De Algemene Verordening Gegevensbescherming (AVG) bepaalt niet dat een overtreding een zekere mate van ernst moet hebben om in aanmerking te komen voor een schadevergoeding. Tegelijkertijd geeft niet iedere inbreuk recht op een schadevergoeding, hetzij materieel of immaterieel. Het is aan het rechtssysteem van iedere lidstaat om regels hiervoor vast te stellen. Dat stelt het Europees Hof van Justitie in een recente uitspraak (pdf).
Een Oostenrijker spande een zaak aan tegen Österreichische Post, omdat het postbedrijf sinds 2017 de politieke voorkeur van inwoners van het land verzamelt. Daarvoor gebruikte het bedrijf een algoritme dat gebaseerd was op sociale en demografische gegevens. Volgens het algoritme had de man die de rechtszaak aanspande affiniteit met de extreemrechtse Vrijheidspartij.
De persoon in kwestie had nooit toestemming gegeven dat het Oostenrijkse postbedrijf zijn persoonsgegevens mocht verzamelen. Dat hij gelinkt werd aan een extreemrechtse partij zette kwaad bloed bij hem: hij voelde zich voor schut gezet en verloor alle vertrouwen in het postbedrijf. Hij meende schade te hebben geleden en eiste een immateriële schadevergoeding van duizend euro.
Het Oberste Gerichtshof, de hoogste federale rechter in civiele zaken en strafzaken in Oostenrijk, twijfelde of de man recht had op een schadevergoeding op basis van de AVG. Is het feit dat de AVG is geschonden voldoende om een schadevergoeding toe te kennen? Of moet er een bepaalde drempel of mate van ernst worden geleden alvorens men recht heeft op een schadevergoeding? Het gerechtshof besloot daarom om de zaak voor te leggen aan het Europees Hof van Justitie.
Het Hof stelt dat men volgens de AVG recht heeft op schadevergoeding als aan drie voorwaarden wordt voldaan. Allereerst moet er worden vastgesteld dat de Europese privacywetgeving is geschonden. Ten tweede moet er sprake zijn van materiële of immateriële schade. En ten derde moet er worden aangetoond dat er een causaal verband bestaat tussen de schade en de inbreuk.
Het Hof stelt in een perscommuniqué dat niet iedere inbreuk op de AVG automatisch betekent dat men recht heeft op een schadevergoeding. “Een inbreuk op de AVG leidt volgens de overwegingen van deze verordening die specifiek betrekking hebben op het recht op schadevergoeding, niet noodzakelijkerwijs tot schade en is er slechts sprake van een recht op schadevergoeding wanneer er een causaal verband bestaat tussen de betrokken inbreuk en de geleden schade”, zo schrijft het Hof.
Verder merkt het Hof op dat het recht op schadevergoeding niet alleen geldt voor immateriële schade die een bepaalde drempel of mate van ernst bereikt. Dat wordt nergens in de AVG genoemd. “Indien de vergoeding van immateriële schade ervan afhankelijk wordt gesteld dat een bepaalde drempel van ernst wordt bereikt, zou de samenhang van de bij de AVG ingevoerde regeling kunnen worden aangetast”, stelt het Hof.
Of iemand recht heeft op een schadevergoeding als de Europese privacywetgeving wordt geschonden, is aan rechtbanken en gerechtshoven in individuele lidstaten om dat te bepalen.
Max Schrems, voorzitter van de Oostenrijkse privacystichting Noyb, is blij met de uitspraak. “Wij zijn blij met de verduidelijkingen van het Europees Hof van Justitie. Een hele bedrijfstak probeerde de AVG te herinterpreteren, om te voorkomen dat gebruikers wiens rechten zij hebben geschonden een schadevergoeding zouden moeten betalen. Dit lijkt te worden verworpen. Wij zijn erg blij met het resultaat”, aldus Schrems in een statement.
Het Europees Hof van Justitie bepaalde begin dit jaar dat iedereen die in de EU woont het recht heeft om te weten welke bedrijven en organisaties over zijn gegevens beschikken. Een man uit Oostenrijk vroeg het Oostenrijkse postbedrijf aan welke partijen het bedrijf zijn gegevens had verstrekt. Die zei enkel dat het gegevens van klanten deelde voor marketingdoeleinden. Daar nam de man geen genoegen mee en stapte naar de rechter.
De rechtbank wist niet wat ze met de zaak aan moest en legde de kwestie voor aan het Europees Hof van Justitie. Die bepaalde dat het recht op inzage zich niet beperkt tot categorieën van ontvangers. Met andere woorden, een bedrijf of organisatie is verplicht om de namen te noemen van alle partijen waarmee ze persoonsgegevens van klanten deelt. Het recht van inzage moet volgens het Hof “zo nauwkeurig mogelijk” worden nageleefd.
De inbreuk op zich op de AVG geeft geen recht op schadevergoeding
