Afgørelse i sag om databrud i Gladsaxe Kommune: Frifindelse for erstatningskrav

Kommunen bestred, at Databeskyttelsesforordningen artikel 82 og Databeskyttelsesloven § 40 gav ret til erstatning for ikke-økonomisk skade, og henviste til, at dansk ret traditionelt kræver økonomisk tab for erstatning, medmindre der er særskilt hjemmel. De anførte også, at betingelserne for tortgodtgørelse efter Erstatningsansvarsloven § 26, stk. 1 ikke var opfyldt, da der ikke var tale om en krænkelse af tilstrækkelig grovhed, og at kommunen ikke havde udvist skødesløshed eller manglende opmærksomhed.

Rettens Begrundelse og Resultat

Retten fandt, at Gladsaxe Kommune som dataansvarlig ikke havde overholdt kravene til behandlingssikkerhed i henhold til Databeskyttelsesforordningen artikel 32, stk. 1 og Databeskyttelsesforordningen artikel 32, stk. 2, jf. Databeskyttelsesforordningen artikel 5, stk. 1, litra f. Dette skyldtes, at et regneark med personoplysninger om 20.620 borgere, herunder følsomme oplysninger, blev gemt ukrypteret på en bærbar PC's lokale drev, hvilket var i strid med kommunens egen informationssikkerhedspolitik og sikkerhedsbud. Kommunen havde ikke truffet tilstrækkelige tekniske og organisatoriske foranstaltninger for at imødegå den ikke-usandsynlige risiko for tyveri og uautoriseret adgang.

Retten afviste Gladsaxe Kommunes påstand om ansvarsfrihed i henhold til Databeskyttelsesforordningen artikel 82, stk. 3, da tyveri af bærbare elektroniske enheder ikke er ualmindeligt, og kommunen burde have taget højde herfor.

Vedrørende sagsøgernes krav om erstatning for ikke-økonomisk skade, fortolkede retten begrebet "immateriel skade" i Databeskyttelsesforordningen artikel 82, stk. 1 bredt i lyset af forordningens formål og EU-Domstolens retspraksis, så det også omfatter ikke-økonomisk skade. Dog fandt retten, at sagsøgernes subjektive følelser af krænkelse ikke i sig selv var tilstrækkelige til at begrunde erstatning. Et krav på erstatning for ikke-økonomisk skade kræver, at bruddet på datasikkerheden har medført skade af en vis kvalificeret karakter, f.eks. skade på omdømme, tab af fortrolighed, identitetstyveri eller andre økonomiske eller sociale konsekvenser.

Retten fandt ikke grundlag for at fastslå, at sagsøgerne havde lidt en sådan kvalificeret skade, der kunne begrunde erstatning efter Databeskyttelsesforordningen artikel 82 eller Databeskyttelsesloven § 40. Ligeledes fandt retten ikke grundlag for at tilkende tortgodtgørelse efter Erstatningsansvarsloven § 26, stk. 1, da de summariske oplysninger og bruddets karakter ikke medførte en krænkelse af en sådan grovhed, at der var grundlag for tortgodtgørelse.

Gladsaxe Kommune blev frifundet. Ingen af parterne skulle betale sagsomkostninger til den anden part eller til statskassen.

Domstolsstyrelsen afviste klagerens erstatningskrav den 10. december 2020 med den begrundelse, at der ikke var dokumentation for det økonomiske tab, og at fejlen ikke var af en grovhed, der berettigede til tortgodtgørelse efter Erstatningsansvarsloven § 26. Klageren valgte herefter at anlægge sag ved [by2] Byret.

Parternes hovedpåstande og centrale argumenter

Klagerens påstand og argumenter: Klageren søger dækning af sine udgifter i forbindelse med retssagen mod Domstolsstyrelsen, som beløber sig til 96.925 kr. Klageren argumenterer for, at forsikringsselskabet bør dække udgifterne uafhængigt af sagens udfald, da der var tale om en "fatal fejl" begået af en myndighed, og at sagen var en civil sag, som retshjælpsforsikringen burde dække. Klageren fastholder, at fejlen havde alvorlige konsekvenser og berettigede til erstatning og tort.

Tryg Forsikring A/S' påstand og argumenter: Tryg afviste at yde retshjælpsdækning med henvisning til, at der ikke var "rimelig grund" til at føre sagen, hvilket er en betingelse for dækning ifølge forsikringsbetingelsernes punkt 3.2 og 7.a. Selskabet anførte, at klageren ikke havde løftet bevisbyrden for, at den administrative fejl havde forårsaget den omfattende skade på inventar, eller at fejlen var af en sådan grovhed, at den berettigede til tort efter Erstatningsansvarsloven § 26. Tryg henviste også til Forsikringsaftaleloven § 22, som placerer bevisbyrden hos klageren. Selskabet fastholdt sin afvisning, da byrettens dom frifandt Domstolsstyrelsen, hvilket bekræftede, at klageren ikke havde opnået et positivt resultat.

Relevante forhold og dokumentation

• Domstolsstyrelsens afgørelse (10. december 2020): Afviste erstatningskravet grundet manglende dokumentation for økonomisk tab og utilstrækkelig grovhed af fejlen for tortgodtgørelse.
• Byrettens dom (18. februar 2022): Frifandt Domstolsstyrelsen. Retten fandt, at klageren ikke havde ført bevis for årsagssammenhæng mellem fejlen og de påståede skader, herunder værdien af det ødelagte inventar. Ligeledes fandt retten ikke grundlag for tortgodtgørelse, da fejlen ikke blev anset for at være egnet til at krænke klagerens selv- eller æresfølelse. Klageren blev pålagt at betale sagsomkostninger til Domstolsstyrelsen.
• Forsikringsbetingelser: Kræver "rimelig grund" til at indbringe sagen for domstolene, og omkostninger uden rimelig grund er ikke dækket.

Oversigt over klagerens påståede udgifter: