Ny afgørelse fra EU-Domstolen vedrørende retten til erstatning efter GDPR

Nyhed
11.05.2023

EU-Domstolen har den 4. maj 2023 truffet afgørelse i en sag, som bidrager til fortolkningen af, hvorvidt det med hjemmel i artikel 82 i GDPR er muligt at få tilkendt erstatning, hvis man er blevet krænket som følge af en overtrædelse af reglerne. Læs mere om sagen og afgørelsens indhold her.

Postvæsen solgte oplysninger til politiske organisationer

Det østrigske postvæsen havde fra 2017 og frem indsamlet oplysninger om den østrigske befolknings politiske tilhørsforhold. Ved brug af en algoritme, der tog højde for forskellige sociale og demografiske karakteristika, blev der dannet ”målgruppeadresser”. Det østrigske postvæsen solgte disse oplysninger til politiske organisationer, som kunne bruge oplysningerne til at udsende målrettet politisk materiale.

 

Borger følte sig krænket

En borger klagede over behandlingen, idet den pågældende følte sig krænket over at blive tillagt tilknytning til et bestemt politisk parti. Ifølge borgeren forårsagede opbevaringen af den pågældendes politiske meninger stor irritation og tab af tillid samt en følelse af forlegenhed.

 

Borgen anlagde herefter sag ved den regionale domstol i Østrig med påstand om, at behandlingen skulle ophøre, samt med påstand om betaling af erstatning på EUR 1.000.

 

Overtrædelse af GDPR giver ikke automatisk ret til tort-erstatning

Den regionale domstol i Østrig henviste i sin afgørelse til, at det ifølge østrigsk lov gælder, at en overtrædelse af GDPR ikke automatisk giver ret til tort-erstatning, men udtalte, at erstatning kun kan komme på tale, såfremt en skade kan betragtes som væsentlig eller alvorlig.

 

Efter afgørelsen ved den regionale domstol, blev sagen anket til Højesteret i Østrig.

 

Sagen blev udsat af Højesteret og forelagt for EU-domstolen

Højesteret udsatte sagen med henblik på at forelægge EU-Domstolen præjudicielle spørgsmål vedrørende fortolkning af erstatningsbestemmelsen artikel 82, stk. 1, i GDPR.

 

Præjudicielle spørgsmål er fortolkningsspørgsmål vedrørende EU-retten, som enhver EU-medlemsstat kan fremsætte ved fortolkningstvivl.

 

Den nationale domstol vil herefter blive forpligtet til at lægge EU-Domstolens afgørelse til grund i den nationale retssag.

 

EU-domstolen skulle tage stilling til tre fortolkningsspørgsmål

Højesteret anmodede EU-domstolen om at tage stilling til tre spørgsmål i relation til fortolkningen af erstatningsbestemmelsen i artikel 82, stk. 1 i GDPR.

 

EU-Domstolen tog i afgørelsen stilling til følgende tre fortolkningsspørgsmål:

  1. Skal artikel 82, stk. 1, i GDPR fortolkes således, at den blotte tilsidesættelse af reglerne i GDPR er tilstrækkelig til at give ret til erstatning?
  2. Er artikel 82, stk. 1, i GDPR afhængig af, at den skade, den pågældende har lidt, har nået en vis grad af alvorlighed?
  3. Skal artikel 82, stk. 1, i GDPR fortolkes således, at de nationale domstole ved fastsættelse af erstatningsbeløbet skal tage hensyn til både de europæiske principper om ækvivalens og effektivitet samt nationale bestemmelser om omfanget af økonomisk kompensation?

 

Svar på spørgsmål 1
EU-Domstolen fastslår i afgørelsen, at den blotte tilsidesættelse af bestemmelserne i GDPR ikke er tilstrækkelig til at begrunde et erstatningsansvar.

 

Ifølge EU-Domstolen skal tre betingelser være opfyldt:

  • Der skal være sket en ”skade”
  • Der skal være sket en overtrædelse af GDPR
  • Der skal være årsagssammenhæng mellem skaden og overtrædelsen

 

Dette er også, hvad der gælder efter de almindelige erstatningsretlige principper. Alle tre betingelser skal være opfyldt. 

