In een recent arrest van 15 april 2021 heeft het Oostenrijkse Hooggerechtshof (Oberste Gerichtshof, OGH) geoordeeld dat de verwerking van gegevens over de affiniteit van de betrokkene met een politieke partij een bijzondere categorie van persoonsgegevens vormt. Dit geldt zelfs indien de betrokken gegevens zijn gebaseerd op anoniem gemaakte opiniepeilingen en statistieken.

Bovendien heeft het OGH bij verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU fundamentele vragen gesteld over de uitlegging van artikel 267 VWEU. 267 VWEU, fundamentele vragen gesteld over de uitlegging van artikel 82 GDPR. 82 GDPR aan het Europees Hof van Justitie (HJEU) gesteld. Meer in het bijzonder heeft het verzocht om verduidelijking van de vereisten voor de toekenning van schadevergoeding op grond van inbreuken op de GDPR en de beoordeling van deze schadevergoeding op grond van artikel 82 GDPR. 82 GDPR.

Feiten

De feiten die aan deze zaak ten grondslag liggen, vinden hun oorsprong in een afzonderlijk juridisch geschil (6Ob35/21x).

• Verweerster heeft als adresuitgever ("Adresshändler") in de zin van § 151 van de Oostenrijkse wet op de handelsreglementering (Gewerbeordnung 1994, GewO) persoonsgegevens verkocht voor marketingdoeleinden van derden;
• De door verweerder verzamelde informatie bevatte onder meer gegevens over de partijverwantschap van Oostenrijkse onderdanen;
  Na een verzoek om toegang (art. 15 GDPR) vernam eiser dat verweerder ervan uit was gegaan dat eiser politieke banden had met de Oostenrijkse Vrijheidspartij (FPÖ);
• De informatie over de affiniteit van de proefpersoon werd verkregen door het gebruik van een algoritme om "doelgroepadressen" te definiëren op grond van sociaal-demografische kenmerken;
• Zonder toestemming te hebben gegeven voor het verwerken en opslaan van gegevens, heeft eiser verzocht
• Een bevel om te verhinderen dat verweerder gegevens over zijn vermeende politieke opvattingen verwerkt;
• Vergoeding van 1 000 EUR voor de immateriële schade die hij heeft geleden als gevolg van de aan hem toegekende partijbetrokkenheid, die hij als beledigend, beschamend en kredietwaardig beschouwt.

Het verzoek om een rechterlijk bevel werd door het Landesgericht für Zivilsachen (regionaal gerechtshof voor burgerlijke zaken te Wenen) toegewezen, maar de schadevergoeding werd afgewezen omdat niet was voldaan aan de vereiste drempel voor vergoedbare immateriële schade. De beslissing is bevestigd door het Oberlandesgericht (hoogste regionale rechterlijke instantie). Beide partijen zijn tegen deze beslissing in beroep gegaan.

Juridische kwesties

Het arrest van de OGH was toegespitst op 1) de vraag of gegevens over de affiniteit van de partij met politieke partijen als persoonsgegevens kunnen worden aangemerkt (art. 4, lid 1, GDPR); 2) de vraag of deze gegevens een bijzondere categorie persoonsgegevens vormen (art. 9 GDPR); 3) de vraag of verweerder moet afzien van verdere verwerking van de gegevens van eiser in de toekomst; 4) de vraag of de verwerking van de gegevens eiser recht geeft op schadevergoeding (art. 82 GDPR).

Gedeeltelijke uitspraak door OGH

• Persoonsgegevens (art. 4, lid 1, GDPR)
• Persoonsgegevens zijn alle informatie over geïdentificeerde of identificeerbare natuurlijke personen ("betrokkenen");
• Een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator;
• Persoonsgegevens werden geacht gegevens te omvatten die zijn verkregen door middel van subjectieve en/of objectieve beoordelingen (d.w.z. niet-persoonsgebonden gegevens, bijv. opiniepeilingen/statistieken), aangezien daarmee de "affiniteit voor een politieke partij" rechtstreeks kon worden toegewezen aan een geïdentificeerde/identificeerbare natuurlijke persoon;
• De geldigheid van de vermeende verwantschap is hierbij irrelevant;
• Het feit dat de informatie slechts een uiting was van de veronderstelde belangstelling van de betrokkene voor een bepaalde politieke partij, doet evenmin ter zake.¹

