Talen

Oostenrijk: Prejudiciële vragen verwezen naar HvJ - Schadevergoeding voor immateriële schade onder art. 82 GDPR

Publicaties: juni 27, 2021

Terug naar overzicht

Auteurs

Gerelateerde deskundige gidsen

In een recente uitspraak van 15 april 2021 oordeelde het Oostenrijkse Hooggerechtshof (Oberste Gerichtshof, OGH) dat de verwerking van gegevens over de affiniteit van de betrokkene met een politieke partij een bijzondere categorie persoonsgegevens vormt. Dit geldt zelfs als de betreffende gegevens gebaseerd zijn op geanonimiseerde peilingen en statistieken.

Bovendien heeft de OESO, bij verzoek om een prejudiciële beslissing overeenkomstig artikel 267 VWEU, een verzoek om een prejudiciële beslissing ingediend. 267 VWEU, fundamentele vragen met betrekking tot de interpretatie van art. 82 GDPR aan het Europees Hof van Justitie (HJEU). Meer in het bijzonder verzocht het om verduidelijking van de vereisten voor de toekenning van schadevergoeding op grond van schendingen van de GDPR en de beoordeling van deze schadevergoeding op grond van artikel 82 GDPR. 82 GDPR.

Feiten

De feiten die ten grondslag liggen aan deze zaak vinden hun oorsprong in een apart juridisch geschil (6Ob35/21x).

  • Verweerder verkocht als uitgever van adressen ("Adresshändler") persoonsgegevens voor marketingdoeleinden van derden op grond van § 151 van de Oostenrijkse wet op de handelspraktijken (Gewerbeordnung 1994, GewO);
  • De door verweerster verzamelde informatie bevatte gegevens over de partijverwantschap van Oostenrijkse staatsburgers;
    Na een verzoek om toegang (art. 15 GDPR) vernam de eiser dat de verweerder de politieke verwantschap van de eiser met de Oostenrijkse Vrijheidspartij (FPÖ) had verondersteld;
  • De informatie over de affiniteit van de betrokkene werd verkregen door het gebruik van een algoritme om "doelgroepadressen" te definiëren op basis van socio-demografische kenmerken;
  • Zonder toestemming te hebben gegeven voor het verwerken en opslaan van gegevens, verzocht de eiser om
  • Een bevel om de Verweerder te verhinderen gegevens over zijn vermoedelijke politieke opvattingen te verwerken;
  • een schadevergoeding van 1 000 EUR voor de immateriële schade die hij heeft geleden als gevolg van de partijverwantschap die aan hem is toegekend en die hij als beledigend, schandelijk en schadelijk voor zijn krediet beschouwt.

Hoewel het verzoek om een rechterlijk bevel werd toegewezen door de Weense regionale rechtbank voor burgerlijke zaken (Landesgericht für Zivilsachen), werd de schadevergoeding geweigerd omdat de vereiste drempel voor compensabele immateriële schade niet werd gehaald. De beslissing werd bevestigd door het Oberlandesgericht. Beide partijen gingen tegen de beslissing in beroep.

Juridische kwesties

De uitspraak van het OGH richtte zich op 1) de vraag of de gegevens over de affiniteit van de partij met politieke partijen als persoonsgegevens moeten worden beschouwd (art. 4, lid 1 GDPR); 2) de vraag of deze gegevens een speciale categorie persoonsgegevens vormen (art. 9 GDPR); 3) de vraag of de verweerder de gegevens van de eiser in de toekomst niet meer mag verwerken; 4) de vraag of de verwerking van de gegevens de eiser recht geeft op schadevergoeding (art. 82 GDPR).

Gedeeltelijke uitspraak door OGH

  • Persoonsgegevens (art. 4, lid 1 GDPR)
  • Persoonsgegevens zijn alle informatie met betrekking tot geïdentificeerde of identificeerbare natuurlijke personen ("betrokkenen");
  • Een identificeerbare natuurlijke persoon moet een persoon zijn die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator;
  • Persoonsgegevens werden geacht ook gegevens te omvatten die zijn verkregen met behulp van subjectieve en/of objectieve beoordelingen (d.w.z. niet-persoonlijke gegevens, bijv. opiniepeilingen/statistieken), aangezien hierdoor de "affiniteit met een politieke partij" rechtstreeks kon worden toegewezen aan een geïdentificeerde/identificeerbare natuurlijke persoon;
  • De geldigheid van de vermeende affiniteit is hierbij irrelevant;
  • Het feit dat de informatie slechts een uitdrukking was van de veronderstelde belangstelling van de betrokkene voor een bepaalde politieke partij, is evenmin van belang.[1]

