Europees Hof: AVG vereist geen schadedrempelwaarde voor schadevergoeding

Het Hof van Justitie van de Europese Unie heeft geoordeeld dat een ‘drempelwaarde’ aan ernst van een overtreding van de AVG niet nodig is om een claim bij een rechtszaal in te dienen. Dat las ik bij Tweakers vorige week. Een man vorderde immateriële schadevergoeding, en naar Oostenrijks recht moet dat “voldoende ernstig” zijn alvorens je het mag claimen. Die eis verwijst het Hof dus naar de prullenbak; wel blijft de eis gewoon bestaan dat je moet aantonen dat je schade had en (ongeveer) hoe veel deze is. Voor Nederland heeft dit dan ook geen effect, want zo werkt het bij ons al.

Wie andermans recht geldt, moet de schade vergoeden. Dat is een basisregel in zowat elk rechtssysteem. Maar als we het hebben over “immateriële schade”, zoals smartengeld, dan ligt dat overal ook behoorlijk ingewikkeld. Daar kun je namelijk niet direct een bedrag op plaatsen zoals bij zaakschade of het behandelen van letselschade. Een nieuwe piano is te vergoeden, maar wat kost een missende wijsvinger en maakt het uit dat je nooit meer kunt pianospelen?

De AVG is een regeling over het grondrecht omgang met persoonsgegevens (vaak foutief verward met ‘privacy’), en inbreuken op een grondrecht leveren vaak alleen immateriële schade op. De AVG voorziet in een schadevergoedingsregeling, maar laat het aan het nationaal recht over om te bepalen hoe die vergoeding tot stand mag komen. En toen kwamen ze dus in Oostenrijk met een zaak waarbij de Österreichische Post databestanden verkocht met zeg maar even postcodebestanden gesorteerd op geschatte politieke voorkeur, waar een betrokkene bezwaar tegen had omdat de hem toegezonden politiek georiënteerde reclame “hem erg boos gemaakt [had] en ervoor gezorgd [had] dat hij zijn vertrouwen is verloren en dat hij zich voor schut gezet voelde.”

Dat dit een inbreuk op de AVG was, daar had de Oostenrijkse rechter weinig moeite mee. Maar welke schadevergoeding zou de man moeten krijgen? Er was behalve dat boos en beschaamd maken niets anders; geen kapot gegooide ruiten, geen verloren baan, geen letselschade, zelfs geen gemiste omzet van een ondernemer of een factuur van een psychiater of wat dan ook waar je een objectief getal op kan zetten. Dan kom je dus bij de immateriële schadevergoeding, en daarvan geldt in Oostenrijk dus de maatstaf dat je die pas vergoed krijgt als er enige mate van ernst is, meer dan enkel een beetje boos of teleurgesteld zijn.

Het Hof van Justitie constateert nu dat de AVG zo’n drempel niet toelaat. Ook als de schade minimaal is, of alleen met vage termen aangeduid kan worden. Wel is het zo dat enkel een overtreding van de AVG niet automatisch maakt dat er een vergoeding moet worden betaald, de schade moet wel worden hard gemaakt. In Nederland was dat al zo (arrest, arrest): je kunt in Nederland in theorie 1 euro schadevergoeding krijgen voor een stukje boosheid naar de verwerkingsverantwoordelijke toe, als je maar hard kunt maken dat die boosheid 1 euro aan schade opleverde. Ook geringe schade kan voor vergoeding in aanmerking komen.

Voor Nederland verandert er dus weinig, het uitgangspunt blijft dat je altijd mag claimen mits je maar je schade kunt onderbouwen. Dit is met name een probleem voor de AVG-massaclaims die in opkomst zijn: daar gaat het niet alleen over wat de schade is, maar ook wat voor een hele groep mensen de schade is. Bij een specifiek persoon valt er vaak nog wel wat van te maken, maar wanneer je gaat abstraheren naar een groep mensen (“alle consumenten die een AH Bonuskaart hebben en vaak havermelk kochten, kregen politieke reclame”) dan wordt dat nog wat moeilijker.

Arnoud

8 reacties

  1. De eis om schade te bewijzen maakt het meteen wel heel erg (misschien zelfs onredelijk) lastig om je schade ook vergoed te krijgen. Als mijn gegevens in 3 datalekken voorkomen en ik door de gecombineerde data die gelekt is in een phishing mail trap waarna er €10.000 van mijn bankrekening verduisterd wordt, hoe bewijs ik dan dat (een van) die 3 datalekken dat veroorzaakt heeft? Zonder datalekken had ik die phishing mails waarschijnlijk niet ontvangen, maar wie spreek ik aan op het resultaat?

    1. Dat is waar, maar tegelijk: wie zou jij vinden dat je mag aanspreken, alledrie die datalekveroorzakers of willekeurig eentje? Of anders gezegd, waarom moet een of meer van die partijen jouw schade vergoeden als niet vaststaat dat zij die schade veroorzaakt hebben?

      1. Een goede vraag. Maar eigenlijk kan je dus beter maar zoveel mogelijk lekken, in allerlei organisaties, omdat de schuldvraag dan onmogelijk wordt. Het is al veel te moeilijk om (financiële) schade aan te tonen. En dan heb je deze hobbel ook nog te nemen.

        Een consument vist al veel te makkelijk achter het net. Moeten we hier misschien niet al snel overstappen op omgekeerd bewijslast?

      2. Ik heb geen juridische achtergrond, maar is art 6:99 BW hier niet van toepassing? Of geldt dit niet voor immateriele schade?

        Kan de schade een gevolg zijn van twee of meer gebeurtenissen voor elk waarvan een andere persoon aansprakelijk is, en staat vast dat de schade door ten minste één van deze gebeurtenissen is ontstaan, dan rust de verplichting om de schade te vergoeden op ieder van deze personen, tenzij hij bewijst dat deze niet het gevolg is van een gebeurtenis waarvoor hijzelf aansprakelijk is.

        1. Dat vind ik wel een hele mooie. In HR 9 oktober 1992, ECLI:NL:HR:1992:ZC0706, NJ 1994/535 (DES-dochters), werd het artikel toegepast op het geval waarin een groot aantal benadeelden schade leed door het, door een groot aantal producenten in het verkeer gebrachte, geneesmiddel DES, waarbij niet meer viel te achterhalen van welke producent het DES afkomstig was waardoor een bepaalde benadeelde de schade leed. Je mocht dus iedere producent aanspreken en die moeten het onderling maar uitzoeken, zeg maar. Ja, ik zie daar wel ruimte voor.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.