Bijzondere categorie persoonsgegevens (art. 9 GDPR)

• De term "politieke overtuiging" moet ruim worden uitgelegd om een uniform en hoog niveau van bescherming te waarborgen;
• Elk risico van ernstige discriminatie als gevolg van de verwerking van bepaalde soorten gegevens moet worden ondermijnd;
• Gegevens over de politieke voorkeur van de betrokkenen kunnen aanleiding geven tot discriminatie en moeten derhalve worden beschouwd als vallende onder de politieke opinie in de zin van artikel 9 GDPR. 9 GDPR.²

Rechtsmiddel (art. 79 GDPR)

• Het recht op een doeltreffende voorziening in rechte is gewaarborgd bij art. 79 GDPR wanneer de rechten van de betrokkene zijn geschonden als gevolg van de verwerking van zijn persoonsgegevens in strijd met de GDPR-bepalingen;
• Bij gebreke van uitdrukkelijke toestemming van de betrokkene wordt de verwerking van gegevens over de affiniteit met een politieke partij op zich onwettig geacht uit hoofde van artikel 9, lid 2, onder a);
• Het feit dat de betrokken gegevens waren gewist/niet gepubliceerd, d.w.z. dat zij intern plaatsvonden maar niet naar buiten werden gebracht, doet niet ter zake aangezien het gevaar dat deze gegevens in de toekomst (opnieuw) worden gecreëerd, daardoor niet wordt weggenomen;
• Een rechterlijk bevel moet worden gehandhaafd wanneer de mogelijkheid bestaat dat gegevens in de toekomst opnieuw worden gecreëerd.

Prejudiciële vragen aan het HvJEU

Het Oostenrijkse Hooggerechtshof heeft het HvJEU verzocht om een prejudiciële beslissing krachtens art. 267 VWEU om een prejudiciële beslissing over de uitlegging en toepassing van de in artikel 82 GDPR geregelde vordering tot schadevergoeding. 82 GDPR.

In het bijzonder wordt het HvJEU om opheldering verzocht:

• Of voor een vordering tot schadevergoeding, naast de schending van een GDPR-bepaling, vereist is dat de eiser specifieke schade heeft geleden, dan wel of genoemde schending volstaat om voor toekenning in aanmerking te komen;
• Of de nationale rechter bij zijn beoordeling van de schade rekening moet houden met bijkomende vereisten van het Unierecht die verder gaan dan het doeltreffendheidsbeginsel en het gelijkwaardigheidsbeginsel;
• Of de drempel voor niet-geldelijke/niet-materiële schadevergoeding vereist dat de inbreuk gevolgen van een zekere omvang of gewicht heeft die verder gaan dan woede of ergernis veroorzaakt door die inbreuk.

Hoewel dit meestal gebeurt via massavorderingen, behoudt elke persoon die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op een GDPR-bepaling, het recht om een rechtsvordering in te stellen op grond van artikel 82 GDPR. 82 GDPR.

Bedrijven doen er goed aan persberichten over gegevensverlies nauwlettend in de gaten te houden en indicatoren van inbreuken op de gegevensbescherming vroegtijdig te identificeren, zodat tekortkomingen binnen de bestaande regelgeving inzake gegevensbescherming snel kunnen worden aangepakt. Voorts zou het goed zijn ervoor te zorgen dat de documentatie en de interne processen in overeenstemming worden gebracht met de GDPR-beginselen en -uitvoeringsvoorschriften. Daartoe moet een evaluatie worden gemaakt van eerdere besluiten met betrekking tot artikel 82 van de GDPR, zowel op nationaal als op EU-niveau. 82 GDPR op zowel binnenlands als EU-niveau van nut zijn. Het is duidelijk dat op basis van de prejudiciële vragen die door het OGH aan het HvJEU zijn gesteld, een belangrijke basis is gelegd voor een uniforme interpretatie van de gegevensbeschermingswetgeving inzake schadevergoeding.

Voetnoten

1. Zie ook 6Ob127 / 20z (OGH); W258 2217446-1 (BVwG).

2. Zie ook W258 2217446-1 (BVwG).

De inhoud van dit artikel is bedoeld als een algemene leidraad voor het onderwerp. Er dient gespecialiseerd advies te worden ingewonnen over uw specifieke omstandigheden.