{{title}}
{{body}}
{{tagline}}
{{title}}
{{lockedContentText}}
{{body}}
Gemt
EU-Domstolen: Dataansvarliges mulige erstatningsansvar ved databrud
Dansk Erhverv | Personale | 7. marts 2024
En medarbejder havde ved en fejl udleveret en kundes personoplysninger til tredjemand, som medførte et erstatningssøgsmål ved byretten i Hagen i Tyskland. Den nationale domstol forelagde i den forbindelse en række spørgsmål for EU-Domstolen angående blandt andet den dataansvarliges erstatningsansvar ved databrud.
Sagen kort
En medarbejder indgik en købs- og kreditaftale med en kunde og havde i den forbindelse lagret kundens personoplysninger. Medarbejderen udskrev en række dokumenter til kunden indeholdende de nævnte personoplysninger. Da en anden kunde havde mast sig frem i køen, kom medarbejderen til at udlevere dokumenterne til den forkerte kunde. Medarbejderens fejl blev hurtigt opdaget, og dokumenterne blev tilbageleveret og returneret til den rigtige kunde inden for en halv time efter fejlen opstod.
Sagen blev herefter anlagt ved byretten i Hagen i Tyskland, hvor kunden gjorde krav på erstatning fra virksomheden for immateriel skade og på grund af risikoen for at tabe kontrol over sine personoplysninger.
Fra den nationale domstol til EU-Domstolen
Sagen blev forelagt for EU-Domstolen, som blandt andet skulle tage stilling til virksomhedens (den dataansvarlige) erstatningsansvar i forbindelse med databrud, og om virksomheden havde sikret passende tekniske og organisatoriske foranstaltninger i forbindelse med behandlingen af personoplysningerne.
Tekniske og organisatoriske foranstaltninger
Hvad angår spørgsmålet om, hvorvidt den dataansvarlige havde sikret passende tekniske og organisatoriske foranstaltninger, kom EU-Domstolen frem til, at dette skulle vurderes konkret. Medarbejderens fejl var dog ikke i sig selv nok til at konkludere, at virksomheden ikke havde sikret passende tekniske og organisatoriske foranstaltninger i forbindelse med behandlingen af personoplysningerne.
Den dataansvarliges erstatningsansvar
For så vidt angår vurderingen af erstatningsansvaret, udtalte EU-Domstolen, at det ikke var nok, at den registrerede (i dette tilfælde kunden) blot kunne godtgøre en overtrædelse af databeskyttelsesforordningen - den registrerede skal også kunne godtgøre, der er forvoldt materiel/immateriel skade for at kunne opnå erstatning.
EU-Domstolen udtalte derudover, at en immateriel skade ikke kan skabes alene ved, at der var skabt en frygt for, at en tredjemand havde mulighed for at kopiere personoplysningerne, eller at der ville ske en udbredelse eller misbrug af oplysningerne i fremtiden.
Dansk Erhverv bemærker
EU-Domstolens dom stemmer overens med de krav, der generelt stilles ved anlæggelsen af erstatningssøgsmål, hvor det er afgørende, at der reelt er forvoldt en skade, og at der er lidt et tab.
Nyheden er skrevet på baggrund af EU-Domstolens afgørelse af 25. januar 2024, sag C-687/21.