 

Svar på spørgsmål 2
Herefter er spørgsmålet, om den pågældende skade skal have en vis grad af alvorlighed eller skal overgå en vis ”væsentlighedstærskel”.

EU-Domstolen påpeger i afgørelsen, at GDPR ikke definerer, hvad en ”skade” er, men alene at erstatning ikke er begrænset til ”materiel skade”, men også omfatter ”immateriel skade”, det vil sige skade for krænkelse. Ingen væsentlighedstærskel/eller alvorsgrad er nævnt i artikel 82 – eller i bemærkningerne til GDPR.

 

Ifølge EU-Domstolen vil det være i strid med den brede forståelse af begrebet ”skade”, hvis begrebet skulle begrænses til skader af en vis alvorlighed. Derudover bemærker EU-Domstolen, at den brede forståelse af begrebet ”skade” også er i overensstemmelse med formålene med GDPR – netop at beskytte de registrerede.

EU-Domstolen konkluderer derfor i afgørelsen, at erstatningsbestemmelsen i artikel 82, stk. 1, skal fortolkes således, at den er til hinder for national lovgivning eller praksis, der medfører, at erstatning for ikke-økonomisk skade bliver afhængig af, hvor alvorlig/væsentlig skaden er.

 

Svar på spørgsmål 3
Vedrørende det tredje spørgsmål bemærker EU-Domstolen, at der i GDPR ikke er nogen bestemmelse vedrørende selve vurderingen af skaden, dvs. vurdering af erstatningsbeløbet. Denne vurdering tilkommer medlemsstaternes lovgivning, hvori principperne om ækvivalens og effektivitet skal overholdes.

Ækvivalensprincippet indebærer, at EU-ret og national ret skal vurderes efter samme materielle og processuelle regler. Med andre ord, betyder det, at EU-ret og national ret skal behandles ens ved retten. Effektivitetsprincippet indebærer, at konsekvenserne af en overtrædelse af EU-retten skal være effektiv og stå i forhold til overtrædelsens grovhed og være afskrækkende.

 

Effektivitetsprincippet indebærer i den konkrete sag, at den nationale ret (her Østrig) skal afgøre, hvorvidt udøvelsen af de rettigheder, der er fastsat i GDPR, praktisk talt bliver umuligt eller uforholdsmæssig vanskeligt at udøve som følge af østrigsk lovgivning.

 

Det betyder, at den nationale ret i Østrig ved fastsættelsen af erstatningsbeløbet skal tage hensyn til egne nationale bestemmelser, så længe disse bestemmelser tager hensyn til principperne om ækvivalens og effektivitet.

 

Hvad har været gældende indtil nu, og hvad kan udledes af afgørelsen?

Det har indtil nu været uafklaret, hvorvidt der kan tilkendes erstatning for krænkelse/tort direkte med hjemmel i GDPR. Hidtil har det i Danmark været gældende, at den registrerede kun kan kræve tort-erstatning med hjemmel i erstatningsansvarslovens § 26.

 

Efter erstatningsansvarslovens § 26 skal den registrerede bevise, at der er handlet ansvarligt med en vis grovhed. Det er derfor ofte meget svært for den registrerede at kræve erstatning for en krænkelse som følge af en overtrædelse af GDPR.

 

EU-Domstolen har nu fastslået i afgørelsen, at der ikke er en væsentlighedstærskel for erstatning efter GDPR, og at national lovgivning ikke må indeholde sådan en væsentlighedstærskel, der hindrer erstatning.

Der er en række verserende sager om spørgsmålet, hvor den nye dom vil blive inddraget. Det vil dog kræve flere afgørelser, før der kan siges noget sikkert om konsekvenserne af dommen, navnlig om muligheden for erstatning bliver større end hidtil.

 

HjulmandKaptains specialister i databeskyttelse står klar til at hjælpe dig

Har du spørgsmål eller brug for rådgivning i forbindelse med erstatning i relation til GDPR og databeskyttelse, så er du altid velkommen til at kontakte vores specialister.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev