Erstatningskrav på grund af overtrædelse af GDPR eksisterer kun, hvis der faktisk er opstået en skade. Det har EU-Domstolen afgjort med en dom af 4. maj 2023 (Sag C-300/21).
Virksomheder håndterer store mængder af følsomme personoplysninger. Det stiller høje krav til databeskyttelse, og overtrædelser af databeskyttelsesforordningen (GDPR) kan føre til høje bøder og erstatningskrav, forklarer advokatfirmaet MTR Legal, som også rådgiver sine klienter inden for IT-ret og databeskyttelse.
Den Europæiske Domstol har nu afgjort, at erstatningskrav på grund af overtrædelser af GDPR først eksisterer, når der faktisk er opstået en skade. Dommerne i Luxembourg sætter dog ikke så store krav for indtræden af en skade. Skadens betydelighed er ikke en forudsætning.
Foran EU-Domstolen drejede det sig om en sag fra Østrig. Her havde en mand anlagt sag mod det østrigske postvæsen for ikke-økonomisk skade. Årsagen var, at postvæsenet ved hjælp af en algoritme og underliggende sociale og demografiske karakteristika havde samlet informationer om partipræferencer. Disse data blev ikke offentliggjort, men var tænkt til politisk reklameformål. For manden betød det en tilknytning til et bestemt parti. Det kunne han ikke lide. Han anlagde sag i henhold til Art. 82 GDPR for ikke-økonomisk skade.
Den østrigske højesteret forelagde sagen for EU-Domstolen, som afgjorde, at en ren overtrædelse af GDPR endnu ikke begrundede et erstatningskrav. Kravet på erstatning er knyttet til tre betingelser: For det første skal der være en overtrædelse af GDPR. Desuden skal der være opstået en materiel eller immateriel skade, og overtrædelsen af GDPR skal være årsag til denne. Således fører ikke enhver overtrædelse af GDPR automatisk til erstatningskrav.
Ikke desto mindre eksisterer kravet på immateriel erstatning ikke først ved en vis betydelighed. Bagatelsager findes ikke. GDPR fastlægger ikke kriterierne for vurderingen af skadens omfang, dette er op til EU-medlemslandene. Disse skal dog sørge for, at der ydes fuldstændig og effektiv erstatning for den lidte skade, ifølge EU-Domstolen.
Ved håndtering af personoplysninger kræves der ifølge EU-dommen stor omhu. Erfarne advokater inden for IT-ret rådgiver hos MTR Legal i spørgsmål om databeskyttelse.
