rechter in wezen te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat slechts de schade kan worden vergoed die de betrokkene ten gevolge van een verwerking van zijn persoonsgegevens lijdt of heeft geleden. Indien deze vraag bevestigend moet worden beantwoord, wenst deze rechter met zijn zesde vraag te vernemen of artikel 82, lid 1, AVG de betrokkene geen recht verleent op vergoeding van de schade die hij heeft geleden enkel op grond van een inbreuk op zijn recht van inzage als bedoeld in artikel 15, lid 1, AVG.

59.      De vijfde prejudiciële vraag vormt mijns inziens de premisse van de vierde en de zesde prejudiciële vraag. Alleen indien de aansprakelijkheid voor schade op grond van artikel 82, lid 1, AVG afhankelijk is van de voorwaarde dat deze schade is geleden „ten gevolge” van een verwerking zoals gedefinieerd in artikel 4, punt 2, AVG, is het immers van belang om te verduidelijken of in geval van inbreuk op het in artikel 15, lid 1, AVG neergelegde recht van inzage aan deze voorwaarde is voldaan.

60.      Ik zal derhalve eerst de vijfde prejudiciële vraag analyseren en vervolgens, indien nodig, de vierde en de zesde prejudiciële vraag samen behandelen, teneinde te bepalen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat schade die is geleden ten gevolge van een inbreuk op het recht van inzage is „veroorzaakt door een verwerking” van de gegevens.

2.      Analyse

a)      Schadeveroorzakend feit in de zin van artikel 82 AVG

61.      Volgens artikel 82, lid 1, AVG heeft „[e]enieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, [...] het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade”.(28)

62.      Het Hof heeft deze bepaling herhaaldelijk aldus uitgelegd dat de enkele schending van de AVG niet volstaat om de betrokkene op die grond een recht op schadevergoeding toe te kennen, aangezien dat recht onderworpen is aan drie cumulatieve voorwaarden, te weten het bestaan van geleden materiële of immateriële „schade”, het bestaan van een schending van bepalingen van die verordening en een causaal verband tussen die schade en die schending.(29)

63.      De verwijzende rechter heeft evenwel twijfels omtrent overweging 146 AVG, waarin te lezen staat dat de verwerkingsverantwoordelijke of de verwerker alle schade moet vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. Vastgesteld moet worden dat deze overweging, zoals vaak het geval is(30), eveneens terugkomt in de eigenlijke tekst van deze verordening, te weten in artikel 82, lid 2, daarvan, waarin met name is bepaald dat elke verwerkingsverantwoordelijke die bij de verwerking is betrokken, aansprakelijk is voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening.

64.      Lid 3 van deze bepaling schrijft bovendien voor dat een verwerkingsverantwoordelijke of verwerker, naargelang het geval, van aansprakelijkheid op grond van lid 2 wordt vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

65.      Uit de lezing van deze bepalingen valt inderdaad niet gemakkelijk te begrijpen wat het verband is tussen deze bepalingen en de reikwijdte van artikel 82 AVG.

66.      Gelet op de bewoordingen van artikel 82 AVG zou kunnen worden begrepen dat, in tegenstelling tot wat in lid 1 van dat artikel is bepaald, niet elke inbreuk op deze verordening een recht op vergoeding van de door die inbreuk veroorzaakte schade doet ontstaan, maar dat de schade meer specifiek moet zijn veroorzaakt door een gegevensverwerking die inbreuk maakt op deze verordening, zoals is aangegeven in lid 2 van dat artikel.

67.      Deze uitlegging komt mijns inziens overeen met de uitlegging die het Hof in meerdere arresten heeft gegeven, te beginnen met het arrest Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens)(31). Ik wil evenwel verduidelijken dat in de zaken die tot deze arresten hebben geleid daadwerkelijk een verwerking van de gegevens van de betrokkenen had plaatsgevonden, zodat de vraag of het noodzakelijk is dat de schade door een verwerking is veroorzaakt, niet relevant was.

68.      De antecedenten, de doelstellingen en de context van artikel 82 AVG pleiten mijns inziens evenwel tegen een restrictieve uitlegging van het begrip „schadeveroorzakend feit” als zijnde een met deze verordening strijdige gegevensverwerking, in plaats van elke inbreuk op deze verordening.

69.      In de eerste plaats merk ik op dat de overeenkomstige bepaling van richtlijn 95/46/EG(32), te weten artikel 23 daarvan, de lidstaten verplichtte om te bepalen dat eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen het recht had van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen.

