Alarmerend: Hof van Justitie kan handhaving Europese privacyrechten ernstig beperken

Alarmerend: Hof van Justitie kan handhaving Europese privacyrechten ernstig beperken

De advocaat-generaal (AG) van het Hof van Justitie van de Europese Unie (HvJEU), die door het grote publiek nauwelijks is opgemerkt, heeft een advies uitgebracht dat erop gericht is een van de laatste mogelijkheden voor gebruikers om hun privacyrechten op grond van de GDPR af te dwingen, te beperken. Volgens de AG zouden Europeanen nauwelijks compensatie krijgen voor schendingen van de GDPR - hoewel de GDPR uitdrukkelijk voorziet in een vordering voor immateriële schade. Het definitieve arrest zal in de komende maanden door het HvJEU worden gewezen.

• Advies AG in C-300/21
• Oostenrijkse verwijzing naar het HvJEU over immateriële schade (in het Duits)
• Oostenrijks eindarrest over de andere vorderingen in deze zaak (in het Duits)

Verdere bronnen:

• Gedetailleerde analyse van de AG Opinion door Max Schrems
• "Grump GDPR" Podcast met Max Schrems over dit advies (op transistor.fm)

Achtergrond van de zaak. De Oostenrijkse postdienst berekende illegaal de politieke voorkeur van miljoenen Oostenrijkers, in strijd met de GDPR. Een Weense eiser die ten onrechte werd geassocieerd met de rechts-populistische Vrijheidspartij klaagde de Post aan voor een schadevergoeding van € 1.000 wegens massale woede, verlies van vertrouwen en een gevoel van blootstelling. De GDPR noemt uitdrukkelijk een vordering voor immateriële schadevergoeding. Toch heeft het Oostenrijkse Hooggerechtshof (OGH) het HvJEU drie vragen gesteld, waarin het vraagt of artikel 82 van de GDPR schadevergoeding zonder materiële schade mogelijk maakt of dat de Oostenrijkse rechters een extra "drempel" mogen eisen om immateriële schadevergoeding toe te kennen.

Geen schadevergoeding voor de meeste schendingen van de GDPR? Het Oostenrijkse Hooggerechtshof vroeg vooral of het de toekenning van immateriële schadevergoeding kan beperken, als de woede van een eiser niet verder gaat dan de woede die gepaard gaat met de schending van GDPR-rechten. Aangezien deze definitie alle realistische vormen van woede zou omvatten die het gevolg kunnen zijn van een schending van de GDPR, zou zij de bedoeling van de wetgever om immateriële schadevergoeding toe te kennen voor schendingen van het recht op gegevensbescherming grotendeels ondermijnen.

Max Schrems: "Deze zaak is zeer verontrustend. Als het standpunt van het Oostenrijkse Hooggerechtshof en de advocaat-generaal doorgaat, zullen de meeste gebruikers nooit meer een schadevergoeding zien voor schendingen van de GDPR. Ik heb de afgelopen dagen met veel deskundigen gesproken en je hoort een breed gedragen bezorgdheid."

Andere opties niet efficiënt. De conclusie van de AG wijst herhaaldelijk op andere opties dan schadevergoeding, zoals louter verklaringen, nominale schadevergoedingen (meestal €1) of rechterlijke bevelen. Hoewel elke eiser ongetwijfeld het recht heeft dergelijke vorderingen in te stellen, kunnen zij in het algemeen geen schendingen uit het verleden ongedaan maken of illegaal gedeelde gegevens terughalen. Eisers zouden hoge bedragen moeten investeren om slechts een stuk papier te krijgen waarop staat dat ze gelijk hadden. Voor de verwerking verantwoordelijken zouden weglopen met de winst van GDPR-schendingen en geen realistische gevolgen hebben.

Max Schrems: "Het kost duizenden en vaak tienduizenden euro's om een civiele zaak aan te spannen. Niemand zou een vordering instellen om alleen maar een papiertje te krijgen waarop staat dat hij of zij gelijk had."

