noyb verwelkomt de toonaangevende beslissing van het Duitse Federale Hof van Justitie van gisteren over claims in verband met een incident rond gegevensbescherming bij Facebook
Copyright voor headerfoto hierboven: Steffen Prößdorf, CC BY-SA 4.0 , via Wikimedia Commons
Verklaring van Max Schrems.
Max Schrems: "Ondanks duidelijke bepalingen in de GDPR en verschillende uitspraken van het HvJEU hebben Duitse rechtbanken regelmatig schadevergoedingen geweigerd in zaken over gegevensbescherming. We zijn blij dat het BGH nu de daad bij het woord heeft gevoegd en de Duitse jurisprudentie op één lijn heeft gebracht. Het juridische debat in Duitsland werd tot nu toe gedomineerd door bedrijfsjuristen, en sommige rechtbanken hebben zich laten leiden door hun grove theorieën en hebben lastige GDPR-zaken snel afgewezen. Als gevolg daarvan is Duitsland een Europees probleem geworden voor gegevensbeschermingszaken."
Duitse rechtbanken en literatuur tot nu toe extreem vijandig tegenover GDPR. In Duitsland heeft juridische literatuur een grote invloed op de rechtbanken. Op het gebied van gegevensbescherming zijn er echter bijna alleen gespecialiseerde juristen aan de zakelijke kant. Onderzoek op het gebied van digitale rechten wordt in toenemende mate in opdracht gegeven aan en betaald door bedrijven - vaak zonder dat dit bekend wordt gemaakt. Tegen deze achtergrond is er een industrie ontstaan die ruwe theorieën blijft produceren over waarom GDPR-claims moeten worden afgewezen of waarom schadevergoeding voor schendingen van de gegevensbescherming vrijwel onbestaand is.
In Duitsland werd bijvoorbeeld een 'materialiteitsdrempel' uitgevonden, waarna de rechtbanken veel GDPR-schadezaken afwezen als 'immaterieel'. Oostenrijkse rechtbanken hebben deze theorie ook omarmd, hoewel de GDPR er geen basis voor biedt. Alleen het HvJEU heeft hier een stokje voor gestoken(C-300/21 Österreichische Post). Toch hebben sommige Duitse rechtbanken dergelijke zaken herhaaldelijk afgewezen, in tegenstelling tot de uitspraak van het HvJEU.
De inbreuk op de privacy is de 'primaire schade'. Het is vaak moeilijk om de schade te berekenen als de rechten niet direct 'meetbaar' zijn. Op andere gebieden dan gegevensbescherming is dit echter geen reden om geen schadevergoeding toe te kennen. In het mediarecht kan een belediging bijvoorbeeld net zo goed 'schade' zijn als de pijn van een gebroken been. Op andere gebieden zijn rechtbanken er geleidelijk achter gekomen welke schadevergoeding gepast is. In sommige EU-landen heeft dit ook geleid tot de ontwikkeling van informele 'breukentabellen' voor schadeclaims.
secundaire schade' die zelfstandig voor vergoeding in aanmerking komt. De schade aan het grondrecht op gegevensbescherming kan ook worden gescheiden van 'secundaire schade'. Men kan bijvoorbeeld al last hebben van de onrechtmatige publicatie van een ziekte. Als men vervolgens zijn baan verliest door de publicatie, is dit een tweede, onafhankelijke secundaire schade - die afzonderlijk voor vergoeding in aanmerking komt. Bedrijfsjuristen hebben tot nu toe consequent ontkend dat het grondrecht op gegevensbescherming zelf de schade is en hebben zich gericht op (zeldzame en moeilijk te bewijzen) secundaire schade.
De beslissing in het kort: In zijn toonaangevende beslissing van gisteren oordeelde het Federale Hof van Justitie dat het loutere verlies van controle over de eigen persoonlijke gegevens schade kan vormen die kan worden vergoed onder de GDPR, op voorwaarde dat deze schade het gevolg is van een schending van de GDPR. Hiermee volgt het Duitse Hooggerechtshof de jurisprudentie van het HvJEU (zie(C-200/23). Verdere nadelen, zoals specifiek misbruik van de gegevens of andere negatieve gevolgen, zijn niet vereist om betrokkenen schadevergoeding toe te kennen onder de GDPR. Hoewel het BGH specifiek te maken had met een datalek bij Facebook, kunnen de uitspraken in het arrest waarschijnlijk ook worden toegepast op andere scenario's waarin betrokkenen op onrechtmatige wijze de controle over hun privacy wordt ontnomen.
