因违反GDPR而提出的损害赔偿请求仅在实际产生损害时才成立。欧盟法院在2023年5月4日的判决中做出了这一决定(案件编号C-300/21)。
企业管理着大量敏感的个人数据。这对数据保护提出了很高的要求,违反通用数据保护条例(GDPR)可能导致巨额罚款和损害赔偿要求,解释说明来自MTR Legal Rechtsanwälte的经济律所,他们也为客户提供IT法和数据保护的建议。
欧洲法院现在决定,因违反GDPR而提出的损害赔偿请求只有在实际产生损害时才成立。然而,卢森堡的法官对损害的发生并没有设定过高的门槛。损害的严重性不是必须的。
在欧盟法院审理的是奥地利的一个案例。在这里,一名男子对奥地利邮政公司提出了非物质损害赔偿的诉讼。理由是邮政使用算法并基于社会和人口特征的信息收集了政党偏好信息。这些数据虽然未被公开,但本是为了政党的选举广告目的。由此,该男子被标识为与某一特定政党有特定倾向。这让他不满。他根据GDPR第82条提起了非物质损害赔偿诉讼。
奥地利最高法院将此案提交给欧盟法院,法院裁定,仅仅违反GDPR并不构成损害赔偿请求。损害赔偿要求需满足三个条件:首先,必须存在对GDPR的违反。此外,必须已产生物质或非物质的损害,并且该损害是由违反GDPR直接导致的。因此,并非每项对GDPR的违反都会自动导致损害赔偿请求。
然而,非物质损害赔偿请求不只是在一定严重性时才成立。不存在轻微事件。对于损害的衡量标准GDPR并未设定,这是欧盟成员国的责任。但他们必须确保对所受损害提供完全和有效的赔偿,正如欧盟法院指出。
根据欧盟的判决,处理个人数据时需要高度谨慎。经验丰富的律师在MTR Legal Rechtsanwälte提供数据保护问题的建议。