In het advies van de AG wordt er ook op gewezen dat de gegevensbeschermingsautoriteiten hun werk moeten doen. In werkelijkheid zijn veel gegevensbeschermingsautoriteiten nog steeds van mening dat zij niet verplicht zijn de rechten van gebruikers af te dwingen. Sommige gegevensbeschermingsautoriteiten vinden dat gebruikers niet eens partij zijn in een procedure voor hen. In het advies van de AG wordt betoogd dat meer burgerlijke rechtszaken de gegevensbeschermingsautoriteiten zouden "beroven" van klachten, terwijl veel gegevensbeschermingsautoriteiten het huidige aantal klachten niet eens verwerken.

Max Schrems: "Sommige delen van dit advies zijn zeer cynisch voor iedereen die op dit gebied werkzaam is. De GDPR vertoont een enorme handhavingsachterstand. Tegelijkertijd lijkt het alsof het advies veel argumenten aanvoert om de handhaving te beperken. Dit is een zeer problematische benadering vanuit het Hof van Justitie."

Gefragmenteerde "schade" in de EU? Het advies van de AG lijkt de 30 EU- en EER-lidstaten ook toe te staan hun eigen "drempels" of andere nationale wetten te bedenken die de duidelijk bedoelde volledige vergoeding van immateriële schade onder de GDPR kunnen beperken. Dit zou leiden tot enorme versnippering, aangezien sommige lidstaten volledige compensatie zouden toestaan en andere steeds hogere limieten zouden kunnen invoeren.

Zelfs geen duidelijkheid in de bedoelde zaak. Zelfs als de standpunten in het advies van de AG worden aanvaard, is er geen duidelijk antwoord op de onderliggende zaak. In voetnoot 86 zelf wordt toegegeven datik , door "deze overwegingen uiteen te zetten, niet vooruitloop op de vraag of de situatie van [de eiser] in dit geval onder de ene of de andere categorie valt" - wat betekent dat het nog steeds onduidelijk is of de eiser in de Oostenrijkse zaak al dan niet schadevergoeding zou moeten krijgen.

Advies niet juridisch streng. Naast vraagtekens bij de conclusies van het advies van de AG, vertoont het ook ernstige juridische tekortkomingen. In het advies wordt deels gesteld dat de regels inzake schadevergoeding in de EU zouden worden geharmoniseerd, om vervolgens te stellen dat de lidstaten van de wet mogen afwijken. Ook begrippen als het "verlies van controle" of het vrije verkeer van persoonsgegevens in de EU lijken in de AG opinie drastisch verkeerd begrepen te worden. noyb heeft een 10 pagina's tellende legal digest van de AG Opinie opgesteld, waarin veel van deze nogal technische fouten in de opinie naar voren komen.

Max Schrems: "We hopen van harte dat de rechters dit advies niet zullen volgen. Het lost de problemen voor het Hof niet op en het is ook niet juridisch correct, maar het kan worden gebruikt om een van de laatste wegen voor handhaving van de GDPR af te sluiten."

Toenemende gerechtelijke actie tegen GDPR-rechten. Terwijl het HvJEU tot nu toe een zeer neutrale en technische benadering van de GDPR heeft gevolgd, wordt het steeds duidelijker dat sommige nationale rechters talloze vragen aan het HvJEU voorleggen die erop gericht zijn de GDPR te beperken. Momenteel zijn er ongeveer 40 verwijzingen naar het HvJEU, voornamelijk met vragen die de beperking van GDPR-rechten mogelijk maken, of met niet-kwesties die duidelijk onder de GDPR worden beslist.

Max Schrems: "We zien een zorgwekkende trend dat rechtbanken beetje bij beetje de rechten onder de GDPR beperken en steeds meer wegversperringen toevoegen. Terwijl 96% van het Europees Parlement en alle EU-lidstaten achter sterke privacybescherming stonden, zien we nauwelijks handhaving op het terrein. Het lijkt erop dat sommige rechters door de industrie zijn overtuigd dat de GDPR moet worden beperkt. We zien steeds meer vonnissen die proberen de GDPR geleidelijk ongedaan te maken door eisers en autoriteiten te beperken. Dit is vooral een trend in de Duitstalige landen en Nederland. Sommige rechtbanken lijken te hopen dat het HvJEU de GDPR zal beperken. Veel uitspraken lezen alsof rechters het juiste willen doen door deze wegversperringen toe te voegen, terwijl ze in feite afwijken van een duidelijk democratisch besluit."

De definitieve uitspraak van het HvJEU in deze zaak zal in de komende maanden verschijnen.