Juridisk analys: Inget ideellt skadestånd för GDPR-överträdelser?

Juridisk analys: Inget ideellt skadestånd för brott mot GDPR (C-300/21)?

Av Max Schrems | Ladda ner PDF-versionen av denna juridiska analys

Den 6 oktober 2022 lämnade generaladvokat Sánchez-Bordona sitt förslag till avgörande i EU-domstolens mål C-300/21 (UI mot Österreichische Post AG), den första av flera begäran om förhandsavgörande i frågan om skadestånd för brott mot dataskyddsförordningen som är under behandling i EU-domstolen.

Relevant material:

• Begäran om förhandsavgörande från Österrikes högsta domstol (på tyska)
• Österrikes högsta domstols slutliga dom avseende övriga yrkanden (på tyska)
• Inlagakärandens inlaga till EU-domstolen (på tyska)*
• Yttrande från generaladvokaten i mål C-300/21

Bakgrundsmaterial:

• noyb Uppdatering "Alarmerande: EU-domstolen kan komma att kraftigt begränsa tillämpningen av EU:s integritetsskydd"
• "Grump GDPR" Podcast med Max Schrems om detta yttrande (på transistor.fm)

(A) Fakta: käranden olagligt märkt som sannolikt högerpopulistisk anhängare

Det österrikiska postverket (Österreichische Post AG) hade samlat insamlat in personuppgifter om miljontals österrikare (namn, adress och födelsedatum) och använt en algoritm för att beräkna (baserat på statistiska uppgifter) den till olika politiska partier i syfte att sälja detta resultat till valreklam.

Käranden (en österrikisk advokat) fick via en åtkomstbegäran vetaatt han förmodligen hade en hög affinitet för det högerorienterade österrikiska frihetspartiet (FPÖ). Eftersom käranden had skrivit in sina uppgifter i a svart lista för utskick ("Robinsonliste") uppgav posttjänsten att klagandenpersonuppgifter inte såldes till någon.

Målsäganden var inte den enda som tyckte att denna typ av politisk tillskrivning var upprörande. I en rad liknande fall har tden österrikiska dataskyddsmyndighetenrity och Högsta domstolen ansett att behandlingen av politiska tillhörigheter kräver en rättslig grund enligt Artikel 9 i GDPR. Eftersom Postverket insisterade på att få behandla uppgifterna med stöd av berättigat intresse enligt artikel 6.1 f, hade myndigheten och domstolarna och beviljade föreläggandes. I den klagandes fallbekräftade Österrikes högsta domstol (OGH) föreläggandet. Käranden, som aldrig hade aldrig hade gett sitt samtycke till databehandlingen, hade också begärt ersättning från postverket: Han hävdade att han upprörd, arg och kränkt av denna felaktiga politiska han hävdade att han var upprörd, arg och förolämpad av denna felaktiga politiska tillskrivning, att den var förolämpande och skamlig samt att den var mycket skadlig för hans rykte och begärde ersättning på 1 000 euro för denna ideella skada.

Domstolen i första och andradomstol i andra instans avvisade skadeståndsyrkandet med motiveringen att kärandenklagandens obehag och obehagskänslor låg under en viss tröskel som krävdes för att berättiga honom till ersättning. Österrikes högsta domstol (OGH) hänsköt målet till EU-domstolen, men biföll kärandens talan i övrigt.

(B) De hänskjutna frågorna: Behovet av en skada, effektivitet och adekvans samt ett ytterligare tröskelvärde

Den österrikiska OGH ställde tre frågor till EU-domstolen:

1. Är det möjligt att för att ersättning ska kunna utgå enligt artikel 82 i dataskyddsförordningen krävs det, förutom att bestämmelserna i dataskyddsförordningen har överträtts, även att sökanden har lidit skada, eller är överträdelsen av bestämmelserna i dataskyddsförordningen i sig tillräcklig för att ersättning ska kunna utgå?
2. Är bedömningen av ersättningen beroende av ytterligare EU-rättsliga krav utöver principerna om effektivitet och likvärdighet?
3. Är det förenligt med unionsrätten att anse att ersättning för ideell skada förutsätter att det finns en följd av överträdelsen som åtminstone är av viss betydelse och som går utöver den olägenhet som överträdelsen har medfört?

(C) Generaladvokatens förslag till avgörande

1. EU-rätt eller nationell rätt?

Innan artikel 82 i GDPR analyseras förefaller det nödvändigt att först fastställa om denna bestämmelse harmoniserar frågan om skadestånd eller om den överlåter denna fråga, eller detaljerna i frågan, till medlemsstaternas nationella rätt.

1.1 Skadestånd enligt artikel 79 i dataskyddsförordningen

AG:s yttrande påpekar med rätta att artikel 79 i dataskyddsförordningen kanför andra former av gottgörelse (såsom fastställelsetalan, nominella skadestånd eller anspråk på olaglig vinst) enligt tillämplig nationell lagstiftning (marginalnummer 92), är dessa anspråk strukturellt skilda från skadestånd och regleras uppenbarligen inte av artikel 82 i GDPR.

Trots dettatrots detta pekar AG:s yttrande upprepade gånger på något annat verkställighetsalternativ än det som EU-domstolen tillfrågades om - artikel 82 i GDPR. Särskilt för en läsare från ett land med lagstadgad rätt som inte förutser många av dessa tillvägagångssätt är idéerna i AG:s yttrande till stor del pekar på icke-existerande eller omöjliga alternativ. Till exempel är nominella skadestånd inte kända i Österrike och möjligheterna att erhålla deklaratorisk lättnad är vanligtvis processuellt begränsade, för att säkerställa att domstolarna inte besväras av tvister som inte har något väsentligt syfte.

Så i stället för att peka på hypotetiska alternativhåller vi oss till det som den hänskjutande domstolen var intresserad av och som käranden i vårt mål har yrkat på: ideellt skadestånd enligt artikel 82 i dataskyddsförordningen.

1.2 Harmoniserar artikel 82 i dataskyddsförordningen (fullt ut) lagstiftningen eller inte?

För mig är en av kärnfrågorna i denna referens är frågan om harmonisering. Är artikel 82 i GDPR en öppningsklausul som endast föreskriver minimikrav för nationell lagstiftning om skadestånd men lämnar detaljerna till den nationella lagstiftaren eller harmoniserar den fullt ut lagstiftningen på EU-nivå?

