Blogpost geschreven met medewerking van Helena Vlegels.
Op 20 juni 2024 heeft het Hof van Justitie van de Europese Unie in twee zaken het recht op schadevergoeding onder Artikel 82 van de Algemene Verordening Gegevensbescherming (AVG) verder geïnterpreteerd. Dat artikel voorziet in de vergoeding van materiële en immateriële schade, geleden door de betrokkene ten gevolge van een inbreuk op de AVG. De aanleiding voor de eerste zaak (C-182/22 en C-189/22) betrof de diefstal van de persoonsgegevens van verzoekers die opgeslagen waren op een handelsapplicatie van verweerder. De tweede zaak (C-590/22) ging over de situatie waarin de persoonsgegevens van verzoekers door een vergissing van verweerder aan derden zijn verstrekt zonder toestemming van de verzoekers.
De nieuwe rechtspraak is een aanvulling op eerdere precedenten van het Hof omtrent deze materie (in het bijzonder C-741/21 en C-300/21). In zaak C-300/21 verduidelijkte het Hof dat voor een recht op schadevergoeding volgens artikel 82, lid 1 AVG drie voorwaarden cumulatief vervuld moeten zijn. Ten eerste moet er sprake zijn van een inbreuk op de AVG, namelijk een verwerking van persoonsgegevens waarbij de bepalingen van de AVG worden miskend. Ten tweede is vereist dat de inbreuk de betrokkene ook daadwerkelijk schade (materieel of immaterieel) heeft berokkend. Tot slot moet het bewijs worden geleverd van een causaal verband tussen schade en inbreuk, wat betekent dat moet bewezen worden dat zonder de inbreuk de schade zich niet zou hebben voorgedaan (C-300/21: para. 32). Een inbreuk op de AVG op zichzelf is dus niet voldoende. De geleden immateriële schade moet volgens het Hof echter geen bepaalde mate van ernst bereiken (C-300/21: para. 51). Het hanteren van een ondergrens voor schade zou namelijk afbreuk doen aan het feit dat “schade” onder de AVG ruim moet worden uitgelegd (C-300/21: para. 46). Zaak C-741/21 verduidelijkt dan weer dat verwerkingsverantwoordelijken aansprakelijk blijven voor de veroorzaakte schade als deze is veroorzaakt door een persoon die onder hun gezag staat (C-741/21: para. 54).
In de twee nieuwe zaken bevestigt het Hof deze principes en brengt het verdere verduidelijkingen aan. In zaak C-590/22 rond de niet toegestane doorgifte van gegevens stelt het Hof dat ‘de vrees van een persoon dat zijn persoonsgegevens ten gevolge van een inbreuk op deze verordening aan derden zijn doorgegeven zonder dat kan worden aangetoond dat dit daadwerkelijk het geval is geweest, volstaat om een recht op schadevergoeding te doen ontstaan indien die vrees en de negatieve gevolgen ervan naar behoren worden bewezen’ (C-590/22: para. 36). Het Hof bevestigt daarmee verder het principe dat elke immateriële schade (dus zonder ondergrens) in aanmerking kan genomen worden, zolang die naar behoren bewezen is. Dat wordt verder beklemtoond door de verklaring dat immateriële schade niet “naar haar aard”, i.e. principieel minder zwaar doorweegt dan letselschade (C-182/22 en C-189/22: para. 39). Het Hof herhaalt ook dat de inbreuk op zich niet voldoende is om schade te doen ontstaan (er is dus ook geen vermoeden van schade). De hoofdzaak blijft, conform de reeds gekende principes: een aantoonbare specifieke schade veroorzaakt door de inbreuk.
