Class Actions en Privacy & Data Protection

Het Hof van Justitie van de EU ("HvJEU") heeft onlangs in de Krankenversicherung Nordrhein-zaak een nadere uitleg gegeven van artikel 82 van de Algemene verordening gegevensbescherming ("AVG"). De belangrijkste overwegingen waren als volgt: 

• Artikel 82 AVG heeft geen afschrikkende of punitieve functie, maar uitsluitend een compensatoire functie;
• Schuld is een noodzakelijke voorwaarde voor aansprakelijkheid;
• Vermoed wordt dat sprake is van schuld, tenzij de verwerkingsverantwoordelijke het tegendeel bewijst;
• Artikel 82 AVG vereist niet dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van de omvang van de vergoeding voor immateriële schade.
  
  

Dit arrest kan worden gezien als een vervolg op de beslissing in Österreichische Post (HvJEU 4 mei 2023, zaak C-300/21, ECLI:EU:C:2023:370). In die zaak oordeelde het HvJEU dat een vergoeding van immateriële schade op grond van artikel 82 lid 1 AVG slechts kan worden toegekend indien een betrokkene (i) schade heeft geleden (geen minimumdrempel) die (ii) is veroorzaakt door (iii) een inbreuk op de AVG. Het moet daarbij gaan om een volledige vergoeding van de daadwerkelijk geleden schade en deze vergoeding moet worden vastgesteld volgens het nationale recht van de lidstaten, met inachtneming van de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid. In Krankenversicherung Nordrhein heeft het HvJEU nadere invulling gegeven aan artikel 82 AVG. Het HvJEU heeft ook artikel 6 en artikel 9 lid 2 sub h AVG uitgelegd, maar daarop gaan wij in deze News Update niet verder in.

Ten eerste overwoog het HvJEU dat artikel 82 lid 1 AVG geen afschrikkende of punitieve functie heeft, maar uitsluitend een compensatoire functie. Dit in tegenstelling tot de artikelen 83 en 84 AVG, die toezichthouders de mogelijkheid bieden om administratieve geldboeten en andere sancties op te leggen en wel een punitieve doelstelling hebben. Aangezien artikel 82 AVG alleen een compensatoire functie heeft, kan de ernst van de inbreuk (die een rol kan spelen bij de vaststelling van geldboeten) geen invloed hebben op de omvang van de schadeloosstelling, zelfs niet wanneer het om immateriële schade gaat. Belangrijk is dus dat artikel 82 AVG voorziet in schadeloosstelling waarmee de ten gevolge van de inbreuk werkelijk geleden schade volledig wordt vergoed, maar niet meer dan dat.

Ten tweede oordeelde het HvJEU dat schuld een noodzakelijke voorwaarde is voor de vestiging van aansprakelijkheid ingevolge artikel 82 AVG. Voor dit arrest was niet duidelijk of met de AVG schuldaansprakelijkheid werd beoogd of dat voor aansprakelijkheid slechts aan de drie hiervoor genoemde criteria (inbreuk, schade en causaal verband tussen inbreuk en schade) hoefde te zijn voldaan (zie de contraire conclusie van advocaat-generaal Campos Sánchez-Bordona in deze zaak). Deze onduidelijkheid was het gevolg van de formulering van artikel 82 lid 2 AVG, op grond waarvan elke verwerkingsverantwoordelijke die bij gegevensverwerking is betrokken aansprakelijk is voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op de AVG. Uit een analyse van verschillende taalversies van deze bepaling maakte het HvJEU op dat de verwerkingsverantwoordelijke wordt geacht te hebben deelgenomen aan de verwerking die de betreffende inbreuk op de AVG vormt. Met het oog op deze uitleg en artikel 82 lid 3 AVG (op grond waarvan de verwerkingsverantwoordelijke van aansprakelijkheid wordt vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor het schadeveroorzakende feit) concludeerde het HvJEU dat artikel 82 AVG in schuldaansprakelijkheid voorziet met een omkering van de bewijslast. Het HvJEU merkte op dat deze uitleg ook strookt met de context van artikel 82 en de doelstellingen van de AVG. Voortbouwend op zijn overwegingen ten aanzien van de compensatoire functie van artikel 82 AVG oordeelde het HvJEU dat deze bepaling niet vereist dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van de omvang van de vergoeding voor immateriële schade.

Bewijstechnisch gezien is van belang dat wordt vermoed dat bij de verwerkingsverantwoordelijke sprake is van schuld, tenzij de verwerkingsverantwoordelijke bewijst dat het schadeveroorzakende feit hem niet kan worden toegerekend. Aansprakelijkheid van een verwerkingsverantwoordelijke zou kunnen ontbreken indien een inbreuk op de AVG wordt gepleegd door derden, bijvoorbeeld door cybercriminelen. Het HvJEU heeft in een eerder arrest geoordeeld dat een inbreuk door een derde niet aan de verwerkingsverantwoordelijke kan worden toegerekend tenzij deze die inbreuk mogelijk heeft gemaakt door niet te voldoen aan een verplichting van de AVG. In dat geval kan de verwerkingsverantwoordelijke zich op grond van artikel 82 lid 3 AVG van zijn aansprakelijkheid bevrijden door aan te tonen "dat er geen causaal verband bestaat tussen zijn eventuele niet-nakoming van de verplichting tot gegevensbescherming en de [...] geleden schade" (HvJEU 14 december 2023, zaak C 340/21, ECLI:EU:C:2023:986 (Natsionalna agentsia za prihodite)). Het HvJEU oordeelde in dat arrest ook dat de vrees van een betrokkene voor mogelijk misbruik van zijn persoonsgegevens door derden in de toekomst als gevolg van een inbreuk op de AVG als immateriële schade kan worden beschouwd. Het HvJEU voegde daaraan toe dat de bewijslast op de betrokkene rust en dat de rechter moet "nagaan of deze vrees in de betrokken specifieke omstandigheden en ten aanzien van de betrokkene gegrond kan worden geacht".

Update 25 januari 2024

De hierboven besproken oordelen zijn bevestigd in HvJEU 25 januari 2024, C 687/21, ECLI:EU:C:2024:72 (MediaMarktSaturn Hagen-Iserlohn GmbH). In dat arrest oordeelde het HvJEU bovendien dat in een geval waarin een document met persoonsgegevens is verstrekt aan een onbevoegde derde die aantoonbaar geen kennis heeft genomen van die gegevens, er geen sprake is van 'immateriële schade' in de zin van artikel 82 AVG louter omdat de betrokkene vreest dat er na de verstrekking, die het mogelijk maakte om een kopie van het document te maken voordat het werd teruggestuurd, in de toekomst verdere verspreiding of zelfs misbruik van zijn of haar gegevens zal plaatsvinden.

HvJEU 21 december 2023, zaak C-667/21, ECLI:EU:C:2023:1022 (Medizinischer Dienst der Krankenversicherung Nordrhein)
HvJEU 14 december 2023, zaak C 340/21, ECLI:EU:C:2023:986 (Natsionalna agentsia za prihodite)
Klik hier voor onze News Update over Österreichische Post (HvJEU 4 mei 2023, zaak C-300/21, ECLI:EU:C:2023:370).