Det verkar som om AG:s yttrande intar öppet motstridiga ståndpunkter i denna kärnfråga.

När man diskuterareffektivitet och adekvans (se nedan) diskuterar AG (se nedan) avvisar AG:s yttrande frågans narrativ och framhåller att artikel 82 i GDPR skulle harmonisera frågan, så att frågan om den nationella lagstiftningens effektivitet och lämplighet inte skulle uppstå (punkterna 84 och 85).

Vid samma tidpunkt, (marginalnr.111 eller 116 tydligt att medlemsstaterna kan ha en minimitröskel för anspråk, vilket innebär att det finns utrymme för nationella begränsningar.

Oavsett vad som är den korrekta uppfattningen verkar AG:s yttrande växla mellan dessa två alternativ - ibland till och med stycke för stycke. Sammantaget verkar det som om AG:s yttrande snarare följer konceptet med minimiharmonisering.

Även om det verkar tydligt att vissa frågor (t.ex. processuella element eller den nationella preskriptionstiden) regleras av medlemsstaten, verkar det inte finnas något förslag i artikel 82 i GDPR och ingen inledande klausul i GDPR som skulle antyda alternativ för nationella avvikelser. Faktum är att artikel 82.2-82.6 i GDPR också fastställer ett ganska detaljerat skadeståndssystem, inklusive regler som kritiserades för att till och med strida mot befintlig nationell skadeståndsrätt.

Förutom den ganska detaljerade ordalydelsen finns det olika kriterier för att utdöma skadeståndför brott mot GDPR i olika medlemsstater skulle undergräva avsikterna med GDPR som förordning och skapa förutsättningar för forum shopping (eftersom artikel 79 i GDPR och Bryssel II-förordningen tillåter en mängd möjliga civilrättsliga domstolar med jurisdiktion).

Medan EU-domstolen kommer att behöva göra en slutlig bedömning av harmoniseringsnivån, skulle jag för denna artikels skull anta att artikel 82 i GDPR fullt ut harmoniserar skadeståndsreglerna och att endast marginella frågor (t.ex. preskriptionstiden) lämnas till medlemsstaterna.

1.3 Principen om likvärdighet och effektivitet, om artikel 82 i dataskyddsförordningen inte är fullständigt harmoniserad (fråga 2)

Om ni emellertid anser att artikel 82 i GDPR i själva verket inte fullt ut harmoniserar skadestånd, då finns det inget sätt att undvika att hantera de EU-rättsliga principerna om likvärdighet och effektivitet. Detta är särskilt sant om EU-domstolen inte ger någon detaljerad vägledning om bedömningen av immateriell skada (som AG:s yttrande föreslår i marginalenal no. 116 genom att konstatera att denna "svåra uppgiften ankommer på medlemsstaternas domstolar").

Om medlemsstaterna gör det relativt lätt att utkräva ersättning för en typ av ideell skada (enligt nationell rätt), men praktiskt taget omöjligt att utkräva ersättning för en annan typ av skada (enligt EU-rätten), bryter de mot principerna om likvärdighet och effektivitet.

Exempelvis i Österrike wdär denna hänvisning har sitt ursprung) skulle följande frågor om likvärdighet och effektivitet snabbt uppstå iom den österrikiska OGH kan införa tröskelvärden för ideella skador:

• Andra ideella skador (t.ex. brutna ben eller en örfil) kräver inte att käranden gråter i vittnesbåset, men domstolarna har utvecklat tabeller som baseras på en genomsnittlig persons lidande ("objektiv måttfigur"). Förutom att göra tvister enklare och mer förutsägbarasäkerställer detta att en särskilt dramatisk kärande får samma skadestånd som ett tufft offer. Liknande tillvägagångssätt har rapporterats från andra medlemsstater. Att inte följa ett sådant objektivt tillvägagångssätt (som föreslås i den rådgivande gruppens yttrande) skulle minska rättssäkerheten och göra det svårare att genomdriva GDPR-krav än än krav enligt nationell lagstiftning, och därmed potentiellt bryta mot likvärdighetsprincipen.
• Samtidigt skulle § 1328a ABGB (österrikiska civillagen) ett tröskelvärde för "betydande" kränkningar av rätten till privatliv för att få ideellt skadestånd. Detta tröskelvärde är endast känt för kränkningar av privatlivet. Om detta tröskelvärde tillämpas på GDPR-krav skulle det göra dem mindre effektiva än andra krav på ideella skadestånd.

Detta är bara två små exempel för en medlemsstat, men om alla 30 EU/EES-medlemsstater får bestämma tröskelvärden och detaljer för hur de ska bedöma rätten till kompensation och hur man beräkna skadestånd enligt artikel 82 GDPR, verkar det som att traditionella EU-rättsliga principer som likvärdighet och effektivitet skulle spela en viktig roll för att få en någorlunda konsekvent rättspraxis. Annars skulle nationell lagstiftning och rättspraxis kunna diskriminera GDPR-krav genom att t.ex. kräva individuella (mycket) subjektiva vittnesmål, medan man använder en objektiv beräkning i andra immateriella skadestånd.

Det är därför förvånande att AG:s yttrande anger att "det inte förefaller som om likvärdighetsprincipen spelar någon viktig roll här" (marginellt nej. 84) och inte ens föreslår ett svar på den österrikiska OGH:s andra fråga.

2. Skadestånd utan skada? (Fråga 1)

2.1 Icke-frågan: skadestånd utan skadestånd?

Även när den Österrikiska OGH hänsköt detta mål till EU-domstolen var det oklart hur en fråga om att utdöma skadestånd utan någon skada hamnade i remissen. Käranden hävdade till och med att frågan inte kunde tas upp till prövning, eftersom han tydligt angett vilka ideella skador han ville ha ersättning för när postverket felaktigt tillskrivittillskrivit honom till det högerextrema FPÖ.

Det verkar som om denna fråga i sig är en del av en viss "omformulering" av frågan från den österrikiska OGH:s sida - som indikeraratt det faktiskt inte finns något skadestånd i detta fall. Genom att flytta målet från faktiska skador (som ilska, ångest, fysisk press eller känslan av att vara utsatt) till inga skador alls får den hänskjutande domstolen yrkandena att framstå som extremt orimliga.

