noyb välkomnar gårdagens vägledande beslut av den tyska federala domstolen om krav i samband med en dataskyddsincident på Facebook
Upphovsrätt för bilden ovan: Steffen Prößdorf, CC BY-SA 4.0 , via Wikimedia Commons
- Pressmeddelande från BGH (på tyska)
- Video av beslutet (på tyska)
- Rapport från det tyska public service-bolaget ZDF om domen (på tyska)
Uttalande av Max Schrems.
Max Schrems: "Trots tydliga bestämmelser i GDPR och flera avgöranden från EU-domstolen har tyska domstolar regelbundet nekat skadestånd i dataskyddsärenden. Vi är glada över att BGH nu har satt ner foten och anpassat tysk rättspraxis. Den juridiska debatten i Tyskland har hittills dominerats av bolagsjurister och vissa domstolar har låtit sig påverkas av deras grova teorier och snabbt avskrivit svåra GDPR-mål. Som ett resultat av detta har Tyskland blivit ett problem för dataskyddsärenden i hela Europa."
Tyska domstolar och litteratur hittills extremt fientligt inställda till GDPR. I Tyskland har den juridiska litteraturen ett stort inflytande på domstolarna. När det gäller dataskydd finns det dock nästan bara specialistadvokater på företagssidan. Dessutom beställs och bekostas forskning inom området digitala rättigheter i allt högre grad av företag - ofta utan att detta offentliggörs. Mot denna bakgrund har det uppstått en bransch som fortsätter att producera grova teorier om varför GDPR-anspråk ska avvisas eller varför skadestånd för dataskyddsöverträdelser är praktiskt taget obefintliga.
I Tyskland uppfanns t.ex. en "väsentlighetströskel", varefter domstolarna avvisade många skadeståndsärenden enligt GDPR som "oväsentliga". Även österrikiska domstolar har anammat denna teori, trots att dataskyddsförordningen inte ger någon grund för den. Det var först EU-domstolen som satte stopp för detta(C-300/21 Österreichische Post). Trots detta har vissa tyska domstolar upprepade gånger avvisat sådana mål, i strid med EU-domstolens avgörande.
Intrånget i privatlivet är den "primära skadan". Det är ofta svårt att beräkna skadan när rättigheterna inte är direkt "mätbara". På andra områden än dataskydd är detta dock inte något skäl för att inte utdöma skadestånd. Inom medierätten kan t.ex. en förolämpning vara en lika stor "skada" som smärtan av ett brutet ben. På andra områden har domstolarna gradvis kommit fram till vilken ersättning som är lämplig. I vissa EU-länder har detta också lett till att man utvecklat informella "frakturtabeller" för skadeståndsanspråk.
"Sekundära skador" är oberoende av varandra berättigade till ersättning. Skadan på den grundläggande rätten till dataskydd kan också skiljas från "sekundära skador". Man kan t.ex. redan lida av att en sjukdom olagligen offentliggörs. Om man sedan förlorar sitt arbete på grund av offentliggörandet är detta en andra, oberoende sekundär skada - som är berättigad till ersättning separat. Företagsjurister har hittills konsekvent förnekat att den grundläggande rätten till dataskydd i sig är skadan och har fokuserat på (sällsynta och svårbevisade) sekundära skador.
Beslutet i sammandrag: I sitt vägledande beslut igår slog den tyska federala domstolen fast att enbart förlusten av kontroll över de egna personuppgifterna kan utgöra en skada som kan ersättas enligt GDPR, förutsatt att denna skada beror på en överträdelse av GDPR. Därmed följer den tyska högsta domstolen EU-domstolens rättspraxis (se (C-200/23). Ytterligare nackdelar, såsom specifikt missbruk av uppgifterna eller andra negativa konsekvenser, är inte nödvändiga för att tillerkänna registrerade skadestånd enligt GDPR. Även om BGH specifikt behandlade ett dataintrång på Facebook kan uttalandena i domen sannolikt tillämpas på andra scenarier där registrerade olagligen berövas kontrollen över sin integritet.