70.      De Uniewetgever heeft in artikel 82 AVG dus de aard van de geleden schade (materieel of immaterieel) gepreciseerd en voorts de aansprakelijkheid van de verwerker – die niet voorkwam in artikel 23 van richtlijn 95/46 – ingevoerd.

71.      Indien artikel 82, lid 1, AVG moest worden uitgelegd in de zin die is aangegeven in punt 66 van deze conclusie, zou dat evenwel betekenen dat de Uniewetgever ten opzichte van voornoemde richtlijn de draagwijdte van de aansprakelijkheid voor schade in de AVG heeft beperkt tot de enkele onrechtmatige handeling bestaande in de met deze verordening strijdige gegevensverwerking. Ik ben echter van mening dat indien de wetgever het niveau van gegevensbescherming in de context van de private enforcement uit hoofde van de AVG had willen verlagen, dit duidelijker zou blijken uit de eigenlijke tekst van die verordening.

72.      In de tweede plaats zou het feit dat afbreuk wordt gedaan aan het beschermingsniveau indruisen tegen het doel van de AVG om de rechten van betrokkenen te versterken en nader te omschrijven, met name door de instrumenten te versterken om de doeltreffendheid te garanderen van de bepalingen van deze verordening.(33)

73.      De antecedenten en de doelstelling van de wetgeving waarvan artikel 82 AVG deel uitmaakt, pleiten er mijns inziens dan ook voor lid 2 van dat artikel niet op te vatten als een beperking van lid 1, maar als een aanvullende regel. Volgens mij ontstaat dus een recht op schadevergoeding indien de geleden schade het gevolg is van hetzij een met deze verordening strijdige gegevensverwerking, hetzij een andere inbreuk op deze verordening, mits het bestaan van dergelijke schade wordt aangetoond.

74.      Deze uitlegging is ook verenigbaar met de conclusie die het Hof heeft verbonden aan de gecombineerde lezing van de leden 1 tot en met 3 van artikel 82 AVG, gelet op de context waarin deze bepaling is ingevoegd en de door deze verordening nagestreefde doelstellingen, te weten dat dit artikel voorziet in een regeling inzake schuldaansprakelijkheid, waarbij de bewijslast niet rust op de persoon die schade heeft geleden, maar op de verwerkingsverantwoordelijke.(34) Voor zover lid 2 van artikel 82 van deze verordening mijns inziens een aanvulling vormt op lid 1, houdt de verwijzing naar dat lid 2 in lid 3, waarin de bewijslast bij de verwerkingsverantwoordelijke wordt gelegd, impliciet immers ook een verwijzing naar lid 1 in. Ongeacht of de schade het gevolg is van een inbreuk op de AVG of, specifieker, van een met deze verordening strijdige gegevensverwerking, gelden dus dezelfde regels.

75.      In de derde plaats wordt deze conclusie ondersteund door het feit dat het Hof een eerder ruime uitlegging heeft gegeven aan andere bepalingen van de AVG die net als artikel 82 van deze verordening zijn opgenomen in hoofdstuk VIII („Beroep, aansprakelijkheid en sancties”) ervan en waarin wordt gesproken van een schending van de rechten uit hoofde van deze verordening „ten gevolge van de verwerking”. Artikel 80, lid 2, AVG, waarin de bevoegdheid is geregeld om een representatieve vordering in te stellen zonder dat een betrokkene daar opdracht toe heeft verleend, is door het Hof aldus uitgelegd dat moet worden aangevoerd dat de schending van de aan de AVG ontleende rechten „bij” een verwerking „plaatsvindt”.(35)

76.      Bovendien verleent artikel 79, lid 1, van de verordening elke betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet. Volgens de rechtspraak van het Hof moeten de concrete regels voor de benutting van deze beroepsmogelijkheid worden vastgesteld overeenkomstig het recht op een doeltreffende voorziening in rechte(36), zoals ook blijkt uit overweging 141 van deze verordening. Het doel van een daadwerkelijke bescherming van de uit de AVG voortvloeiende rechten pleit mijns inziens tegen een restrictieve uitlegging van de voorwaarden voor de benutting van deze beroepsmogelijkheid, waaronder de schending van de rechten van de betrokkene „ten gevolge van een verwerking”.(37)

77.      Gelet op het voorgaande geef ik in overweging de vijfde prejudiciële vraag in die zin te beantwoorden dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat de schade kan worden vergoed die de betrokkene ten gevolge van een inbreuk op deze verordening lijdt of heeft geleden, zelfs indien deze schade niet is veroorzaakt door een verwerking van de persoonsgegevens van de betrokkene.

