HvJ EU bevestigt: Inbreuk op AVG leidt niet automatisch tot recht op immateriële schadevergoeding
Met zijn uitspraak van 14 juni 2024 (zaaknr.: C-300/21) heeft het Hof van Justitie van de Europese Unie (HvJ EU) verduidelijkt dat een loutere schending van de bepalingen van de Algemene verordening gegevensbescherming (AVG) niet zonder meer recht geeft op schadevergoeding. Getroffenen moeten daadwerkelijk een materiële of immateriële schade hebben geleden en deze in geval van geschil ook aannemelijk maken en bewijzen. Het arrest biedt bedrijven en verwerkende partijen een juridisch bindende leidraad voor het omgaan met aansprakelijkheidsrisico’s onder het privacyrecht en beïnvloedt bovendien in aanzienlijke mate de nationale rechtspraak rondom privacyovertredingen.
Achtergrond van de prejudiciële procedure
De procedure vond zijn oorsprong in Oostenrijk. Een eiser vorderde van een exploitant van een onlineplatform een vergoeding voor immateriële schade vanwege vermeende schendingen van de AVG. Hij baseerde zich uitsluitend op het feit dat zijn persoonsgegevens naar verluidt onrechtmatig waren verwerkt, zonder een daaruit voortvloeiend concreet nadeel – zoals ervaren ongemak of een aantasting – te specificeren. De rechtbank van Wenen, die over de zaak oordeelde, legde het HvJ EU verschillende vragen voor over de uitleg van art. 82 AVG en verzocht met name om verduidelijking of een enkele schending van de privacyregels al voldoende is voor een recht op schadevergoeding.
Juridische beoordeling door het HvJ EU
Vereisten voor het recht op schadevergoeding volgens art. 82 AVG
Het HvJ EU stelde dat de AVG een gedifferentieerde regeling bevat voor schadevergoeding. Art. 82 AVG voorziet weliswaar in aansprakelijkheid bij schendingen van privacyregels, maar voor een aanspraak op schadevergoeding moeten drie voorwaarden vervuld zijn:
- een inbreuk op de AVG,
- daaruit voortvloeiende schade, en
- een causaal verband tussen de inbreuk en de schade.
Het Hof benadrukt daarmee dat niet elk afwijkend handelen van de AVG-voorschriften direct tot aansprakelijkheid leidt. Een recht op schadevergoeding bestaat alleen als er daadwerkelijk een materieel of immaterieel nadeel is ontstaan.
Geen automatisme in het voordeel van de betrokkene
Met deze uitspraak wijst het HvJ EU een strikte “no fault liability” af. De enkele vaststelling van een privacy-overtreding – bijvoorbeeld een onjuist gegeven toestemming of het nalaten van een informatieplicht – is niet voldoende voor de toekenning van een geldsom wegens immateriële schade. Getroffenen moeten concreet aangeven op welke wijze zij daadwerkelijk en individueel schade hebben geleden door de inbreuk. Hiervoor is doorgaans een nauwkeurige omschrijving van het ondervonden nadeel vereist, zoals het optreden van angstgevoelens, stress of beperkingen in de sociale omgeving, en niet slechts abstracte of algemene benadeling.
Geen drempel voor ernst bij immateriële schade
Het HvJ EU maakt bovendien duidelijk dat er voor het bestaan van schade geen drempel mag gelden die bepaalt dat alleen “ernstige” immateriële schade voor vergoeding in aanmerking komt. Ook geringe aantastingen kunnen dus recht geven op vergoeding, mits deze daadwerkelijk door de AVG-inbreuk zijn veroorzaakt en in de procedure concreet zijn gemaakt. De eisen aan het bewijs van immateriële schade blijven echter bestaan.
Gevolgen voor de nationale en internationale rechtspraktijk
Versterking van het beginsel van individuele verantwoordelijkheid
De uitspraak van het HvJ EU maakt duidelijk dat bedrijven en verwerkende instanties nog steeds strenge eisen op het gebied van privacy moeten naleven. Tegelijkertijd zorgt het arrest voor rechtszekerheid en voorkomt onbeperkte uitbreiding van aansprakelijkheidsrisico’s bij louter technische of formele overtredingen van de AVG, zolang er geen concreet nadeel is aangetoond.
Voor de praktijk betekent dit dat fouten bij de omgang met persoonsgegevens – bijvoorbeeld bij het verstrekken van informatie of de documentatie – niet automatisch tot financiële aanspraken van betrokkenen leiden. Pas wanneer concrete, individuele nadelen zijn gesteld en bewezen, ontstaat een recht op vergoeding.
Belang voor bedrijven en privacyverantwoordelijken
Tegen de achtergrond van de recente beslissing van het HvJ EU is het raadzaam om nog meer aandacht te besteden aan de documentatie van gegevensverwerkingsprocessen en mogelijke risico’s. Voor verwerkende partijen betekent het arrest geen lagere eisen op het gebied van preventie, sensibilisering en documentatieplicht – wel echter een grotere duidelijkheid met betrekking tot de materiële vereisten voor een mogelijke schadevergoedingsaanspraak.
Conclusie en vooruitblik
De rechtspraak van het HvJ EU is een belangrijke mijlpaal in de samenhang tussen privacy en aansprakelijkheidsrecht. Zij zorgt voor het noodzakelijke onderscheid tussen loutere rechtsinbreuk en daadwerkelijke schade. Daardoor wordt zowel de positie van betrokkenen als de belangen van bedrijven en verwerkende instanties in een evenwichtige balans gebracht. De uitspraak van het HvJ EU zal waarschijnlijk richtinggevend zijn voor de huidige rechtspraak en de toekomstige ontwikkeling van het schadevergoedingsrecht op het gebied van privacy.
Voor verdere vragen of bij juridische onzekerheden op het gebied van privacy staan de advocaten van MTR Legal Rechtsanwälte u graag als contactpersoon ter beschikking.
