Fortolkning af GDPR artikel 82: Erstatning for immateriel skade, kompensationens funktion og tyveri af personoplysninger

Myndighed

EU-Domstolen

Dato

19. juni 2024

Dokumenttype

Dom

Sted

Tyskland

Emner

GDPR artikel 82Immateriel skadeDatabrudErstatningKompenserende funktionIdentitetstyveriPersonoplysningerScalable CapitalEffektivitetsprincippetKausalitetSymbolsk erstatning

Eksterne links

Læs hele sagen

Parter

Dommer

EU-medlemsstater, Europa-Kommissionen, Irland, EU’s institutioner og organer

Generaladvokat

Jääskinen

Denne præjudicielle forelæggelse omhandler fortolkningen af artikel 82 i databeskyttelsesforordningen (GDPR) vedrørende retten til erstatning for immateriel skade efter et brud på persondatasikkerheden. Sagen udspringer af to forenede tvister i Tyskland, hvor to registrerede (JU og SO) sagsøgte selskabet Scalable Capital GmbH, som driver en trading-app.

Sagens faktiske omstændigheder

JU og SO havde oprettet konti hos Scalable Capital og registreret følsomme personoplysninger, herunder navn, fødselsdato, adresse og digital kopi af identitetsbeviser. I 2020 blev disse oplysninger, samt værdipapirporteføljer, hacket af ukendte tredjeparter. Sagsøgerne krævede erstatning for den immaterielle skade, de hævdede at have lidt som følge af tabet af kontrol og frygten for identitetssvig, selvom Scalable Capital oplyste, at dataene endnu ikke var blevet brugt svigagtigt.

Hovedspørgsmålene fra den forelæggende ret

Amtsgericht München (byretten i München) forelagde spørgsmål for at afklare nationale uoverensstemmelser, navnlig om:

Erstatning efter artikel 82 har en straffende eller udelukkende kompenserende funktion.
Om immateriel skade fra databrud strukturelt skal vurderes lavere end fysisk skade.
Om retten kan tilkende symbolske erstatninger i tilfælde af minimal skade.
Hvad der udgør "identitetstyveri" i henhold til GDPR’s betragtninger (blot adgang til data, eller faktisk svigagtig brug).

Disse spørgsmål var afgørende for, hvordan den tyske domstol skulle fastsætte erstatningens størrelse i sager, hvor tusindvis af personer var berørt af databruddet.

Domstolen fastslog, at retten til erstatning i henhold til GDPR artikel 82 udelukkende har en kompenserende funktion, og at udmålingen af erstatningens størrelse ikke må påvirkes af overtrædelsens grovhed eller forsætlige karakter.

Erstatningens funktion og udmåling

Funktion: Artikel 82, stk. 1, har udelukkende en kompenserende funktion. Erstatningen skal fuldstændigt kompensere den skade, der er forvoldt. Den afskrækkende virkning varetages af de administrative sanktioner i artikel 83 og 84.
Symbolsk erstatning: En national ret kan tilkende en materielt ubetydelig erstatning, der kan opfattes som symbolsk, kun hvis denne erstatning fuldstændigt kompenserer den skade, der konkret er forvoldt. Hvis skaden er minimal, skal erstatningen afspejle dette, men der må ikke indføres en formel bagatelgrænse for retten til erstatning.
Immateriel skade forvoldt af et brud på persondatasikkerheden må ikke efter sin art anses for at være mindre alvorlig end personskade (fysisk skade) i forbindelse med erstatningsfastsættelsen. Et sådant hierarki ville bringe princippet om fuld erstatning i fare.

Læs også

Relaterede nyheder fra ministerierne

Patent- og Varemærkestyrelsen

9. august 2023

EU+2

Ny EUIPO rapport giver indsigt i retssager om forretningshemmeligheder

EUIPO har udgivet en ny rapport om tendenser i retssager om forretningshemmeligheder i EU. Rapporten indeholder både en kvantitativ og en kvalitativ analyse samt oversigt over udvalgte afgørelser på området.

Relaterede afgørelser

EU-Domstolen•3. oktober 2024

Afgørelse

Konsekvenser af offentliggørelse af ikke-obligatoriske personoplysninger i handelsregistret under GDPR og retten til sletning

Sagen vedrører en præjudiciel forelæggelse fra Bulgarien, som omhandler sammenstødet mellem beskyttelse af personoplysninger (GDPR) og forpligtelsen til offentliggørelse af selskabsdokumenter i et nationalt handelsregister, fastsat i henhold til EU’s selskabsdirektiv (nu Direktiv 2017/1132).

Tvisten opstod mellem Agentsia po vpisvaniyata (det bulgarske registreringsagentur, der fører handelsregistret) og en selskabsdeltager, OL. OL anmodede om sletning af visse personoplysninger (såsom identifikationsnummer, detaljer om identitetskort, bopælsadresse og underskrift) fra en selskabsaftale, der var blevet offentliggjort i registret i forbindelse med selskabets stiftelse. Disse oplysninger var ikke lovpligtige i henhold til national lovgivning eller EU-direktivet.

OL gjorde gældende, at offentliggørelsen udgjorde ulovlig behandling og krævede sletning af oplysningerne samt erstatning for immateriel skade som følge af frygt og bekymring over potentielt misbrug. Agenturet afviste sletning med henvisning til, at OL ikke havde indsendt en renset (skjult/redigeret) kopi af aftalen, som krævet af nationale procedureregler, hvilket Agenturet fastholdt var nødvendigt for at opretholde dokumentets integritet.

Andre relevante lovforslag

Forslag til Lov om sikkerhed og beredskab i telesektoren

Ministeriet for Samfundssikkerhed og Beredskab7. februar 2025

Forslag til lov om forsikringsvirksomhed i tværgående pensionskasser, livsforsikringsselskaber og skadesforsikringsselskaber m.v. (lov om forsikringsvirksomhed)

Erhvervsministeriet30. marts 2023

Se flere lovforslag