I själva verket är den första frågan en icke-fråga, eftersom målet tydligt har en definierad uppsättning negativa konsekvenser som käranden anser utgör en ideell skada.

2.2 Yttrandet eskalerar frågan mot "straffskadestånd"

AG:s yttrande tar den österrikiska OGH:s fråga ett stort steg längre och omformulerar frågan till ett krav på "straffskadestånd".

Även om sådana idéer förekommer i common law-jurisdiktioner anses de vara oacceptabla i kontinentala jurisdiktioner, såsom Österrike. Följaktligen begärde käranden aldrig att postverket skulle åläggas att betala skadestånd till honom som en straffåtgärd. Jag känner inte heller till någon relevant intressent som skulle kräva straffskadestånd. Inga rättslärda har på allvar läst artikel 82 i GDPR på detta sätt - än mindre någon dom som någonsin har utdömt straffskadestånd i EU.

Detta hindrar inte hindrar inte AG:s yttrande från att bekämpa en icke-fråga från punkterna 30 till 55, när det i själva verket skulle ha varit tillräckligt med två punkter för att säga att det inte finns någon grund för straffskadestånd i artikel 82 i GDPR och att artiklarna 83 och 84 i GDPR uteslutande reglerar sanktioner.

3. Skadeståndspresumtion och "förlust av kontroll"?

I punkterna 56-82 utvecklar AG:s yttrande ett argument om en möjlig presumtion för skadestånd och kopplar samman detta ämne med begreppet "förlust av kontroll" i marginalnummer. 75 och 85.

Medan marginal nr. 56 i AG:s yttrande framhäver att AG själv inte är säker på att han fullt ut förstått vad parterna har argumenterat, är följande avsnitt i AG Yttrande verkar svårt att följa och blandar två begrepp - bevisbördan och "förlust av kontroll" - utan någon uppenbar anledning.

3.1 Bevisbördan

Även om det finns en levandelevande debatt om bevisbördan mellan personuppgiftsansvariga och registrerade, eftersom t.ex. artikel 5.2 eller artikel 82.3 i GDPR föreskriver vissa skyldigheter för den personuppgiftsansvarige, anser jag att det inte råder något tvivel om omständigheterna i det hänskjutna målet. Det står klart att postverket har genererat politisk information i strid med artikel 9 i dataskyddsförordningen och att den registrerade har drabbats av olika negativa känslor till följd av detta.

3.2 Omdefinierad "förlust av kontroll" i mixen?

AG:s yttrande tar en annan överraskande vändning när marginalnr. 56 till 82 försöker hantera begreppet "förlust av kontroll" ("Kontrollförlust"), vilket hävdades i kärandens inlaga.

Begreppet är baserat på skäl 85 i GDPR, som handlar om dataintrång:

"En personuppgiftsincident kan, om den inte åtgärdas på ett lämpligtlämpligt sätt och i rätt tid, leda till fysisk, materiell eller fysisk, materiell eller immateriell skada för fysiska personer, t.ex. förlust avkontroll över sina personuppgiftera..."

Hittills har rättssamhället uppfattat "förloradoss av kontroll" som en känsla av att ens personuppgifter är borta och att den registrerade har en känsla av att uppgifterna i allmänhet är "utom kontroll". Det kan handla om situationer som dataintrång, där en tredje part olagligen har fått tillgång till uppgifterna, eller fall där den personuppgiftsansvarige olagligt har använt eller distribuerat personuppgifter. Som framgår av skäl 85 i GDPR, som behandlar personuppgiftsincidenter enligt artiklarna 33 och 34 i GDPR, kan en sådan förlust av kontroll inträffa oavsett vilken rättslig grund enligt artikel 6.1 a-f i GDPR som används. Med med andra ord: uppgifter kan gå förlorade oavsett om behandlingen ursprungligen baserades på samtycke, en rättslig förpliktelse eller ett berättigat intresse. Det finns ingen koppling mellan samtycke enligt artikel 6.1 a i GDPR och förlust av kontroll enligt artiklarna 33 och 34 i GDPR.

I AG:s yttrande kopplas dock begreppet (såvitt jag vet för första gången) till de registrerades rättigheter enligt GDPR i ett försök att motbevisa formuleringen i skälen till GDPR:s skäl. I AG:s yttrande hävdas i princip att eftersom a personuppgiftsansvarig kan behandla personuppgifter utan den registrerades samtycke (marginalnr. 64), har käranden per definition ingen kontroll över sina personuppgifter och kan därför inte förlora dem.

AG:s yttrande ägnar sig åt ytterligare halmgubbekampar, när det t.ex. framhålls i marginalnr. 68 att det inte finns någon "automatisk likvärdighet mellan behandling av personuppgifter för vilka den registrerades samtycke inte har erhållits och skadestånd". Andra punkter är lika kämpande påstådda extrempositioner, såsom att registrerade ska ha "största möjliga kontroll" (marginal nr. 74). Det verkar nästan som om AG tror att den hänskjutande domstolen eller käranden skulle förneka det faktum att artiklarna 6 och 9 i GDPR har olika rättslig grundes (marginalnr. 73) och skulle argumentera för automatiskt skadestånd för behandling utan samtycke.

Efter att ha gått igenom remissen och kärandens inlaga verkar det inte finnas någon grund för ett sådant argument i det underliggande målet eller inlagorna. Istället verkar det som om AG antingen har missförstått hänvisningen och inlagorna, eller faktiskt kämpar mot ett (felaktigt) lekmannapresumtion att samtycke är den enda rättsliga grunden i GDPR.

3.3 Samband med det fria flödet av personuppgifter i unionen?

Marginalnummer 78 82 betonar att det fria flödet av personuppgifter är ett annat syfte med dataskyddsförordningen och att dataskyddsförordningen är avsedd att främja ekonomisk tillväxt. Även om dessa iakttagelser är korrekta kan jag inte se hur detta har något att göra med definitionen av skadestånd i artikel 82 i dataskyddsförordningen:

Det fria flödet av personuppgifter innebär helt enkelt att det inte finns några digitala gränser inom EU/EES, och alla nationella begränsningar av det fria flödet av personuppgifter är förbjudna enligt Artikel 1.3 i GDPR. Detta har dock inget att göra med målet i EU-domstolen, där en lokal personuppgiftsansvarig har brutit mot artikel 9 i dataskyddsförordningen i förhållande till en lokal registrerad och frågan är hur ordet "skadestånd" i artikel 82 i dataskyddsförordningen ska tolkas.

3.4 Punkterna 56-82: politiken kan förbruka den juridiska analysen

Överlag verkar marginalnummer 56-82 tyvärr i stor utsträckning vara frikopplade från frågorna, juridiken och fakta. Det finns inte heller någon fråga om bevisbördan i målet, eftersom de faktiska omständigheterna fastställdes korrekt av den första instansen, och en "förlust av kontroll" har inte heller något att göra med samtycke som rättslig grund. Det fria flödet av personuppgifter är obestritt och helt irrelevant i ett rent nationellt mål.

Det är i dessa avsnitt av AG:s yttrande som läsaren får intrycket att AG verkar vara mer bekymrad över att GDPR generellt sett går för långt än över den korrekta tolkningen av artikel 82 GDPR. Sådana avsnitt ger också en bild som kan förklara varför andra delar av AG:s yttrande ofta är avskilda från frågorna och fakta i målet och huvudsakligen verkar vara inriktade på att begränsa dataskyddsförordningen utöver vad texten eller vanliga former av rättslig tolkning skulle ge vid handen.

4. Definition av immateriell skada (fråga 3)

I den dagliga tillämpningen förefaller fråga 3 i hänvisningen om "tröskelvärdet" för ideella skador vara den mest relevanta.

4.1. Inga positiva definitioner i AG:s yttrande

Såvitt jag kan se misslyckas AG:s yttrande med att definiera vad en överträdelse av rätten till dataskydd i sig skulle kunna vara. AG:s yttrande lyfter konsekvent fram vad som inte omfattas av artikel 82 i GDPR (t.ex. straffskadestånd, att enbart vara upprörd över överträdelsen eller förlusten av kontroll), men det verkar inte finnas något omnämnande av vad som skulle kunna vara en immateriell skada.

Detta är en mycket vanlig fråga i diskussionerna kring artikel 82 i GDPR. Advokater känner till skadestånd som kan beräknas. Det finns vissa traditionella ideella skadestånd, som kränkning av rätten till kroppslig integritet, men ideella skadestånd för kränkning av grundläggande rättigheter? Det är nytt.

4.2. Är kränkning av andra rättigheter nödvändig?

En vanlig instinkt hos jurister är att anta att det måste finnas någon traditionell immateriell skada för att utlösa artikel 82 i GDPR - som en psykologisk skada eller lidande som motsvarar ett psykiskt hälsoproblem.

Detta skulle dock inte kräva en ny bestämmelse i artikel 82 i GDPR som reglerar skadestånd enligt artikel 8 i CFR, och inte heller ett avsiktligt tillägg av "immateriella" skadestånd av Europaparlamentet under GDPR-förhandlingarna: Enligt artikel 3 CFR och olika nationella bestämmelser har var och en rätt till respekt för sin fysiska och psykiska integritet. Om endast GDPR-överträdelser som innebär allvarlig känslomässig stress eller psykiska sjukdomar och därför skadar en persons psykiska integritet skulle ge rätt till immateriella skadestånd för GDPR-överträdelser, skulle det inte finnas något behov av artikel 82 i GDPR. En sådan snäv syn skulle göra artikel 82 i dataskyddsförordningen till en överflödig bestämmelse, eftersom dessa rättigheter redan är skyddade.

Det finns ingen grund som skulle stödja uppfattningen att artikel 82 i dataskyddsförordningen i själva verket endast återger befintliga skydd. Tanken att en registrerad skulle behöva visa någon form av traditionellt skyddad skada, utöver kränkningen av rätten till dataskydd, är helt enkelt att förringa varje kränkning av en grundläggande rättighet, med följden att typiska kränkningar av en sådan rättighet inte kommer att få den kompensation som den europeiska lagstiftaren har planerat.

4.3. Kränkning av rätten till dataskydd (artikel 8 i den franska konventionen om skydd för privatlivet)

Rätten till skydd av personuppgifter är en grundläggande rättighet enligt artikel 8 CFR. Den skyddar en (ofta vag) känsla av att inte vara övervakad och av frihet. Precis som ett brutet ben är det svårt att mäta frihet i euro, men i artikel 82 i GDPR föreskrivs just detta: ersättning för den skada som orsakats av olaglig behandling av personuppgifter.

Detta är något helt nytt, eftersom andra grundläggande rättigheter som mötesfrihet, yttrandefrihet eller rösträtt normalt sett inte åtföljs av ideella skadestånd om människors rätt att demonstrera eller rösta kränks på ett olagligt sätt. Det är förståeligt att begreppet artikel 82 i GDPR därför är ett stort steg för många advokater som inte regelbundet arbetar med GDPR. Det måste dock understrykas att vi redan skyddar mycket liknande känslor, skador och lidande i medierätten, traditionella skydd för rätten till privatliv och liknande. Begreppen från dessa rättsområden kan tillämpas på samma sätt här. Några exempel:

• Även om det naturligtvis är svårt att förklara exakt vad som skadar din rätt till integritet eller dataskydd, är de flesta överens om att de hellre vill bli bestulna på sin smartphone för 500 euro än att få alla sina privata textmeddelanden publicerade på nätet (förutsatt att alla har några konfidentiella meddelanden som kan skada vänskap eller karriär).
• På samma sätt är det många som håller med om att det är minst lika störande att bli kallad "nazist" på allmän plats eller att hamna på en marknadsföringslista över potentiella väljare till ett extremistparti som man i grunden inte håller med om. Att kalla någon för "nazist" leder vanligtvis till att man hamnar i konflikt med förtalslagar och utlöser ideella skadestånd, men AG:s yttrande verkar dock ha en begränsad förståelse för skadestånd om en person olagligen sätts upp på en lista över väljare till ett högerpopulistiskt parti med liknande historiska rötter. Med tanke på att en lista över det österrikiska postverket till och med hade utseendet av en faktabedömning (som tillskrev en hög affinitet till ett högerpopulistiskt parti) undrar jag om många människor kanske inte ens ser detta som mer skadligt.
• Den känslomässiga påfrestningen kan ofta bli ännu större om det ännu inte finns någon tydlig konsekvens, men en ständig känsla av att det kan bli en konsekvens. EU-domstolen har redan belyst detta i C-293/12 och C-594/12, marginalnummer 25 och 37, när den slog fast att lagring av metadata om kommunikation kan leda till självcensur och därmed begränsa yttrandefriheten. Det faktum att känsliga uppgifter helt enkelt "försvinner" kan också leda till oro: innan dina personliga textmeddelanden från det föregående exemplet läggs ut på nätet kan de mycket väl bara delas eller gå förlorade - utan någon klarhet om och var de kommer att dyka upp. Det är detta som avses i skäl 85 i GDPR med "förlust av kontroll".
• På liknande sätt tycker personer som felaktigt anses ha dålig kreditvärdighet att det är förödmjukande att bli nekade till och med det mest grundläggande mobiltelefonabonnemanget. I ett samhälle med fri marknad leder en svart lista (vanligtvis en central lista) till att människor fjärmas från vårt samhälle. De flesta skulle förmodligen betala en ansenlig summa pengar för att komma ur denna pinsamma situation, vilket till och med lett till en ökning av "kredithanteringstjänster", till exempel i USA.

Dessa exempel kan kanske visa att även om det finns en ny typ av immateriell skada enligt artikel 82 i GDPR, liknar de typiska skador som en registrerad kan drabbas av skador som vi har accepterat som ersättningsgilla under lång tid - eller är typer av pinsamheter eller skador som vi alla kan relatera till.

Alla rimliga jurister kommer att acceptera att sådana ersättningar bör vara proportionerliga och vanligtvis inte överstiga ett par hundra euro. Men att tilldela (ofta falska) politiska åsikter till miljontals människor och sälja dessa uppgifter i åratal, som i det refererade fallet, kan knappast avfärdas som harmlöst - särskilt inte efter erfarenheterna från Cambridge Analytica.

Skador på rätten till dataskydd innebär inte heller att det finns "automatiska" skador (se marginalnummer 29), eftersom en registrerad faktiskt kanske inte störs av viss olaglig behandling eller kanske till och med välkomnar den. Många tekniska GDPR-överträdelser kanske inte heller ens berör den registrerade. Till exempel kommer avsaknaden av ett dataskyddsombud eller ofullständigt internt pappersarbete vanligtvis inte att direkt kränka den registrerades rättigheter. Men om en registrerad person är förståeligt upprörd över olaglig behandling av personuppgifter eller ett dataintrång som kunde ha undvikits finns det vanligtvis någon form av skada för den registrerade.

EU-domstolen har en komplex roll när det gäller att utveckla parametrarna för ideella skadestånd vid överträdelser av GDPR, och alltid ha i åtanke att de ska vara jämförbara med andra materiella och ideella skador. Detta kommer att kräva flera domar från EU-domstolen. Samtidigt skulle jag vilja hävda att det principiella beslutet att den grundläggande rätten till dataskydd enligt artikel 8 i dataskyddsförordningen och dataskyddsförordningen ska innefatta en möjlighet till ersättning för immateriella skador fattades av lagstiftaren när "materiell och immateriell" lades till i artikel 82.1 i dataskyddsförordningen.

4.4. Lägga till ett "tröskelvärde" i artikel 82 i dataskyddsförordningen?

Den hänskjutande domstolen har i huvudsak begärt att EU-domstolen ska lägga till ytterligare ett (oskrivet) rekvisit i artikel 82 i dataskyddsförordningen när det gäller ideella skador: ett "tröskelvärdeav mindre betydelse ".

4.4.1. Ordalydelsen i artikel 82 i GDPR

Medan AG:s yttrande använder sig av en bokstavlig tolkning när den besvarar fråga 1 i begäran om förhandsavgörande saknas denna standardform för juridiska tolkningar när det gäller den tredje frågan.

Faktum är att artikel 82 inte innehåller något ord som skulle kunna utgöra grunden för en sådan ytterligare tröskel. Det är uppenbart att lagstiftaren har valt att inte lägga till ett sådant element. Detta är också den tydliga uppfattningen hos två av de viktigaste förhandlarna av GDPR (se Jan Philipp Albrecht, Das neue Datenschutzrecht der EU, s. 121, Paul Nemitz i Ehmann/Selmayr, DSGVO (3. Auflage), Art. 82, Rn 13), som båda framhåller att det tyska begreppet "de minimis-tröskel " har åsidosatts, vilket också påpekades i kärandens inlagor (se 4.1.3 i inlagorna).

Förutom att det inte finns någon formulering som skulle kunna tolkas som ett tröskelvärde i artikel 82 i GDPR anges det tydligt i det relevanta skäl 146 att "begreppet skada bör tolkas brett" och att "registrerade bör få full och effektiv kompensation". Lagstiftaren har därför tydligt pekat på en bred tolkning och inte på en inskränkning av ordalydelsen. AG:s yttrande nämner dessa skäl, men följer inte deras vägledning.

I vissa akademiska skrifter åberopas skälen 75 och 85 för att argumentera för ett tröskelvärde. Som AG:s yttrande korrekt påpekar i marginalnummer 98 och 99 rör dessa skäl andra delar av dataskyddsförordningen och utgör inte en grund för att begränsa artikel 82 i dataskyddsförordningen.

4.4.2. Tröskelvärden i andra EU-lagar

Även om artikel 82 i dataskyddsförordningen och det relevanta skälet 146 inte innehåller någon indikation på att det bör finnas ett tröskelvärde, innehåller liknande lagar sådana formuleringar. I skäl 34 i paketresedirektivet (EU) 2015/230 föreskrivs t.ex. ideellt skadestånd endast för "väsentliga" problem. Domstolarna har hittills godtagit även icke-fungerande luftkonditionering eller avsaknad av sand på en strand som en "väsentlig" ideell skada. Det är svårt att se hur de flesta större GDPR-överträdelser skulle vara mindre "väsentliga" än en icke-fungerande luftkonditionering.

I stället för att dra slutsatsen att det finns tydliga tröskelvärden i andra EU-lagar och att avsaknaden av en sådan formulering i GDPR skulle tyda på att ett sådant tröskelvärde inte förutses, pekar AG:s yttrande på förordning (EG) nr 261/2004, som föreskriver skadestånd i form av en klumpsumma för försenade flygningar och drar slutsatsen att lagstiftaren inte ville ha "automatiska kompensationer" eftersom sådana bestämmelser saknas i GDPR (se marginalnummer 60).

Jag tvivlar på att en övergång till lagstadgade (tvivelaktiga) schablonmässiga skadestånd är det enda sätt på vilket den europeiska lagstiftaren kan säkerställa att mindre eller genomsnittliga immateriella skadestånd faktiskt verkställs, men det verkar som om AG:s yttrande skulle kräva sådana bestämmelser i framtiden.

4.4.3. Källan till "tröskelvärdet": Österrike och Tyskland?

När man argumenterar för att ett sådant tröskelvärde bör införas hänvisar punkt 111 i AG:s yttrande till italiensk, tysk och österrikisk rättspraxis i fotnot 82 - inte GDPR, EU:s rättspraxis eller andra EU-principer.

Även om jag inte kunde undersöka det citerade italienska fallet, är ironin i åtminstone de tyska och österrikiska domarna att dessa fall bygger på nationella rättsuppfattningar före GDPR. I Tyskland fanns det en "tröskel" som grundade sig på rätten till privatliv i den tyska författningen ("Allgemeines Persönlichkeitsrecht" eller "APR"). I Österrike finns en uttrycklig tröskel i § 1328a ABGB för en kränkning av rätten till privatliv enligt nationell lag. De nationella domstolarna följde denna tradition och bortsåg från att artikel 82 i GDPR hade företräde.

Samspelet mellan de nationella domstolarna och AG:s yttrande skapar därför en sluten cirkel, när domstolar i Österrike och Tyskland frågar om EU-rätten ska tolkas på samma sätt som de hittills tolkat nationell rätt och AG svarar att det bör finnas en tröskel enligt EU-rätten, eftersom dessa domstolar tidigare hade en sådan tröskel i sin nationella rätt.

Detta synsätt förefaller stå i strid med en självständig tolkning av EU-rätten.

I själva verket är situationen ännu mer komplicerad, eftersom inte ens de tyska och österrikiska domstolarna har en enhetlig ståndpunkt (se t .ex . arbetsdomstolen i Düsseldorf, 9 Ca 6557/18 eller Österrikes högsta domstol 6 Ob 56/21k). Det är förvånande att AG:s yttrande inte återspeglar denna konflikt i nationell rättspraxis, utan snarare låtsas som om det finns en enhetlig tradition i medlemsstaterna.

4.4.4. Medlemsstaternas domstolar definierar "tröskeln"?

Även om en sådan "de minimis-tröskel " faktiskt hade en rättslig grund, skulle det finnas ett behov av att definiera denna tröskel. Medan marginal nr. 116 i AG:s yttrande accepterar att det finns en hårfin gräns mellan "ren upprördhet" och en verklig ideell skada, lämnas detta avgörande helt och hållet till medlemsstaternas domstolar - utan någon vägledning som skulle möjliggöra ens den minsta harmonisering.

AG:s yttrande tar inte ens tydlig ställning till fakta i det hänskjutna fallet och om detta fall uppfyller den påstådda "de minimis-tröskeln ". Åtminstone verkar fakta gå utöver en "ren upprördhet", men AG:s yttrande betonar i fotnot 86 att "genom attange dessa överväganden föregriper [AG] inte huruvida [kärandens] situation i detta fall föll under den ena eller den andra kategorin". AG:s yttrande verkar anse att det hänskjutna målet ligger för nära "den hårfina gränsen" för att ett avgörande ska kunna fattas - vilket visar hur "de minimis-tröskeln " inte skulle leda till tydliga beslut, utan i stället skulle ge upphov till mer rättsosäkerhet, eftersom en annan faktor skulle diskuteras i domstolar i hela unionen.

Detta tillvägagångssätt skulle göra det möjligt för domare i hela EU/EES att ha sina egna åsikter om ett sådant tröskelvärde och var det ska fastställas, vilket skulle leda till att registrerade och personuppgiftsansvariga inte vet hur de ska tolka yrkanden enligt artikel 82 i GDPR på ett korrekt sätt. I själva verket kommer många domare att finna det mycket lätt att helt enkelt avvisa sådana mål.

4.4.5. Små krav verkställs vanligtvis inte

Ett korrekt fastställande av faktorer för beräkning av skada enligt fråga 2 skulle också innebära att mindre eller genomsnittliga överträdelser skulle leda till ganska låga ersättningsbelopp, vilket borde undanröja eventuella farhågor om att alltför många mål väcks.

Till exempel kan en kort fördröjning av svaret på en begäran om tillgång ses som en liten skada som leder till ett par euro i skadestånd. Men att strukturellt inte ge svar på flera år, där de relevanta personuppgifterna ofta raderas eller skrivs över vid det här laget, kan leda till ett par hundra euro, eftersom det inte verkar finnas någon möjlighet till saklig gottgörelse.

AG verkar erkänna i marginal nr. 114 att mindre överträdelser knappast verkställs, när han säger att sådana tvister är "inte effektiva", men istället för att dra slutsatsen att småkrav inte är en realistisk fråga, verkar det som om AG vänder detta faktum mot att bevilja sådana rättigheter överhuvudtaget.

I detta avseende verkar AG:s yttrande också inkonsekvent såtillvida att bristen på effektiv verkställighet används som ett argument mot mindre ideella skadestånd, men samtidigt pekar på ännu mer triviala anspråk (såsom förklaringar, nominella skadestånd och liknande) som ett alternativ.

Det finns inte heller någon "de minimis"-regel för materiella skador. Käranden kan också väcka talan om en enda stulen euro. Det finns ingen indikation i artikel 82 i GDPR som skulle skilja mellan mindre immateriella och mindre materiella skador.

AG:s yttrande verkar också stå i strid med EU-rättens ansträngningar att förbättra tillgången till rättslig prövning för småmål, när EU antog lagar för att övervinna sådana hinder, som förordningen om ett europeiskt småmålsförfarande (förordning (EG) nr 861/2007) eller det nyligen antagna direktivet om grupptalan (direktiv (EU) 2020/1828).

Precis som med alla andra fordringar är det sällan som käranden driver en tvist om utebliven betalning av mindre belopp eller minimala överträdelser, eftersom kostnaderna och ansträngningarna för att väcka talan helt enkelt inte är värda det (mer om detta i punkt 4.5.). Detta är dock inte ett skäl att uppfinna ytterligare materiella rättsliga hinder för att väcka talan, de befintliga processuella hindren är vanligtvis redan svåra att övervinna.

