Wat was er aan de hand?
Een zelfstandig handelend advocaat was klant bij een bedrijf dat een juridische databank exploiteert. Nadat hij vernomen had dat dit bedrijf zijn persoonsgegevens ook voor direct marketing gebruikte, heeft hij al zijn gegeven toestemmingen ingetrokken en zich verzet tegen iedere verwerking van zijn persoonsgegevens. Desondanks bleef de advocaat reclamebrieven ontvangen die op zijn naam stonden. Na meermaals zijn eerdere bezwaar kenbaar gemaakt te hebben, heeft de advocaat op enig moment zelfs zijn bezwaar betekend aan het bedrijf middels een deurwaarder.
De advocaat start in Duitsland een procedure om zijn materiële schade en immateriële schade vergoed te krijgen. In deze procedure neemt de advocaat de stelling in dat hij de controle over zijn persoonsgegevens verloren is en dat hij reeds op díe grond schadevergoeding kan verkrijgen zonder dat hij de aard en ernst van de schending van de AVG hoeft uit te werken.
De nationale rechter stelt in de eerste plaats (terecht) vast dat voor een recht op schadevergoeding op grond van de AVG (artikel 82) er sprake moet zijn van (i) een inbreuk op de AVG, (ii) schade en (iii) een causaal verband tussen de inbreuk op de AVG en de schade.
De Duitse rechter stelt vervolgens een aantal interessante vragen aan het HvJEU. Kernachtig samengevat:
-
Geeft iedere schending van de AVG recht op immateriële schade in de zin van artikel 82 AVG?
-
Is aansprakelijkheid voor schadevergoeding op grond van artikel 82 AVG uitgesloten wanneer de inbreuk wordt toegeschreven aan een menselijke fout door een personeelslid van de verwerkingsverantwoordelijke?
-
Kun je bij het bepalen van de omvang van de immateriële schade aansluiten bij de vaststellingscriteria uit artikel 83 AVG, zijnde de omstandigheden waarmee toezichthouders rekening moeten houden bij het opleggen van boetes?
-
Moet de immateriële schadevergoeding voor iedere individuele inbreuk worden vastgesteld, of kunnen meerdere gelijksoortige inbreuken bestraft worden met een algehele schadevergoeding?
Wat oordeelt het HvJEU?
In de kern oordeelt het HvJEU dat:
-
de enkele schending van de AVG niet op zichzelf volstaat voor de toekenning van recht op schadevergoeding, zelfs niet als sprake is van een schending van de rechten die de AVG aan betrokkenen geeft.
-
de AVG een schuldaansprakelijkheid kent voor de verwerkingsverantwoordelijke, waarbij geldt dat een verwerkingsverantwoordelijke niet kan worden vrijgesteld van aansprakelijkheid indien de inbreuk op de AVG is gepleegd door een personeelslid. Voor de in artikel 82 lid 3 van de AVG genoemde vrijstelling voor aansprakelijkheid, op grond waarvan de verwerkingsverantwoordelijke (of de verwerker) niet aansprakelijk is voor schade indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit, is onvoldoende dat instructies aan personen die onder gezag staan van de verwerkingsverantwoordelijke niet zijn opgevolgd.
-
en 4. artikel 82 (schadevergoeding onder de AVG) en artikel 83 AVG (boetes onder de AVG) worden met verschillende doelstellingen nageleefd en de criteria uit artikel 83 AVG kunnen niet
worden gebruikt om het bedrag van de schadevergoeding op grond van artikel 82 AVG vast te stellen. De begroting van schadevergoeding op grond van de AVG is aan de nationale rechter en kent bovendien geen afschrikkend of punitief karakter (anders dan artikel 83 AVG). Ook het feit dat een verwerkingsverantwoordelijke meerdere inbreuken ten aanzien van dezelfde persoon heeft begaan, is géén relevant criterium bij de berekening van de verschuldigde schadevergoeding onder artikel 82 AVG. Er mag immers enkel rekening gehouden worden met de door die persoon concreet geleden schade.
Relevantie voor de praktijk
Met dit arrest geeft het HvJEU opnieuw richting aan (de begroting van) schadevergoeding onder de AVG. In de praktijk zien wij in aansprakelijkstellingen allerhande acrobatiek toegepast worden om schadevergoeding onder de AVG te begroten (van zelfbedachte puntensystemen tot – zoals in deze kwestie aan de orde – aansluiting bij de criteria voor administratieve geldboetes door toezichthouders onder artikel 83 AVG). Het HvJEU oordeelt dat uitsluitend rekening gehouden mag worden met de concreet door de betrokkene geleden schade en daarmee (dus) dat dergelijke begrotingsmethodieken ten onrechte worden aangelegd.
Ook de stelling dat de inbreuk veroorzaakt is door een personeelslid dat zich niet aan de interne instructies heeft gehouden, hebben wij in de praktijk al voorbij zien komen. Het is daarom goed dat het HvJEU in deze kwestie benadrukt dat de vrijstelling als genoemd in artikel 82 lid 3 AVG niet reeds in een dergelijk geval kan worden ingeroepen. De vrijstelling moet strikt beperkt worden tot de omstandigheden waarin de verwerkingsverantwoordelijke kan aantonen dat de schade hem niet kan worden toegerekend.
Hulp nodig?
Vragen over (procederen over) schadevergoeding onder de AVG? Stuur mij gerust een e-mail of neem telefonisch contact op.
Gerelateerd
Privacy en gegevensbescherming
