Skip to ContentSkip to Navigation
Rijksuniversiteit Groningenfounded in 1614  -  top 100 university
Sluiten
Over ons Faculteit Rechtsgeleerdheid Recht & Samenleving
Header image Recht & Samenleving
Blog

Recht & Samenleving

Vergoeding van immateriële schade en de GDPR

Datum:23 april 2025
mr. S. (Sophia) Salziger
mr. S. (Sophia) Salziger

Auteur: mr. Sophia Salziger
Wat als een overheidsdienst een cyberaanval ondergaat, je gevoelige persoonlijke gegevens online worden gepubliceerd en je bang bent voor identiteitsdiefstal? Of wanneer een video van jou zonder je toestemming wordt verspreid, waardoor je reputatie wordt geschaad? De General Data Protection Regulation (GDPR) geeft je het recht om schadevergoeding te ontvangen van de verantwoordelijke gegevensbeheerder/verwerker als je rechten onder de bepalingen zijn geschonden en je daardoor schade hebt geleden.

Schade als gevolg van schendingen van de gegevensbescherming is meestal niet-materieel van aard.1 Het gaat om sociale en psychologische schade, zoals negatieve emoties als gevolg van inbreuk op de privacy, reputatieschade en verlies van informatieve zelfbeschikking. Schade kan ook discriminatie en stigmatisering zijn. Tussen 2023 en 2024 heeft het Hof van Justitie van de Europese Unie (HvJEU) tien richtinggevende uitspraken gedaan over de vereisten voor het toekennen van een vordering tot vergoeding van immateriële schade van de verantwoordelijke gegevensbeheerder/verwerker.2 Hierin verlaagde het HvJEU de drempel voor betrokkenen om een vordering tot schadevergoeding in te stellen.

Handhaving van de rechten van betrokkenen
De rechten van betrokkenen worden versterkt door Europese en nationale rechtbanken nu de GDPR steeds beter wordt gehandhaafd. Betrokkenen stellen steeds vaker vorderingen in wanneer ze schade hebben geleden door de schending van hun rechten onder de GDPR. Met name nationale rechtbanken in Duitsland3 en Nederland4, maar ook in Oostenrijk5, Ierland6 en Polen7 kennen geleidelijk een vergoeding toe voor immateriële schade op basis van een schending van de GDPR of persoonlijkheidsrechten.

Een vordering tot schadevergoeding
Het HvJEU heeft de vereisten voor een vordering tot schadevergoeding voor immateriële schade vastgelegd in de GDPR. De arresten versterken de rechten van betrokkenen. Ook leggen ze de gegevensbeheerder strenge verplichtingen op met betrekking tot aansprakelijkheid en verantwoordelijkheid voor de implementatie van technische en organisatorische maatregelen en de verwerkingsbeveiliging. Er zijn drie cumulatieve vereisten om aanleiding te geven tot een vordering tot schadevergoeding op grond van artikel 82, lid 1, van de GDPR:

1. verwerking van persoonsgegevens die inbreuk maakt op de bepalingen van de GDPR,
2. schade geleden door de betrokkene, en
3. een causaal verband tussen de inbreuk en de schade.8

Elke schade kan worden vergoed
Ten eerste verwierp het HvJEU een drempel voor de ernst van de schade om vergoed te kunnen worden, een zogenaamde de-minimisdrempel. Als gevolg hiervan is elke schade vergoedbaar, ongeacht de ernst ervan (zelfs als deze minimaal en niet ernstig is) en ongeacht de duur ervan (zelfs als deze kort is), zolang deze daadwerkelijk is geleden, voldoende is onderbouwd en naar behoren is bewezen door de betrokkene.9

Bezorgdheid, angst, ongerustheid en verlies van controle
Ten tweede heeft het HvJEU duidelijkheid verschaft over relevante soorten schade. Het oordeelde dat “bezorgdheid, angst en ongerustheid van een betrokkene met betrekking tot mogelijk misbruik van persoonsgegevens in de toekomst” kunnen vallen onder immateriële schade op grond van artikel 82(1) GDPR en voor vergoeding in aanmerking komen indien zij daadwerkelijk zijn geleden, voldoende zijn onderbouwd en naar behoren zijn bewezen door de betrokkene.10 Daarnaast kan het (loutere en korte) “verlies van controle over persoonsgegevens” immateriële schade vormen en daarom aanleiding geven tot een vordering op grond van artikel 82(1) GDPR.11

Er kan echter geen schadevergoeding worden toegekend voor elk vermeend of waargenomen ongemak. Integendeel, de vordering moet bijzonder gerechtvaardigd zijn en de geleden immateriële schade moet door de betrokkene worden aangetoond en bewezen. Daarom valt een “louter hypothetisch risico van misbruik van persoonsgegevens in de toekomst”, bijvoorbeeld wanneer geen derde partij kennis heeft gekregen van de persoonsgegevens in kwestie, niet onder het “begrip immateriële schade”.12

