Alarmerande: EU-domstolen kan komma att kraftigt begränsa efterlevnaden av EU-medborgarnas rätt till privatliv

Alarmerande: EU-domstolen kan komma att kraftigt begränsa skyddet för den personliga integriteten

Knappast uppmärksammat av allmänheten har generaladvokaten vid Europeiska unionens domstol (EU-domstolen) avgett ett yttrande som syftar till att begränsa en av de sista potentiella möjligheterna för användare att hävda sina integritetsrättigheter enligt GDPR. Enligt AG skulle européer knappast få kompensation för GDPR-överträdelser - trots att GDPR uttryckligen föreskriver ett krav på ideella skadestånd. Den slutliga domen kommer att meddelas av EU-domstolen under de närmaste månaderna.

• AG:s yttrande i C-300/21
• Österrikisk hänvisning till EU-domstolen om ideellt skadestånd (på tyska)
• Österrikisk slutlig dom om övriga yrkanden i detta mål (på tyska)

Ytterligare resurser:

• Detaljerad analys av AG:s yttrande av Max Schrems
• "Grump GDPR" Podcast med Max Schrems om detta yttrande (på transistor.fm)

Ärendets bakgrund. Det österrikiska postverket beräknade olagligt den politiska inställningen hos miljontals österrikare, i strid med GDPR. En målsägande från Wien, som felaktigt associerats med det högerpopulistiska Frihetspartiet, stämde postverket och krävde 1 000 euro i skadestånd för massiv ilska, förlorat förtroende och en känsla av utsatthet. GDPR nämner uttryckligen ett krav på ideellt skadestånd. Österrikes högsta domstol (OGH) hänvisade dock tre frågor till EU-domstolen och frågade om artikel 82 i GDPR tillåter skadestånd utan materiella skador eller om de österrikiska domstolarna kan kräva en ytterligare "tröskel" för att bevilja ideella skadestånd.

Inget skadestånd för de flesta GDPR-överträdelser? Österrikes högsta domstol frågade främst om den kunde begränsa utdömandet av ideellt skadestånd om den klagandes ilska inte går utöver den ilska som följer av kränkningen av rättigheterna enligt GDPR. Eftersom denna definition skulle omfatta alla realistiska typer av ilska som kan uppstå till följd av en överträdelse av dataskyddsförordningen, skulle den i hög grad undergräva lagstiftarens avsikt att bevilja ideellt skadestånd för överträdelser av rätten till dataskydd.

Max Schrems: "Det här fallet är djupt oroande. Om den österrikiska högsta domstolens och generaladvokatens synsätt får genomslag kommer de flesta användare aldrig mer att få ersättning för överträdelser av GDPR. Jag har talat med många experter under de senaste dagarna och det finns en utbredd oro."

Andra alternativ är inte effektiva. Generaladvokatens yttrande pekar upprepade gånger på andra alternativ än skadestånd, t.ex. rena förklaringar, nominella skadestånd (vanligtvis 1 euro) eller förelägganden. Även om en kärande utan tvekan har rätt att väcka sådana anspråk, kan de i allmänhet inte avhjälpa tidigare överträdelser eller återkalla olagligt delade uppgifter. Kärande skulle behöva investera stora summor pengar för att bara få en papperslapp som säger att de hade rätt. De personuppgiftsansvariga skulle få ta del av vinsterna från GDPR-överträdelser utan några realistiska konsekvenser.

Max Schrems: "Det kostar tusentals och ofta tiotusentals euro att väcka talan i ett civilmål. Ingen skulle väcka talan för att bara få ett papper på att han eller hon hade rätt."

AG:s yttrande pekar också på att dataskyddsmyndigheterna måste göra sitt jobb. I själva verket anser många dataskyddsmyndigheter fortfarande att de inte har någon skyldighet att genomdriva användarnas rättigheter. Vissa dataskyddsmyndigheter anser att användarna inte ens är part i ett förfarande som de har att ta ställning till. I AG:s yttrande hävdas att fler civilrättsliga mål skulle "beröva" dataskyddsmyndigheterna klagomål, när det i själva verket är många som inte ens behandlar det nuvarande antalet klagomål.

Max Schrems: "Vissa delar av detta yttrande är djupt cyniska för alla som arbetar inom området. Vi har en enorm brist i efterlevnaden av GDPR. Samtidigt verkar det som om yttrandet tar upp många argument för att begränsa tillämpningen. Detta är ett mycket problematiskt förhållningssätt från domstolens sida."

Fragmenterade "skadestånd" i EU? AG:s yttrande verkar också tillåta de 30 EU- och EES-medlemsstaterna att införa egna "tröskelvärden" eller andra nationella lagar som kan begränsa den tydligt avsedda fullständiga ersättningen för ideella skador enligt GDPR. Detta skulle leda till en enorm fragmentering eftersom vissa medlemsstater skulle tillåta full ersättning medan andra skulle införa allt högre gränser.

Inte ens klarhet i det hänskjutna målet. Även om synpunkterna i AG:s yttrande godtas finns det inget tydligt svar på det underliggande målet. I fotnot 86 medges attjag genom att "redogöra fördessa överväganden inte tar ställning till om [kärandens] situation i detta fall faller under den ena eller andra kategorin" - vilket innebär att det fortfarande är oklart om käranden i det österrikiska fallet ska få ersättning eller inte.

Yttrande inte rättsligt stringent. Förutom frågor om slutsatserna i AG:s yttrande har det också allvarliga juridiska brister. I yttrandet hävdas delvis att skadeståndsreglerna skulle harmoniseras inom EU, för att sedan hävda att medlemsstaterna kan avvika från lagen. Likaså verkar begrepp som "förlust av kontroll" eller det fria flödet av personuppgifter i EU vara drastiskt missförstådda i AG:s yttrande. noyb har utarbetat en 10-sidig juridisk sammanfattning av AG:s yttrande, som belyser många av dessa ganska tekniska fel i yttrandet.

Max Schrems: "Vi hoppas verkligen att domarna inte kommer att följa detta yttrande. Det löser inte de frågor som domstolen har att ta ställning till och är inte heller juridiskt hållbart, men det kan komma att användas för att stänga en av de sista vägarna för att genomdriva GDPR."

Växande rättsliga åtgärder mot GDPR-rättigheter. EU-domstolen har hittills intagit en mycket neutral och teknisk hållning till dataskyddsförordningen, men det blir alltmer uppenbart att vissa nationella domstolar hänskjuter otaliga frågor till EU-domstolen som syftar till att begränsa dataskyddsförordningen. För närvarande finns det cirka 40 hänvisningar till EU-domstolen, främst med frågor som skulle göra det möjligt att begränsa rättigheterna enligt GDPR, eller med icke-frågor som tydligt avgörs enligt GDPR.

Max Schrems: "Vi ser en oroande trend att domstolarna bit för bit begränsar rättigheterna enligt GDPR och lägger till fler och fler vägspärrar. Trots att 96% av Europaparlamentet och alla EU:s medlemsstater stod bakom ett starkt integritetsskydd ser vi knappt någon tillämpning i praktiken. Det verkar som om vissa domare har övertygats av branschen om att GDPR måste begränsas. Vi ser allt fler domar där man försöker att gradvis upphäva GDPR genom att begränsa antalet käranden och myndigheter. Detta är särskilt en trend i de tysktalande länderna och Nederländerna. Vissa domstolar verkar hoppas att EU-domstolen kommer att begränsa GDPR. Många domar tolkas som om domarna vill göra det rätta när de lägger till dessa hinder, när de i själva verket avviker från ett tydligt demokratiskt beslut."

EU-domstolens slutliga beslut i detta mål kommer att meddelas under de närmaste månaderna.