EU-Domstolens centrale præcisering
EU-Domstolen har præciseret adgangen til erstatning efter GDPR artikel 82. Dommen fastslår, at en overtrædelse af databeskyttelsesreglerne ikke i sig selv udløser kompensation, men at den registrerede kan kræve erstatning for både materiel og immateriel skade, hvis tre betingelser er opfyldt: skade, regelbrud og årsagssammenhæng. Samtidig afviser domstolen, at medlemsstaterne kan opstille en generel væsentlighedstærskel for ikke‑økonomisk skade. Størrelsen af erstatningen beror derimod på national ret, forudsat at ækvivalens- og effektivitetsprincippet respekteres. Afgørelsen får betydning for danske sager, hvor tort har været vurderet efter erstatningsansvarslovens § 26, og skærper behovet for dokumenteret efterlevelse hos dataansvarlige og databehandlere.
Domstolen afviste, at et simpelt regelbrud automatisk udløser erstatning, og understregede, at krav skal opgøres efter almindelige erstatningsretlige principper. Det betyder, at den registrerede skal sandsynliggøre et tab eller en ikke‑økonomisk skade, og at det konkrete indgreb i privatliv eller personlig autonomi skal kunne tilskrives overtrædelsen.
EU-Domstolen opstiller tre kumulative betingelser, som den nationale ret skal efterprøve:
- Der foreligger en skade.
- Der foreligger en overtrædelse af GDPR.
- Der er årsagssammenhæng mellem overtrædelsen og skaden.
I relation til skadens karakter fastslår dommen, at ikke‑økonomisk skade ikke må underlægges en fast materielitetstærskel i national ret. Begrebet skade i GDPR er bevidst bredt og omfatter også krænkelse, f.eks. ubehag, forlegenhed eller mistet kontrol over personoplysninger, når disse følger af en ulovlig behandling.
Selve udmålingen af kompensation er ikke harmoniseret. Medlemsstaterne fastsætter niveauer og beviskrav, men de må ikke gøre udøvelsen af rettighederne efter GDPR umulig eller uforholdsmæssigt vanskelig. Ækvivalensprincippet kræver, at EU-baserede krav behandles på linje med tilsvarende nationale krav, mens effektivitetsprincippet sikrer tilstrækkelig afskrækkelse.
Baggrund og faktum
Udgangspunktet var det østrigske postvæsen, som ved algoritmisk profilering kombinerede sociale og demografiske oplysninger for at udlede sandsynlige politiske tilhørsforhold og solgte målgruppeadresser til politiske organisationer. En borger gjorde gældende, at tilskrivning af et politisk standpunkt medførte krænkelse, irritation og tab af tillid, og nedlagde påstand om forbud samt erstatning.
Den regionale domstol lagde til grund, at erstatning efter national ret forudsatte, at skaden havde en vis alvor. Sagen blev anket, og Østrigs højesteret forelagde præjudicielle spørgsmål for EU-Domstolen om rækkevidden af artikel 82. Efter EU-rettens model er nationale domstole bundet af domstolens fortolkning i den efterfølgende behandling.
Konsekvenser for dansk praksis
I Danmark har tort traditionelt været vurderet efter erstatningsansvarslovens § 26, som indebærer et skærpet culpakrav. Efter dommen kan erstatningskrav i anledning af GDPR‑overtrædelser støttes direkte på artikel 82 uden krav om en særlig alvor, men med fortsat krav om bevis for skade og kausalitet.
Domsmænd og advokater må derfor forvente øget fokus på dokumentation af den registreredes faktiske påvirkning, sammenhængen til den konkrete behandling samt en mere finmasket udmåling. For organisationer skærper dommen behovet for at forebygge og forklare risici, herunder ved DPIA, logning, sletteprocedurer og hurtig håndtering af brud på persondatasikkerheden.
Det er samtidig uafklaret, hvilke beløbsmæssige niveauer de nationale domstole vil lægge sig på ved immateriel skade. Verserende sager vil skabe praksis om beviskrav, standarder for årsagssammenhæng og størrelsen af kompensation. Indtil da bør aktører indregne et højere erstatningsretligt risikoniveau i deres compliancearbejde. Beløb vil afhænge af sagens konkrete omstændigheder.
