In 2021 heeft het Oostenrijkse Hooggerechtshof vragen gesteld aan het Europees Hof van Justitie over hoe artikel 82 Algemene Verordening Gegevensbescherming (AVG) met betrekking tot schadevergoeding moet worden begrepen. In juridische termen gaat het hier om een prejudiciële procedure.
De aanleiding voor het stellen van deze vragen komt door de uiteenlopende benaderingen binnen de Europese Unie over hoe deze bepaling over schadevergoeding moet worden toegepast. Nederland gaat hier bijvoorbeeld heel anders mee om dan het Verenigd Koninkrijk (waar de General Data Protection Regulation (GDPR) is behouden in nationale wetgeving bekend als de UK GDPR[i]). Zelfs binnen Oostenrijk, een relatief klein Europees land, beslissen lagere rechtbanken uiteenlopend met betrekking tot AVG-schade (Winkelbauer, 2021).
Deze blog gaat in op wat schadevergoeding inhoudt, hoe de Nederlandse rechtbanken hiernaar kijken (versus Verenigd Koninkrijk) en wat voor vragen Oostenrijk aan het Europese Hof heeft gesteld.
[i] Ten tijde van de Brexit is er een terugtrekkingsakkoord gesloten tussen het Verenigd Koninkrijk en de Europese Unie. Deze bevat voorwaarden voor de terugtrekking van het Verenigd Koninkrijk uit de Europese Unie overeenkomstig artikel 50 van het Verdrag betreffende de Europese Unie. In dit akkoord is besloten dat van de Europese Unie afgeleide nationale wetgeving, die van kracht was voor de Brexit, van kracht blijft. De belangrijkste waarborgen van de AVG blijven hetzelfde in de UK GDPR, echter zijn er wel gevolgen voor de regels voor doorgifte van persoonsgegevens tussen het Verenigd Koninkrijk en de Europese Economische Ruimte (EER)
Wat houdt schadevergoeding onder artikel 82 AVG in?
In de AVG is een bepaling opgenomen over schadevergoeding (artikel 82). Deze bepaling luidt als volgt:
“Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.”
Deze bepaling geeft geen ander vereiste voor schadevergoeding behalve dat er een inbreuk moet zijn geweest op een van de AVG-bepalingen. Er wordt hier niet verwezen naar het moeten voldoen aan de vereisten van nationale wetgeving, zoals het Nederlands schadevergoedingsrecht. De voorganger van de AVG, de Wet bescherming persoonsgegevens, noemt in artikel 49 “aanspraken op grond van andere wettelijke regels”. Er is een uitspraak geweest van de Afdeling bestuursrechtspraak van de Raad van State waarin werd gezegd dat dit artikel op zichzelf geen grondslag is voor schadevergoeding (Afdeling bestuursrechtspraak Raad van State, 2018). Volgens de Afdeling moest artikel 49 worden gezien als een aanvulling op het Nederlands schadevergoedingsrecht (Afdeling bestuursrechtspraak Raad van State, 2018). Dit betekent dus dat destijds ook voldaan moest worden aan de vereisten van artikel 6:106 van het Burgerlijk Wetboek. Kort gezegd, moet de schade concreet zijn en moet er een causaal verband bestaan tussen de geleden schade en de inbreuk op de AVG.
Door de bewoording van artikel 82 AVG lijkt het alsof schadevergoeding ontvangen ineens een stuk makkelijker is geworden doordat er niet meer wordt verwezen naar verdere vereisten.
Het lijkt er dus op dat alleen het bestaan van een inbreuk op een van de AVG-bepalingen genoeg is om schadevergoeding te kunnen ontvangen. Of toch niet?
Hoe kijken Nederlandse rechtbanken hiernaar?
In 2019 werd in Nederland voor de eerste keer door een rechter schadevergoeding zoals bedoeld in artikel 82 AVG toegekend (Rechtbank Overijssel, 2019). In deze zaak oordeelde de rechter zonder enige nadere uitleg dat het ‘verlies van de controle over persoonsgegevens’ genoeg was voor een schadevergoeding van €500,-. Artikel 82 AVG suggereert dat enige inbreuk op de bepalingen van de AVG voldoende is om schadevergoeding toe te kennen en deze uitspraak bevestigde dit. Maar daar werd in hoger beroep een stokje voor gestoken.
In hoger beroep vond de Afdeling bestuursrechtspraak van de Raad van State dat de betrokkene niet aannemelijk had gemaakt dat de inbreuk zijn integriteit aantastte en last had gehad van de gevolgen daarvan (Afdeling bestuursrechtspraak Raad van State, 2020). De simpele redenering van de rechtbank was dus niet genoeg voor de Afdeling en dus leidt alleen een inbreuk op de bepalingen van de AVG toch niet automatisch tot schadevergoeding. Dus nee, schadevergoeding verkrijgen op grond van artikel 82 AVG is niet zo simpel als het lijkt.
Wat moet er dan gebeuren om schadevergoeding te ontvangen?
De Afdeling beslist dat er aan de criteria van artikel 6:106 Burgerlijk Wetboek moet worden voldaan om in aanmerking te komen voor schadevergoeding onder artikel 82 AVG (Afdeling bestuursrechtspraak Raad van State, 2020). Dit betekent dat betrokkenen in aanvulling op artikel 82 AVG concreet moet aantonen dat zij schade hebben geleden zoals in het Nederlands schadevergoedingsrecht wordt vereist. Dus ook hier moet de schade concreet zijn en moet er een causaal verband bestaan tussen de geleden schade en de inbreuk op de AVG.
In een recente uitspraak is dan ook op basis van bovenstaande punten de schadevergoeding wel toegekend. In deze zaak is door de betrokkene concreet aangetoond wat de schade is, namelijk een inbreuk op de persoonlijke levenssfeer zoals bedoeld in artikel 6:106 lid 1 sub b Burgerlijk Wetboek. Daarbij heeft de verzoekster ook concreet aangegeven dat zij ten minste €25.000,- aan schade heeft geleden. Ten slotte vond de rechtbank dat de oorzaak van de schade – het 10 jaar onrechtmatig verwerken van haar medische gegevens ondanks meerdere verzoeken haar gegevens te verwijderen – tot immateriële schade van de verzoekster heeft geleid. De rechtbank heeft besloten de schade van de verzoekster gedeeltelijk toe te kennen. De verweerder werd veroordeeld tot het vergoeden van de schade tot €2.500,- en tot het vergoeden van het betaalde griffierecht van €178,- (Rechtbank Rotterdam, 2021).
Dit is hoe Nederland met schadevergoeding onder artikel 82 AVG omgaat, maar of we zo de juiste weg bewandelen is nog niet duidelijk.
Hiertegenover staat de aanpak binnen het Verenigd Koninkrijk, waar het wel “easy peasy lemon squeezy” is. Hier is het namelijk voldoende om alleen op basis van een inbreuk op een van de AVG-bepalingen schadevergoeding te kunnen ontvangen. Met andere woorden, er wordt niet verder gekeken dan wat in artikel 82 AVG wordt geïmpliceerd.
Mede door het geringe vereiste bewijs voor schadevergoeding in het Verenigd Koninkrijk en door de voordelen van de Wet afwikkeling massaschade collectieve actie, zijn bedrijven sneller bereid te settelen bij AVG-schadeclaims. In juli 2021 zagen wij dan ook dat British Airways een regeling had getroffen met een aantal eisers in hun collectieve massaclaim tegen de organisatie naar aanleiding van een datalek.
Maar hoe moeten we deze bepaling dan lezen? Dit wilde Oostenrijk ook weten en besloot daarom dit te vragen aan het Europese Hof van Justitie.
Welke vragen heeft Oostenrijk aan het Hof gesteld?
In haar verzoek heeft het Oostenrijkse Hooggerechtshof de volgende vragen gesteld aan het Europees Hof van Justitie:
Wat betekent dit voor toekomstige schadevergoedingsprocedures?
Het antwoord van het Hof op deze fundamentele vragen zal voor verduidelijking zorgen en daarmee aanzienlijk invloed hebben op toekomstige gerechtelijke procedures in Nederland en de andere Europese lidstaten. Daarbij zal een antwoord van het Europees Hof van Justitie de rechtszekerheid van betrokkenen versterken omdat de wetsbepaling daarna door de hele Europese Unie op dezelfde manier zal worden toegepast.
Vol smart wachten wij af wat het Hof hierover zal beslissen en in hoeverre Nederland met haar aanpak het bij het juiste eind heeft. To be continued…
De auteur Nathalie van den Driest is Privacy & Legal consultant bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!
Heb je vragen over dit onderwerp of wil je verder praten? Neem dan gerust contact op met een van onze betrouwbare professionals via: info@cuccibu.nl of +31 (0) 85 3030 2984.