LISA Groningen

Als gebruiker op het internet worden je gegevens op talloze wijzen verzameld. Het gevaar op misbruik ligt hierdoor altijd op de loer. De rechten en mogelijkheden die betrokkenen van dit soort misbruik hebben om opgelopen schade te verhalen, zijn vastgelegd in de Algemene verordening gegevensbescherming, maar wat legt recente jurisprudentie vast omtrent het aansprakelijk stellen van de verwerker van persoonsgegevens bij schending van de rechtmatige verwerking van al deze gegevens? 

Het gevolg van schending van een artikel uit de Algemene verordening persoonsgegevens, is door de wetgever vastgelegd in dezelfde verordening. Ingevolge artikel 82 AVG geldt; ‘Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade. Ondanks dat het artikel de illusie wekt dat het vergoeden van immateriële schade bij schending van de AVG eenvoudig te vergoeden is, blijkt uit een zaak van het Hof van Justitie van de Europese Unie dit niet zo te zijn.[1] Deze zaak tussen de Österreichische Post en een Oostenrijkse burger leidde tot twijfels bij de hoogste federale rechter in civiele en strafzaken van Oostenrijk. De rechter twijfelde over de vraag hoever het recht op schadevergoeding ingevolge de AVG reikt in het geval van materiële of immateriële schade als gevolg van een schending van de AVG. 

Het Hof van Justitie van de Europese Unie kwam in deze zaak tot het oordeel dat het recht op schadevergoeding op grond van artikel 82 AVG enkel bestaat indien er voldaan is aan drie cumulatieve eisen. Ten eerste moet er sprake zijn van een verwerking van persoonsgegevens die strijdig is met een bepaling uit de AVG. Vervolgens moet de betrokkene schade lijden die in oorzakelijk verband staat met de onrechtmatige verwerking van persoonsgegevens. De belangrijkste conclusie die uit deze uitspraak kan worden getrokken is dat de enkele inbreuk van de AVG niet direct leidt tot schadevergoeding. Daarnaast oordeelde het Hof van Justitie van de Europese Unie dat er geen drempel geldt voor de ernst van de schade die tengevolge van de inbreuk van de AVG bij betrokkene is ontstaan.[2]Het Hof van Justitie van de Europese Unie bevestigt deze criteria in een recent arrest uit april 2024.[3] In deze casus beroept een betrokkene zich wederom op artikel 82 AVG wegens schending van de verwerking van persoonsgegevens. De nationale rechter wendde zich wegens twijfels naar het Hof  van Justitie van de Europese Unie met de vraag of schending van de AVG volstaat om te spreken van immateriële schade, hetgeen het Hof van Justitie van de Europese Unie ontkennend heeft beantwoord in dit arrest. Het Hof van Justitie van de Europese Unie bevestigt dat betrokkene niet alleen moet aantonen dat er bepalingen van de verordening zijn geschonden, maar dat hij schade moet hebben geleden ten gevolge van deze schending, aldus er moet sprake zijn van een causaal verband. 

Maar betekent dit dat de verwerkingsverantwoordelijke altijd aansprakelijk is voor vergoeding van de geleden schade bij schending van de AVG?

Ingevolge artikel 82 lid 3 AVG is het mogelijk voor de verwerkingsverantwoordelijke om deze aansprakelijkheid van schending van lid 1 van datzelfde artikel te vermijden. De verwerkingsverantwoordelijke wordt vrijgesteld van aansprakelijkheid indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit. Het Hof van Justitie van de Europese Unie heeft in het reeds aangehaalde arrest uit april 2024 vastgesteld dat de verwerkingsverantwoordelijke niet van deze aansprakelijkheid wordt vrijgesteld, door aan te voeren dat de door betrokkene geleden schade is ontstaan door verzuim van een persoon die onder zijn gezag handelt in de zin van artikel 29 AVG.[4]

En wat is het gevolg indien schending van de AVG niet plaatsvindt door een private partij of door een individu, maar door een bestuursorgaan? In een uitspraak van de Afdeling Bestuursrechtspraak van de Raad van State is vastgelegd wat de mogelijkheden zijn om bij de bestuursrechter schadevergoeding aan te vragen indien wordt gesteld dat een bestuursorgaan in strijd heeft gehandeld met de AVG[5]. Voor deze uitspraak bood de Nederlandse jurisprudentie weinig houvast, waardoor de betrokkene aangewezen was op de burgerlijke rechter. Sinds deze uitspraak is naast deze civiele route ook een bestuursrechtelijke route aangemaakt. De betrokkene kan tot een bedrag van € 25.000 naar de bestuursrechter voor schadevergoeding wegens schending van de AVG. Daarnaast heeft de Afdeling Bestuursrechtspraak van de Raad van State beslist dat voor schadevergoeding in aanmerking te komen voldaan moet zijn aan artikel 6:106 van het Burgerlijk Wetboek. Dat houdt in dat sprake moet zijn van aantasting van de eer of de goede naam van betrokkene of aantasting van deze persoon op een andere wijze. 

Blijkens zowel Nederlandse als Europese jurisprudentie is het mogelijk om schadevergoeding te verhalen op een aansprakelijke verwerkingsverantwoordelijke, indien er sprake is van schending van de AVG. Hiervoor moet voldaan zijn aan drie cumulatieve eisen en heeft de aansprakelijke het recht om deze aansprakelijkheid te ontkennen. Al met al biedt deze jurisprudentie, dan wel de Europese wetgeving ten aanzien van de AVG, de internetgebruiker houvast tegen mogelijk misbruik van zijn persoonsgegevens, maar zonder causaal verband tussen het misbruik en de schade zal de nietsvermoedende internetgebruiker met lege handen thuiskomen.

Namens de Carrièrecommissie,

Esther Bergsma

[1] ECLI:EU:C:2023:370.

[2] ECLI:EU:C:2024:288, r.o. 43.

[3] ECLI:EU:C:2024:288. 

[4] ECLI:EU:C:2024:288, r.o. 54. 

[5] ECLI:NL:RVS:2020:899.