b)      Begrip „verwerking” voor de toepassing van het recht op schadevergoeding

78.      Gelet op het antwoord dat ik voorstel op de vijfde prejudiciële vraag, behoeven de vierde en de zesde prejudiciële vraag geen beantwoording. Voor het geval het Hof deze uitlegging echter niet zou volgen en zou oordelen dat de schade noodzakelijkerwijs moet zijn veroorzaakt door een gegevensverwerking die een inbreuk vormt op de AVG, zal ik onderzoeken in hoeverre aan de in de vijfde prejudiciële vraag genoemde voorwaarde(38) zou zijn voldaan in geval van een schending van het recht van inzage in een situatie zoals die in de onderhavige zaak, teneinde deze twee vragen te beantwoorden.

79.      In de eerste plaats herinner ik eraan dat in artikel 2, lid 1, AVG is bepaald dat deze verordening van toepassing is op de „verwerking” van persoonsgegevens. Het staat vast dat dit begrip, dat in artikel 4, punt 2, AVG is gedefinieerd als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés” een ruime strekking heeft.(39)

80.      In de tweede plaats is de vraag of een inbreuk op de AVG die aanleiding geeft tot aansprakelijkheid op grond van artikel 82 van deze verordening het gevolg is van een verwerking van persoonsgegevens, gelet op de ruime strekking van dit begrip, mijns inziens in de overgrote meerderheid van de gevallen niet aan de orde. Deze conclusie is echter niet vanzelfsprekend wanneer het inbreuken op het recht van inzage krachtens artikel 15, lid 1, AVG betreft.

81.      Ter herinnering: in artikel 15, lid 1, AVG is bepaald dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke uitsluitsel te krijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de in die bepaling genoemde informatie. Volgens overweging 60 van deze verordening moet de betrokkene bovendien overeenkomstig de beginselen van behoorlijke en transparante verwerking op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan.

82.      Hieruit volgt dat artikel 15 AVG, zoals de Commissie in wezen stelt, beoogt de betrokkene in staat te stellen informatie te verkrijgen over de verwerking van zijn persoonsgegevens door de verwerkingsverantwoordelijke die – al dan niet – heeft plaatsgevonden. Het indienen van een verzoek tot inzage van deze gegevens bij de verwerkingsverantwoordelijke is dus geen onder deze verordening vallende „verwerking” in de zin van artikel 4, lid 2, daarvan.

83.      In de derde plaats wijs ik erop dat het in casu gaat om de weigering van de verwerkingsverantwoordelijke, die de nieuwsbrief beheert waarvoor verweerder in het hoofdgeding zich heeft aangemeld, om gevolg te geven aan het verzoek tot inzage van laatstgenoemde. Om een dergelijk verzoek (positief of negatief) te beantwoorden, gebruikt de verwerkingsverantwoordelijke noodzakelijkerwijs bepaalde persoonsgegevens van de verzoeker, zoals ten minste een fysiek of elektronisch adres of een telefoonnummer (bij antwoord per telefoon/fax) dat aan diens naam is gekoppeld. Het gebruik van deze gegevens vormt een afzonderlijke verwerking waarop de AVG van toepassing is.(40)

84.      Ik ben echter van mening dat het niet de gegevensverwerking met het oog op de mededeling van de weigering is die de schade zou veroorzaken, maar wel de ongerechtvaardigde weigering om gevolg te geven aan het verzoek.

85.      Zoals de Commissie terecht opmerkt, zou de rechtsbescherming van het recht van inzage, dat van structureel belang is in het stelsel van de AVG, dus aanzienlijk worden beperkt indien een dergelijke schending van het recht van inzage geen aanleiding zou kunnen geven tot een recht op schadevergoeding.

86.      Ter waarborging van de met de AVG nagestreefde doelstellingen, zoals opgesomd in de punten 33 en 72 van deze conclusie, en teneinde het nuttige effect van het recht van inzage te garanderen, moet de voorwaarde van artikel 82, lid 2, van deze verordening met betrekking tot de schadeveroorzakende verwerking, indien zij dwingend is, mijns inziens ruim worden uitgelegd. Een dergelijke oplossing zou neerkomen op een ruime opvatting van het begrip causaal verband in de zin van artikel 82 van de verordening. Voor deze uitlegging pleit dat, in de context van de beroepsmogelijkheden, een restrictieve uitlegging van de voorwaarden voor de benutting van deze mogelijkheden zou indruisen tegen de doelstelling van een daadwerkelijke bescherming van de uit de AVG voortvloeiende rechten.(41)

c)      Bestaan van immateriële schade

87.      Wat betreft de door mij voorgestelde uitlegging van het begrip „schadeveroorzakend feit”, wil ik verduidelijken dat deze geenszins afbreuk doet aan de andere voorwaarden om in geval van een inbreuk op artikel 15 AVG een recht op schadevergoeding krachtens artikel 82 van deze verordening geldend te maken. Een persoon die wordt geraakt door een inbreuk op de AVG die voor hem negatieve gevolgen heeft gehad, moet inzonderheid aantonen dat die gevolgen immateriële schade in de zin van artikel 82 van deze verordening opleveren, aangezien een inbreuk op de bepalingen ervan op zich niet volstaat voor de toekenning van een recht op schadevergoeding.(42)

88.      Voor het door mij voorgestelde antwoord op de vijfde prejudiciële vraag moet overigens ook de achtste prejudiciële vraag worden beantwoord, die betrekking heeft op de immateriële schade die moet worden vergoed vanwege het verlies van controle over de persoonsgegevens ten gevolge van de inbreuk op artikel 15, lid 1, AVG of de onzekerheid over de eventuele verwerking van die persoonsgegevens.

89.      Wat dat betreft, wil ik opmerken dat hoewel de achtste prejudiciële vraag niet aan de orde is in deze conclusie, het Hof herhaaldelijk heeft geoordeeld dat het verlies van controle over persoonsgegevens, zelfs gedurende een korte tijdspanne, immateriële schade in de zin van artikel 82, lid 1, AVG kan opleveren waarvoor een recht op schadevergoeding bestaat, op voorwaarde dat de betrokkene bewijst dat hij daadwerkelijk dergelijke schade heeft geleden(43), hoe miniem ook(44).

90.      Het Hof heeft echter eveneens geoordeeld dat een nationale rechterlijke instantie, wanneer het bestaan van schade is aangetoond maar deze schade niet ernstig is, ter compensatie aan de betrokkene een geringe vergoeding kan toekennen, mits deze vergoeding de geleden schade volledig kan vergoeden.(45)

91.      In casu eist verweerder in het hoofdgeding een schadevergoeding van 1 000 EUR voor de immateriële schade die volgens hem voortvloeit uit het vermeende verlies van controle over de persoonsgegevens die hij dertien dagen vóór het verzoek tot inzage in het aanmeldveld voor de nieuwsbrief van Brillen Rottler heeft ingevuld. Het staat aan de verwijzende rechter om te beoordelen of verweerder in het hoofdgeding heeft aangetoond dat deze eventuele schending van het recht van inzage voor hem negatieve gevolgen heeft gehad en dat die gevolgen immateriële schade in de zin van artikel 82 AVG opleveren.

V.      Conclusie

92.      Gelet op een en ander geef ik het Hof in overweging de eerste tot en met de zevende prejudiciële vraag van het Amtsgericht Arnsberg te beantwoorden als volgt:

„1)      Artikel 12, lid 5, tweede volzin, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG

moet aldus worden uitgelegd dat

–        een eerste verzoek tot inzage, dat krachtens artikel 15 van verordening 2016/679 bij een verwerkingsverantwoordelijke wordt ingediend, als ,buitensporig’ kan worden aangemerkt wanneer deze verwerkingsverantwoordelijke aan de hand van alle relevante omstandigheden van het specifieke geval aantoont dat er sprake is van opzettelijk misbruik door de betrokkene, dat kan worden vastgesteld wanneer deze betrokkene met de verwerking van zijn persoonsgegevens heeft ingestemd om dit verzoek tot inzage te kunnen indienen en vervolgens een vordering tot schadevergoeding te kunnen instellen;

–        het feit dat uit openbaar toegankelijke informatie blijkt dat de betrokkene in een groot aantal gevallen van inbreuk op de gegevensbescherming vorderingen tot schadevergoeding jegens verwerkingsverantwoordelijken heeft ingesteld, op zich niet volstaat om een dergelijk verzoek als ‚buitensporig’ aan te merken.

2)      Artikel 82, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat

de schade kan worden vergoed die de betrokkene ten gevolge van een inbreuk op deze verordening lijdt of heeft geleden, zelfs indien deze schade niet is veroorzaakt door een verwerking van de persoonsgegevens van de betrokkene.”