 

Bijzondere categorie van persoonsgegevens (art. 9 GDPR)

  • De term "politieke overtuiging" moet ruim worden geïnterpreteerd om een uniform en hoog beschermingsniveau te garanderen;
  • Elk risico van ernstige discriminatie als gevolg van de verwerking van bepaalde soorten gegevens moet worden ondermijnd;
  • Gegevens over de politieke voorkeur van subjecten geven aanleiding tot potentiële discriminatie en moeten daarom worden beschouwd als vallende onder het begrip "politieke mening" overeenkomstig art. 9 GDPR.[2]

 

Rechtsmiddelen (art. 79 GDPR)

  • Het recht op een doeltreffende voorziening in rechte wordt gegarandeerd door Art. 79 GDPR wanneer de rechten van de betrokkene zijn geschonden als gevolg van de verwerking van zijn of haar persoonsgegevens in strijd met de GDPR-bepalingen;
  • Bij gebrek aan uitdrukkelijke toestemming van de betrokkene wordt de verwerking van gegevens over de affiniteit met een politieke partij op zichzelf onwettig geacht krachtens artikel 9, lid 2, onder a);
  • Het feit dat de relevante gegevens zijn gewist/niet gepubliceerd, d.w.z. dat ze intern plaatsvinden maar niet extern verschijnen, doet niet ter zake, aangezien dit niet het gevaar wegneemt dat deze gegevens in de toekomst (opnieuw) worden gecreëerd;
  • Een bevel moet worden gehandhaafd wanneer de mogelijkheid bestaat dat gegevens in de toekomst opnieuw worden gecreëerd.

 

Prejudiciële vragen aan het HvJEU

Het Oostenrijkse Hooggerechtshof heeft het HvJEU verzocht om een prejudiciële beslissing op grond van art. 267 VWEU over de uitlegging en toepassing van de schadevordering geregeld in artikel 82 GDPR. 82 GDPR.

In het bijzonder wordt het HvJEU gevraagd om te verduidelijken:

  • Of een vordering tot schadevergoeding, naast de schending van een GDPR-bepaling, vereist dat de eiser specifieke schade heeft geleden of dat genoemde schending voldoende is om in aanmerking te komen voor de toekenning;
  • of de nationale rechter bij de beoordeling van de schadevergoeding rekening moet houden met aanvullende vereisten van het EU-recht die verder gaan dan de beginselen van doeltreffendheid en gelijkwaardigheid;
  • of de drempel voor niet-geldelijke/niet-materiële schadevergoeding vereist dat de inbreuk gevolgen van een zekere omvang of gewicht heeft die verder gaan dan woede of ergernis veroorzaakt door de genoemde inbreuk.

Hoewel dit meestal via massavorderingen gebeurt, behoudt iedereen die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op een GDPR-bepaling het recht om een rechtszaak aan te spannen op grond van artikel 82 GDPR. 82 GDPR.

Bedrijven doen er goed aan om berichten in de pers over gegevensverlies op de voet te volgen en indicatoren van schendingen van de gegevensbescherming vroegtijdig te identificeren, zodat tekortkomingen binnen de bestaande regelgeving inzake gegevensbescherming snel kunnen worden aangepakt. Verder zou het goed zijn om ervoor te zorgen dat de documentatie en interne processen in overeenstemming worden gebracht met de GDPR-principes en -implementatievereisten. Daartoe moeten eerdere besluiten met betrekking tot art. 82 GDPR op zowel nationaal als EU-niveau. Het is duidelijk dat op basis van de doorverwijzing van prejudiciële vragen door het OGH naar het HvJEU een belangrijke basis is gelegd die een uniforme interpretatie van het gegevensbeschermingsrecht op het gebied van schadevergoeding mogelijk zou kunnen maken.

Bronnen

  1. Zie ook 6Ob127 / 20z (OGH); W258 2217446-1 (BVwG).
  2. Zie ook W258 2217446-1 (BVwG).

De inhoud van dit artikel is bedoeld als een algemene leidraad voor het onderwerp. U moet specialistisch advies inwinnen over uw specifieke omstandigheden.

Terug naar overzicht