4.4.6. Sammanfattning om "tröskelvärdet"

AG:s yttrande klargör att bestämmelsens ordalydelse och det relevanta skälet inte föreskriver någon tröskel, men marginalnummer 108-115 leder fortfarande till motsatt slutsats även om de inte lyckas identifiera någon sund rättslig grund för medlemsstaternas domstolar att lägga till en " de minimis-tröskel " i artikel 82.1 i GDPR.

Utöver andra rättsliga osäkerheter skulle en framtida kärande behöva oroa sig för om hans eller hennes GDPR-krav skulle anses vara tillräckligt "väsentligt" av en domare för att bevilja någon ersättning, eftersom AG:s yttrande inte ens tar ställning till det hänvisade målet.

Sammantaget verkar det som om de tyska och österrikiska domstolarna kan lyckas med att återinföra gamla tyska begränsningar av rätten till dataskydd i EU-domstolens rättspraxis, även om de var avsedda att åsidosättas av den europeiska lagstiftaren.

4.5. Antydningar om alternativ till skadestånd

AG:s yttrande bygger i hög grad på tanken att det finns många andra vägar för en registrerad som bör väljas i stället för att kräva ersättning för immateriella skador.

Som en allmän observation måste det framhållas att en registrerad i allmänhet har rätt att välja det eller de rättsliga anspråk som han eller hon finner mest givande eller lovande. Det finns ingen "hierarki" mellan ett klagomål enligt artikel 77 och en civilrättslig tvist enligt artikel 79 i dataskyddsförordningen. På samma sätt möjliggör artikel 79 i dataskyddsförordningen alla former av civilrättsliga anspråk. Beroende på fallet kan det finnas goda skäl att t.ex. begära förelägganden mot framtida olaglig behandling och ersättning för tidigare överträdelser. Det är upp till käranden att välja vilka yrkanden som han eller hon anser bäst kan avhjälpa situationen.

Även om AG:s yttrande pekar på många alternativ kan de ofta inte ersätta immateriella skador. Som exempel kan nämnas följande:

• Många dataskyddsmyndigheter (DPA) har redan förklarat att registrerade inte har någon subjektiv rätt att få sin grundläggande rätt till dataskydd genomdrivet via dataskyddsmyndigheter (t.ex. franska CNIL eller svenska IMY). Andra dataskyddsmyndigheter "avslutar" helt enkelt de flesta ärenden utan att vidta några verkställighetsåtgärder (t.ex. den irländska dataskyddsmyndigheten) eller underlåter att fatta beslut om GDPR-klagomål inom rimlig tid (t.ex. den österrikiska dataskyddsmyndigheten, som tar flera år på sig i stället för den lagstadgade tidsgränsen på sex månader). I många fall har dataskyddsmyndigheterna till och med föreslagit att de registrerade ska vända sig till civil domstol om de vill att deras rättigheter enligt dataskyddsförordningen ska upprätthållas. Det är därför verklighetsfrämmande när AG i sitt yttrande hävdar att civilrättslig verkställighet kan "beröva" dataskyddsmyndigheterna fler klagomål och relevant information (marginalnummer 50). Jämfört med verkligheten på fältet framstår sådana uttalanden helt enkelt som cyniska.
• När AG Opinion föreslår att civilrättsliga domstolar endast ska "erkänna" överträdelser för att ge "moralisk tillfredsställelse" (marginal nr 89), undrar läsaren om ett "erkännande" till denna prislapp skulle leda till någon tillfredsställelse, eller snarare bara (ekonomiskt) göra en registrerad till offer en andra gång. Man måste komma ihåg att civilrättsliga tvister är förenade med en betydande kostnadsrisk. Även om ett sådant erkännande skulle vara rättsligt möjligt (t.ex. i Österrike är fastställelsetalan processuellt begränsad) skulle det sannolikt få många domare att fråga sig varför de ska engagera sig i ett mycket komplext GDPR-mål bara för att utfärda en dom som "erkänner" en överträdelse.
• På samma sätt har förelägganden ofta begränsad användning, särskilt när det gäller tidigare överträdelser. I det aktuella fallet kan postverket inte "ta bort" målsägandens politiska tillhörighet för de senaste åren. Ofta kan personuppgifter inte heller återkallas när de väl har publicerats eller sålts, och konsekvenserna av ett dataintrång kan inte heller helt enkelt göras ogjorda. På samma sätt verkar det omöjligt att retroaktivt få en kopia av personuppgifter som kanske inte ens existerar längre, om en personuppgiftsansvarig inte uppfyller rätten till tillgång inom den fastställda tidsfristen, när en civil domstol har prövat och avgjort ett mål.
• Även om det är intressant att nämna olagliga vinster är verkligheten den att dessa vinster ofta är mycket svåra att beräkna och knappast heller är värda någon rättstvist - mycket mindre än till och med de mest minimala ideella skadorna.
• Jag blev också förvånad över att AG betonar att möjligheten att företrädas av icke-statliga organisationer enligt artikel 80 i GDPR gör skyddet av allmänna intressen mer lättillgängligt för enskilda och använder detta som ett argument mot ideella skadestånd (marginal nr 41). Faktum är att noyb är den enda icke-statliga organisationen i Europa som är specialiserad på GDPR-tvister enligt artikel 80 i GDPR och vår årliga budget skulle i bästa fall göra det möjligt att föra fem till tio civilrättsliga mål per år - för hela Europeiska ekonomiska samarbetsområdet.

Sammanfattningsvis är dessa antydningar och idéer i AG:s yttrande delvis intressanta, men de utgör i stort sett inte något relevant alternativ. Dataskyddsförordningen tillåter också uttryckligen parallell verkställighet via dataskyddsmyndigheterna eller civilrättssystemet. Det är synd och skam att dataskyddsmyndigheter och civilrättsliga domstolar regelbundet pekar på varandra när registrerade personer söker upprättelse. I praktiken är det uppenbart att GDPR-anspråk alltför ofta möts av ett "inte på mitt bord"-svar. Vi har uppenbarligen inte problemet med för många effektiva instrument för att genomdriva GDPR, men vi har faktiskt ingen effektiv väg just nu.

Även om de verkställighetsalternativ som AG nämner faktiskt skulle fungera smidigt i praktiken (vilket de inte gör) kan de uppenbarligen inte ersätta behovet av ersättning enligt artikel 82 i GDPR.

4.6. Följer EU USA:s modell för avslag?

För alla som arbetar med integritetsfrågor påminner AG:s yttrande om det tillvägagångssätt som nu dominerar i amerikanska domstolar. Eftersom amerikanska domstolar vanligtvis inte ser någon "skada" i en kränkning av den personliga integriteten, avvisas de flesta fall redan från början, även om lagen har överträtts.

Domstolarna har ett starkt incitament att följa sådan rättspraxis och utvidga den ytterligare och ytterligare, eftersom det gör det möjligt för domare att avvisa komplicerade och ofta ganska politiska mål med liten ansträngning. Denna dynamik leder till att integritetslagar nästan inte kan genomdrivas i civilrättsliga domstolar, eftersom inte ens de mest aggressiva överträdelserna leder till någon "skada" i amerikanska domares ögon.

4.7. Kriterier för bedömning av immateriella skador

AG:s yttrande besvarade inte heller frågan om ytterligare EU-rättsliga krav för att bedöma ersättningen. Om AG:s yttrande verkligen hade behandlat den andra frågan skulle det ha föreslagit möjliga objektiva kriterier enligt GDPR för bedömningen av ersättningen, vilka skulle kunna användas av de nationella domstolarna för att avgöra om den registrerade har lidit en faktisk ideell skada och även för att fastställa beloppet för berättigade skadestånd. Enligt min mening skulle sådana kriterier kunna innehålla följande

• Typen av olaglig behandling eller annat beteende som leder till en överträdelse (t.ex. spårning, profilering, utlämnande till tredje part, överföring till tredje land, personuppgiftsincidenter, ignorerade ansökningar enligt kapitel III i GDPR)
• Ändamålet med behandlingen (låg ändamålet även i den registrerades intresse? Var behandlingen huvudsakligen avsedd för kommersiell vinning? Förekom ond tro?)
• Kategorin av behandlade uppgifter (en överträdelse av GDPR avseende uppgifter enligt artikel 9 eller 10 i GDPR väger vanligtvis tyngre än en överträdelse avseende "icke-känsliga" uppgifter. I det aktuella fallet betraktades den tillskrivna politiska affiniteten som uppgifter enligt artikel 9 i GDPR, något som AG inte noterade)
• Överträdelsens omfattning och tidpunkt (ett svar på en begäran om att lämna ut uppgifter två dagar efter utgången av tidsfristen enligt artikel 12.1 i GDPR kanske inte ger den registrerade rätt till skadestånd, men en försening på två veckor eller månader kan ge rätt till skadestånd)

Sådana kriterier skulle hjälpa de nationella domstolarna att fastställa en rimlig och harmonisk rättspraxis. I själva verket kommer det (som med annan lagstiftning) att ta några år och mer rättspraxis för att komma fram till ett konsekvent system för skadestånd, precis som ersättning på andra områden.

Avgörande är att jämförelsevis obetydliga ideella skador endast skulle berättiga till låg ersättning. Detta är viktigt att betona, eftersom det verkar finnas en rädsla för att skadestånd för immateriella skador skulle leda till att registrerade personer väcker talan om obetydliga överträdelser av GDPR. Erfarenheterna visar att denna rädsla är helt ogrundad. De höga kostnaderna för civilrättsliga tvister hindrar vanligen de drabbade från att ta upp annat än allvarliga fall i domstol. I verkligheten väcker människor inte talan om skadestånd på 50 euro, oavsett vilket rättsområde det rör sig om.

4.8. Sammanfattning av immateriella skador

Sammanfattningsvis ger AG:s yttrande inga svar på tolkningen av artikel 82 i GDPR. Yttrandet tar uttryckligen inte ens slutlig ställning till om käranden i målet vid EU-domstolen har rätt till ideellt skadestånd.

AG:s yttrande missar inte bara möjligheten att ge viss vägledning om artikel 82 i GDPR under den andra frågan från den hänskjutande domstolen, utan avvisar istället till och med tanken att EU:s principer om effektivitet och likvärdighet skulle spela en roll om medlemsstaterna kan definiera ideella skador ytterligare enligt GDPR.

Det är särskilt problematiskt att det tyska begreppet "de minimis-tröskel " potentiellt införs enligt artikel 82 i dataskyddsförordningen, även om lagen inte föreskriver en sådan tröskel.

(D) Personliga kommentarer

Medan EU-domstolens domar om GDPR hittills har följt en strikt linje av principer, argument och tolkningslinjer, verkar AG:s yttrande i C-300/21 i stor utsträckning avvika från en akademisk eller rent juridisk tolkning av GDPR.

Sedan dataskyddsförordningen trädde i kraft 2018 har vi sett många domstolsbeslut som försöker "tämja" dataskyddsförordningen. Denna trend verkar knappast vara baserad på faktisk strikt efterlevnad, misstag från lagstiftarens sida eller alltför långtgående bestämmelser - utan på omfattande protester från branschen och kommersiella metoder (såsom avsiktligt förvirrande och frustrerande "cookie banners") som skapat en problematisk uppfattning om GDPR hos allmänheten. När man läser vissa avsnitt i AG:s yttrande är det svårt att bortse från att branschens ständiga budskap om att GDPR "går för långt" tyvärr bidrog till resultatet i detta yttrande.

Denna PR-insats måste ställas i kontrast till det faktum att Europaparlamentet har antagit GDPR med 621 röster för, 22 nedlagda röster och 10 röster emot denna pelare i EU:s integritetsrättigheter. På samma sätt har endast en medlemsstat röstat emot GDPR - Österrike ansåg att skyddsnivån var lägre än i den tidigare nationella lagen. Ett av de viktigaste löftena vid den tidpunkten var förbättrad efterlevnad.

Vi kan nu bara hoppas att EU-domstolens domare i sin slutliga dom i C-300/21 fokuserar på vad den hänskjutande domstolen har frågat, vad det underliggande målet faktiskt handlar om och vad lagstiftaren har skrivit i artikel 82 i GDPR. Om bara de etablerade juridiska tolkningsformerna tillämpas konsekvent kan vi hoppas på en dom som klargör tillämpningen av artikel 82 GDPR, istället för att försöka skriva om den.

* Inlagorna har tillhandahållits av käranden, eftersom noyb har stöttat käranden under inlagorna till EU-domstolen på pro bono-basis. Inlagor från andra parter får inte delas enligt EU-domstolens arbetsordning.