In beide zaken behandelt het Hof de vraag welke functie de schadevergoeding onder Artikel 82 AVGdient te vervullen. De vraag was of een schadevergoeding een compenserende functie of een genoegdoeningsfunctie had. Een compenserende functie houdt in dat alle bestaande en te verwachten gevolgen van de schade worden vergoed, terwijl een genoegdoeningsfunctie ertoe strekt het onrechtvaardigheidsgevoel dat voortkomt uit het ontstaan van de schade uit te wissen en kan, afhankelijk van het rechtssysteem, een meer punitief/bestraffend karakter hebben, alsook een afschrikkende werking (C-182/22 en C-189/22: para.10 en 14). Het Hof bevestigt dat artikel 82, lid 1 AVG exclusief een compenserende functie heeft en dus geen afschrikkend of punitief karakter heeft (C-182/22 en C-189/22: para. 23; C-590/22: para. 44).
Uit deze compenserende functie volgt dat voor de berekening van de schadevergoeding geen rekening moet worden gehouden met de ernst en het eventuele opzettelijk karakter van de inbreuk op de AVG (C-182/22 en C-189/22: para. 29 en 30). Uit zaak C-741/21 wisten we ook al dat de criteria voor administratieve geldboeten van artikel 83 AVG niet toegepast kunnen worden voor de berekening van de schadevergoeding op basis van artikel 82 AVG (C-741/21: para. 65). Dit wordt in beide zaken opnieuw bevestigd. De logica hierbij is dat Artikel 83 AVG net wel een bestraffend karakter heeft, waarbij de ernst van de inbreuk dus relevant is voor de boete en/of andere sancties die de bevoegde gegevensbeschermingsautoriteit kan opleggen. Schadevergoeding vervult een andere functie, en aldus kan een inbreuk die snel wordt rechtgezet en mogelijks geen aanleiding geeft tot boetes of andere sancties, toch veel schade berokkend hebben, die volledig vergoed zal moeten worden. Omgekeerd kan een flagrante en zelfs opzettelijke inbreuk mogelijks leiden tot hoge boetes, maar kan de schade voor betrokkenen beperkt of onbestaande zijn.
Gezien het feit dat schade, inclusief immateriële schade, geen ondergrens heeft, rijst de vraag hoe dergelijke schade berekend moet worden en of kan worden volstaan met heel lage bedragen wanneer de schade gering is. Dit is vooral van belang voor immateriële schade, inclusief morele schade. Materiële schade is immers veel makkelijker te bewijzen, bv. financiële schade ten gevolge van identiteitsdiefstal veroorzaakt door een inbreuk op de AVG. Als basisprincipe geldt dat nationale rechters bij de vaststelling van de hoogte van de schadevergoeding de algemene regels van elke lidstaat omtrent de omvang van geldelijke schadevergoedingen toepassen (C-300/21: para. 59). Het hof verduidelijkt echter dat in het geval dat de vastgestelde schade niet ernstig is, aan de betrokkene een geringe schadevergoeding kan worden toegekend, inclusief een vergoeding die zo laag is dat die als symbolisch kan worden ervaren. De voorwaarde blijft wel dat deze de schade volledig moet kunnen vergoeden (C-182/22 en C-189/22: para. 40 en 46).
Tot slot verduidelijkt het Hof ook dat bij de bepaling van het bedrag van de schadevergoeding eveneens geen rekening mag worden gehouden met het gegeven dat de inbreuk op de AVG ook een inbreuk vormt op nationale wetgeving die de bescherming van persoonsgegevens tot doel hebben, maar die er niet toe strekken om de bepalingen van de AVG nader toe te lichten/te specificeren (C-590/22: para. 50). Daarmee bedoelt het Hof te zeggen dat haar rechtspraak enkel de omvang van het recht tot schadevergoeding onder Artikel 82 AVG verduidelijkt, logischerwijs dus met inbegrip van nationale gegevensbeschermingswetten die de AVG verder specificeren. Het Hof spreekt zich dus niet uit over andere nationale regels die relevant zouden kunnen zijn en die eveneens gegevensbeschermingsaspecten omvatten. Het gaat daarbij specifiek over nationale (sectorale) wetgeving in specifieke gevallen, bv. wanneer de inbreuk op de AVG tegelijk ook een inbreuk zou uitmaken op de nationale wetgeving voor bv. verzekeringsagenten of belastingadviseurs, die bepaalde bijkomende gegevensbeschermingsregels uiteenzetten voor die specifieke sector of beroepen. In dergelijke gevallen is het mogelijk dat die nationale regels bijkomende schadevergoeding voorzien voor de benadeelde betrokkene voor hetzelfde feit. Artikel 82 AVG kan dus niet worden gebruikt om de schadevergoeding onder die wetgeving in te perken. Eveneens kan een dergelijke gelijktijdige inbreuk niet worden gebruikt als argument om de vergoeding onder Artikel 82 AVG te verhogen. Beide zaken moeten apart worden bekeken.
Op basis van de huidige rechtspraak van het Hof komen we tot de volgende stand van zaken omtrent het recht op schadevergoeding onder artikel 82 AVG:
Voor een recht op schadevergoeding zijn er drie voorwaarden:
a. Een verwerking van persoonsgegevens in strijd met de AVG;
b. Concrete schade (materieel of immaterieel), geleden door de betrokkene;
c. Een oorzakelijk verband tussen de onrechtmatige verwerking en de schade;
Het enkele feit van een inbreuk op de AVG volstaat dus niet voor een recht op schadevergoeding; de betrokkene moet aantonen dat er schade is en dat de schade veroorzaakt is door de inbreuk op de AVG. Dat principe geldt zowel voor materiële schade als voor immateriële, inclusief morele schade;
Schadevergoeding op basis van de AVG heeft een uitsluitend compenserende functie, en geen afschrikkende functie. De doelstelling is enkel om de geleden schade volledig te vergoeden;
Omwille van de compenserende functie hebben de ernst van de inbreuk op de AVG (en nationale regels die de AVG implementeren) of heteventuele opzettelijk karakter ervan geen invloed op de berekening van de schadevergoeding en dient de redenering inzake geldboetes van Art. 83 AVG niet mutatis mutandis toegepast te worden op Art. 82 AVG;
Er is geen ondergrens voor schade, er is m.a.w. niet vereist dat de schade een zekere mate van ernst bereikt;
Er is geen rangorde tussen soorten schade. Lichamelijke of materiële schade weegt niet principieel naar haar aard zwaarder dan immateriële, inclusief morele schade;
De vrees voor schade of negatieve gevolgen, veroorzaakt door een inbreuk op de AVG, kan op zich voldoende zijn om recht geven op schadevergoeding, mits deze vrees en de negatieve gevolgen ervan naar behoren bewezen zijn.
Het principe van volledige vergoeding van de schade betekent niet dat de schadevergoeding altijd aanzienlijk moet zijn, zeker temeer er geen ondergrens is voor de ernst van de schade. In het bijzonder immateriële schade kan in bepaalde gevallen dus vergoed worden met een geringe vergoeding (inclusief gevallen waar die vergoeding als symbolisch ervaren kan worden);
Verwerkingsverantwoordelijken zijn niet vrijgesteld van aansprakelijkheid als de schade is veroorzaaktdoor iemand die onder hun gezag handelt;
De vergoeding van schade onder de AVG doet geen afbreuk aan eventuele bijkomende schadevergoeding onder nationale regels, met uitzondering van de nationale regels die de AVG verder verduidelijken, zelfs indien die andere regels ook gegevensbescherming als onderwerp hebben;
Voor het berekenen van de concrete schadevergoeding passen rechters de nationale regels toe van de eigen lidstaat inzake het berekenen van de omvang van de geldelijke schadevergoeding, in het bijzonder ook voor immateriële, inclusief morele schade. De enige vereiste is dat de toepassing van deze regels geen afbreuk doet aan de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid (m.a.w. de doelstelling van de volledige vergoeding van de schade niet ondergraven).
Vragen rond de AVG in het algemeen of deze blogpost in het bijzonder? Contacteer een Timelex advocaat of stel je vraag via onze contact form.