Hovedresultat og præmisser
Højesteret fastslår, at krav om erstatning eller godtgørelse efter databeskyttelsesforordningens artikel 82 forudsætter dokumenteret skade – materiel eller immateriel – samt en påviselig årsagssammenhæng til en overtrædelse af forordningen. I den foreliggende sag var der tale om et kommunalt sikkerhedsbrud, men retten fandt, at de påberåbte negative følelser ikke var tilstrækkeligt underbygget som reel skade. Retten lagde vægt på, at der ikke forelå oplysninger om, at data var tilgået uvedkommende eller misbrugt, og at sagsøgernes egne forklaringer ikke kunne bære bevisbyrden alene.
Afgørelsen understreger, at artikel 82 ikke giver ret til automatisk kompensation ved et sikkerhedsbrud. Ikke-økonomisk skade kræver, at den psykiske gene er reel, betydelig og begrundet i de konkrete omstændigheder. Det er i overensstemmelse med EU-Domstolens praksis om skadebegrebet og beviskrav efter GDPR.
Sagens faktum og instanser
I forbindelse med kontrol af mellemkommunal refusion udarbejdede en kommune i 2018 et regneark med oplysninger om omtrent 20.000 borgere, herunder navn, CPR-nummer, adresse, bopælskommune og sociale ydelser. Regnearket blev opbevaret på en ukrypteret bærbar computer, som blev stjålet. Fire berørte borgere rejste krav om godtgørelse efter artikel 82 med henvisning til frygt og utryghed som følge af bruddet.
Byretten og efterfølgende Østre Landsret fandt, at kommunen havde overtrådt GDPR, men afviste erstatningskravet. Højesteret stadfæstede resultatet og frifandt kommunen, idet sagsøgerne ikke havde godtgjort skade omfattet af artikel 82 eller årsagssammenhæng mellem behandlingen, sikkerhedsbruddet og de påberåbte følger.
Praktiske implikationer
Dommen bekræfter, at bevisbyrden påhviler den registrerede: Der skal foreligge objektiv dokumentation for skade og en klar kausal sammenhæng til den konstaterede overtrædelse. Subjektive udsagn om bekymring eller utryghed er ikke tilstrækkelige uden understøttende beviser, f.eks. om faktiske tilgåelser, misbrug eller andre konkrete konsekvenser.
For dataansvarlige og databehandlere ændrer afgørelsen ikke kravene til passende tekniske og organisatoriske foranstaltninger, herunder kryptering af bærbart it-udstyr og risikobaserede sikkerhedsforanstaltninger. Tilsynsreaktioner og påbud kan fortsat komme på tale ved mangelfuld sikkerhed, men erstatningsansvar forudsætter, at en skade kan påvises. Dommen giver dermed et klarere pejlemærke for vurderingen af immateriel skade efter GDPR og for processuelle beviskrav i sager om sikkerhedsbrud.
