Vergissing van een medewerker niet voldoende voor toewijzing immateriële schadevergoeding

HvJEU 25 januari 2024, IT 4473; ECLI:EU:C:2024:72 (Verzoeker tegen MediaMarktSaturn) Verzoeker in het hoofdgeding heeft een elektrisch apparaat gekocht bij Saturn. Voor de verkoop hiervan is er een kredietovereenkomst opgesteld, waarvoor er een aantal persoonsgegevens van verzoeker verwerkt moest worden in het informatiesysteem van Saturn. Door een vergissing van een medewerker ontving een andere klant het bestelde apparaat. Deze fout werd echter snel ontdekt en opgelost. Saturn wilde ter compensatie zelfs het apparaat gratis bij verzoeker thuis afleveren. Deze compensatie was volgens verzoeker echter ontoereikend. Hij is van mening dat hij recht heeft op een immateriële schadevergoeding op grond van de AVG, wegens het verlies van controle over zijn persoonsgegevens. Bij de Duitse rechter in eerste aanleg worden de vorderingen tot een schadevergoeding afgewezen, en de rechter in hoger beroep schorst de zaak om prejudiciële vragen aan het Hof voor te leggen.

Met zijn derde en vierde vraag wil de rechter vernemen of de vergissing van de werknemer die heeft geleid tot verstrekking van gegevens aan een onbevoegde voldoende reden geeft om aan te nemen dat de getroffen maatregelen niet voldeden en een schadevergoeding op grond van artikel 82 toe te wijzen. Het Hof stelt dat dit niet zonder meer kan worden aangenomen. Het feit dat een werknemer van de verwerkingsverantwoordelijke per vergissing een document met persoonsgegevens aan een onbevoegde derde hebben verstrekt, volstaat op zichzelf niet om te oordelen dat de door de betrokken verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet ‘gepast’ waren. De rechter dient in zijn beoordeling rekening houden met de maatregelen die door de verwerkingsverantwoordelijke zijn getroffen om te voldoen aan zijn verplichtingen. Met zijn tweede vraag wenst de verwijzende rechter te vernemen of de persoon die schadevergoeding vordert verplicht is om aan te tonen dat de inbreuk heeft geleid tot schade. Deze vraag wordt bevestigend beantwoord door het Hof.

42. In dit verband moet worden opgemerkt dat uit een lezing van de artikelen 5, 24 en 32 AVG in samenhang, gelezen in het licht van overweging 74 daarvan, volgt dat in een beroep tot schadevergoeding op grond van artikel 82 van deze verordening draagt ​​de betrokken verwerkingsverantwoordelijke de bewijslast dat de persoonsgegevens op zodanige wijze worden verwerkt dat een passende beveiliging van die gegevens wordt gewaarborgd, in de zin van artikel 5, lid 1, onder f), en artikel 32 van die verordening. Een dergelijke verdeling van de bewijslast kan niet alleen de voor de verwerking verantwoordelijken van die gegevens ertoe aanzetten de door de AVG vereiste veiligheidsmaatregelen te nemen, maar ook de doeltreffendheid van het recht op schadevergoeding als bedoeld in artikel 82 van die verordening behouden en de handhaving ervan in stand houden. de in overweging 11 genoemde bedoelingen van de Uniewetgever (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite , C‑340/21, EU:C:2023:986, punten 49‑56).

43. Het Hof heeft het beginsel van aansprakelijkheid van de voor de verwerking verantwoordelijke, zoals neergelegd in artikel 5, lid 2, van de AVG en verwoord in artikel 24 ervan, dus aldus uitgelegd dat in een vordering tot schadevergoeding op grond van artikel 82 van die verordening de de betrokken verwerkingsverantwoordelijke draagt ​​de bewijslast dat de door hem getroffen veiligheidsmaatregelen passend zijn in de zin van artikel 32 van deze verordening (arrest van 14 december 2023, Natsionalna agentsia za prihodite , C‑340/21, EU:C:2023:986, paragraaf 57).

44. Bijgevolg kan een rechtbank die op grond van artikel 82 AVG een dergelijke vordering tot schadevergoeding behandelt, niet enkel rekening houden met het feit dat de werknemers van de voor de verwerking verantwoordelijke ten onrechte een document met persoonsgegevens aan een onbevoegde derde hebben verstrekt, om te bepalen of er is een schending van een in die verordening neergelegde verplichting. Deze rechter moet ook rekening houden met alle bewijzen die de voor de verwerking verantwoordelijke heeft aangevoerd om aan te tonen dat de door hem getroffen technische en organisatorische maatregelen geschikt zijn om te voldoen aan zijn verplichtingen uit hoofde van de artikelen 24 en 32 van die verordening.