Østre Landsret skærper rammen for immateriel skade efter GDPR
Østre Landsret har afsagt den første danske dom, der tilkender erstatning for immateriel skade efter GDPR artikel 82. Sagen udsprang af, at Hillerød Kommune ved behandlingen af en aktindsigt ved en fejl udleverede helbredsoplysninger til en tredjemand, som senere anvendte oplysningerne i en bopælstvist. Landsretten konstaterede overtrædelse af artikel 9 om særlige kategorier af personoplysninger og tildelte 2.500 kr. i kompensation. Retten slog samtidig fast, at der ikke gælder en bagatelgrænse for immateriel skade efter GDPR; erstatning kan være beskeden, men skal stå i rimeligt forhold til den konkrete skade. I tråd med EU-Domstolens praksis kan kompensation i særlige tilfælde også bestå i ikke-økonomiske foranstaltninger, eksempelvis en undskyldning.
Kommunen gjorde gældende, at der var tale om en enkeltstående menneskelig fejl, som burde fritage for ansvar efter artikel 82, stk. 3. Det afviste retten. Den dataansvarlige hæfter som udgangspunkt for medarbejderes uagtsomme fejl, og ansvarsfrihed forudsætter ekstraordinære og uforudsigelige omstændigheder uden for den dataansvarliges kontrol. Dommen cementerer dermed et præsumptionsansvar for dataansvarlige og skærper praksis for både offentlige myndigheder og private virksomheder.
Afgrænsning af krav og samspil med dansk erstatningsret
Landsretten tog også stilling til et selvstændigt krav fra borgerens ægtefælle, hvis økonomiske oplysninger var udleveret. Kravet blev afvist, fordi oplysningerne ikke fik betydning i bopælstvisten og derfor ikke medførte en relevant skade. Afgørelsen illustrerer, at der fortsat kræves årsagsforbindelse og konkretiseret ikke-økonomisk skade for at opnå erstatning, selv om tærsklen for alvor ikke er høj.
Begge sagsøgere påberåbte desuden tortgodtgørelse efter erstatningsansvarsloven § 26. Det afviste retten med henvisning til manglende grovhed. Dermed tydeliggøres forskellen mellem GDPR’s erstatningsregel uden bagatelgrænse og dansk rets godtgørelsesregler, som forudsætter en vis intensitet. Regimerne kan eksistere side om side, men udmålingen skal samlet være proportional og undgå dobbeltkompensation.
Praktiske implikationer for dataansvarlige
Dommen har håndgribelige konsekvenser for risikostyring: Selv enkeltstående og utilsigtede fejl kan udløse ansvar. Særligt aktindsigt er et risikoområde, hvor to-mandskontrol, klare procedurer, adgangsstyring og logning bør prioriteres, ligesom dokumentation for kontroller er central ved efterfølgende sager.
Selv mindre erstatningsbeløb kan ledsages af betydelige sagsomkostninger, hvilket dommens omkostningsafgørelse illustrerer. Dataansvarlige bør derfor styrke incident response, træning og juridisk kvalitetssikring, samt sikre bevis for, hvornår hændelser skyldes ekstraordinære forhold, der potentielt kan udløse ansvarsfrihed efter artikel 82, stk. 3. Det er oplyst, at dommen er anket til Højesteret, som kan nuancere rammen yderligere.
