Europese rechtspraak

Laatste update: 9 december 2024

Door: en


Introductie

In de zaak ‘Österreichische Post’ geeft het Hof van Justitie van de Europese Unie (hierna: het Hof) uitleg over het schadebegrip uit de Verordening 2016/679, de Algemene Verordening Gegevensbescherming (hierna: AVG). Het Hof stelt drie cumulatieve criteria vast voor ‘geleden schade’ in het kader van artikel 82 AVG: de schadevergoedingsbepaling. Daarnaast oordeelt het Hof dat bij immateriële schade niet een bepaalde mate van ernst moet worden bereikt om zich op het recht op schadevergoeding te kunnen beroepen.

Zaak

HvJ EU 4 mei 2023, C-300/21 (UI tegen Österreichische Post AG), ECLI:EU:C:2023:370.

Beleidsdossier

Digitale overheid

Feiten en prejudiciële vragen

Vanaf 2017 heeft Österreichische Post, een Oostenrijks bedrijf gespecialiseerd in adresbeheer, informatie verzameld over de politieke voorkeuren van de Oostenrijkse bevolking. Door gebruik te maken van een algoritme dat verschillende sociale en demografische factoren analyseert, heeft het bedrijf specifieke “doelgroepadressen” samengesteld. Deze gegevens verkocht het bedrijf vervolgens aan organisaties die ze gebruikten voor gerichte reclamecampagnes. Op basis van deze gegevens concludeerde ‘Österreichische Post’ dat de eiser een grote affiniteit had met een bepaalde politieke partij. Hoewel deze informatie niet aan derden werd doorgegeven, voelde de eiser zich gekwetst en verloor hij vertrouwen in de bescherming van zijn persoonsgegevens omdat zulke gegevens over hem waren verwerkt zonder zijn toestemming. De eiser claimde € 1.000 aan schadevergoeding voor de immateriële schade die hij beweerde te hebben geleden. Vervolgens stelde het hoogste gerechtshof in Oostenrijk drie prejudiciële vragen aan het Hof, waarvan twee relevant zijn voor het schadebegrip:

  1. Is het noodzakelijk dat schade wordt aangetoond, of is het loutere feit van een AVG-inbreuk voldoende voor een schadevergoeding?
  2. Moet immateriële schade een bepaalde mate van ernst hebben om in aanmerking te komen voor compensatie, of is het gevoel van ongemak voldoende​?

Beantwoording van de vragen door het Hof

Ter beantwoording van de eerste prejudiciële vraag concludeert het Hof dat niet elke inbreuk op de AVG leidt tot het recht op schadevergoeding onder artikel 82 AVG. Het Hof stelt drie cumulatieve criteria op, namelijk dat er sprake moet zijn van:

  1. een inbreuk;
  2. schade;
  3. en een causaal verband tussen de geleden schade en de inbreuk op de AVG.

Vervolgens oordeelt het Hof dat immateriële schade geen bepaalde mate van ernst hoeft te hebben, om een recht op schadevergoeding op grond van artikel 82 AVG te verkrijgen. Volgens considerans 146 van de AVG moet het schadebegrip ruim worden uitgelegd. Daarnaast stelt lid 1 van artikel 82 AVG geen eis waaraan de immateriële schade moet voldoen. Daarom acht het Hof dat een regeling die een bepaalde mate van ernst vereist in strijd is met de AVG. Deze redenering van het Hof sluit aan bij de doelstelling van de AVG (considerans 10 uit de preambule), namelijk het streven naar een consistent en hoog beschermingsniveau van natuurlijke personen.

Conclusie

Een inbreuk op de AVG geeft niet automatisch recht op schadevergoeding. Voor recht op schadevergoeding moet diegene die een beroep doet op artikel 82 AVG, schending van een of meerdere bepalingen van de AVG en een causaal verband met de schade aantonen. Dezelfde cumulatieve criteria gelden ook voor immateriële schade. De immateriële schade hoeft daarbij geen bepaalde mate van ernst te hebben om vergoed te kunnen worden.

Decentrale relevantie

De AVG verbindt iedere verwerking van persoonsgegevens aan verwerkingsverantwoordelijken, die de doelen en middelen van de verwerking bepalen. Soms werkt een verwerkingsverantwoordelijke bovendien samen met een verwerker die de verwerking uitvoert. Decentrale overheden kunnen zowel verwerkers als verwerkingsverantwoordelijken zijn. Op grond van artikel 82 lid 1 van de AVG kunnen verwerkingsverantwoordelijken en verwerkers worden aangesproken voor schade die zij hebben veroorzaakt. Daarom is het belangrijk dat decentrale overheden weten wat onder de definitie van materiële en immateriële schade valt, en dat deze begrippen onder de AVG ruim worden uitgelegd.

Meer informatie

KED, Algemene Verordening Gegevensbescherming

Zaak C-300/21