EU-Domstolen: Virksomheder skal betale erstatning til de registrerede, hvis virksomheden ikke har overholdt databeskyttelsesreglerne

En ny afgørelse fra EU-Domstolen slår fast, at virksomheder skal betale erstatning til de registrerede, hvis virksomheden ikke har overholdt databeskyttelsesreglerne – også selvom der ikke er indtruffet en materiel skade. Dansk Erhverv anbefaler, at man som virksomhed genbesøger sine forsikringsaftaler.

Sagens baggrund
Dommen, der blev afsagt den 8. januar 2025, vedrørte en tysk borgers (Thomas Bindl) påstand om, at EU-Kommissionen ulovligt havde overført hans personoplysninger til modtagere i tredjelande (USA) uden at sikre et tilstrækkeligt beskyttelsesniveau, da han besøgte websitet 'https://futureu.europa.eu' og registrerede sig til 'GoGreen'-arrangementet den 30. marts 2022.

Registreringen var foretaget via hans Facebook-profil, som var en af måderne, man kunne melde sig til arrangementet på.

Dem, der arbejder med GDPR, vil måske kunne huske, at det tilbage i 2022 var meget vanskeligt at overføre data til USA på korrekt vis, eftersom EU-Domstolen i 2020 havde erklæret det tidligere overførselsgrundlag (”Privacy Shield ordningen”) ugyldigt. I 2024 trådte den nye transatlantiske aftale mellem EU og USA i kraft, der igen muliggør overførsel til nærmere godkendte virksomheder i USA.

Borgeren fik erstatning for ikke-økonomisk skade
Det interessante i afgørelsen er dog ikke så meget, hvilken overtrædelse der præcis var tale om, men det faktum, at retten pålagde Kommissionen at betale Thomas Bindl 400 euro i erstatning for den ikke-økonomiske skade, han havde lidt som følge af den omstridte dataoverførsel til USA via Facebook-login den 30. marts 2022.

Hans argument var, at han ved den ulovlige overførsel havde mistet kontrollen over sine data i og med det amerikanske efterretningsvæsen nu kunne få adgang til dem. Hvorvidt dette de facto var sket, vides ikke, men det var altså selve risikoen for, at dette kunne ske, der udløste en omtalte erstatning.

Dansk erstatningsret er anderledes, men der skal formentlig rettes ind
I dansk ret er der normalt ikke adgang til erstatning for ikke-økonomisk skade, medmindre der findes en særskilt lovhjemmel. Thomas Bindl-sagen hviler på artikel 82 i GDPR – en bestemmelse, der også gælder i Danmark.

De fleste danske jurister ville nok alligevel gå ud fra, at danske domstole som regel ville være afvisende overfor den type krav, som kommer til udtryk i denne sag, men det kan altså være, at den tilgang skal gentænkes.

Konsekvensen for erhvervslivet
Konsekvensen for erhvervslivet kan være ubehagelig. Ikke nok med at GDPR-overtrædelser kan udløse store bøder, men visse overtrædelser – det er uvist præcis hvilke – kan således medføre, at der også skal betales en erstatning til de registrerede. Der vil derfor være behov for at genbesøge sine forsikringsaftaler og tjekke om, der kan påregnes dækning af den type ikke økonomiske skader.