Vermoeden van schuld
Tot slot oordeelde het HvJEU dat artikel 82(1) GDPR schuldaansprakelijkheid oplegt, met een vermoeden van schuld aan de kant van de gegevensbeheerder/verwerker.13 Alleen als een gegevensbeheerder/verwerker kan bewijzen dat hij niet verantwoordelijk is voor de schadeveroorzakende gebeurtenis, d.w.z. dat hij voldoet aan de verplichtingen van de GDPR, kan hij worden vrijgesteld van aansprakelijkheid. Het is niet voldoende om te beweren dat de schade is veroorzaakt door onrechtmatig gedrag van een persoon die handelde onder het gezag van de gegevensbeheerder/verwerker.14

Makkelijk geld verdienen: Laten we naar de rechter stappen!?
Het compensatiebedrag is over het algemeen niet hoog. In Duitsland bijvoorbeeld oordeelde het Federale Hof van Justitie (BGH) onlangs dat het verlies van controle over persoonlijke gegevens kan leiden tot een schadevergoeding van ongeveer €100, met een minimum van € 10.15 Als er vrees is voor toekomstig misbruik in verband met dit verlies van controle over persoonlijke gegevens, moet de compensatie hoger worden vastgesteld.

Gezien de stress, tijd en geld die je kwijt bent aan advocaten en rechtszaken, is het misschien niet de moeite waard om je geluk te beproeven met het claimen van verlies van controle over persoonlijke gegevens zonder verdere negatieve gevolgen. Als je echter emotioneel lijdt en vreest voor toekomstig misbruik als gevolg van een schending van de GDPR, en je kunt dit bewijzen, dan kun je mogelijk compensatie claimen onder artikel 82(1) GDPR.

1Although outdated, see FRA, ‘Access to Data Protection Remedies in EU Member States’ (FRA – European Union Agency for Fundamental Rights, 2013) 7, 28.
2Case C-300/21 Österreichische Post [2023] ECLI:EU:C:2023:370; Case C-340/21 Natsionalna agentsia za prihodite [2023] ECLI:EU:C:2023:986; Case C-456/22 Gemeinde Ummendorf [2023] ECLI:EU:C:2023:988; Case C-667/21 Krankenversicherung Nordrhein [2023] ECLI:EU:C:2023:1022; Case C-687/21 MediaMarktSaturn [2024] ECLI:EU:C:2024:72; Case C-741/21 juris [2024] ECLI:EU:C:2024:288; Joined Cases C-182/22 and C-189/22 Scalable Capital [2024] ECLI:EU:C:2024:531; Case C-590/22 PS (incorrect address) [2024] ECLI:EU:C:2024:536; Case C-200/23 Agentsia po vpisvaniyata [2024] ECLI:EU:C:2024:827; Case C-507/23 Patērētāju tiesību aizsardzības centrs [2024] ECLI:EU:C:2024:854.
3OLG Hamburg, 12.02.2025 (13 U 11/24); OLG Koblenz, 11.02.2025 (3 U 145/24), GRUR-RS 2025, 2048; BGH, 28.01.2025 (VI ZR 183/22), NJW 2025, 1059.
4Rb Noord-Holland, 18.06.2024 (23-3358), ECLI:NL:RBNHO:2024:7868; Rb Gelderland, 4.10.2023 (10357013 \ CV EXPL 23-1488), ECLI:NL:RBGEL:2023:5435; Rb Den Haag, 21.09.2023 (22/2601), ECLI:NL:RBDHA:2023:14359.
5OGH, 23.06.2021 (6 Ob 56/21k); OGH, 27.11.2019 (6 Ob 217/19h).
6Circuit Court, 05.07.2024 ([2024] IECC 6, 2022/05096); Circuit Court, 11.07.2023 ([2023] IECC 5, 2019/04546).
7District Court Warsaw-Praga, 17.03.2022 (II C 1228/19); District Court Warsaw, 06.08.2020 (XXV C 2596/19).
8Case C-300/21 Österreichische Post, para 32; Case C-340/21 Natsionalna agentsia za prihodite, para 77; Case C-456/22 Gemeinde Ummendorf, para 14; Case C-667/21 Krankenversicherung Nordrhein, para 82; Case C-687/21 MediaMarktSaturn, para 58; Case C-741/21 juris, para 34; Joined Cases C-182/22 and C-189/22 Scalable Capital, para 41; Case C-590/22 PS (incorrect address), para 22; Case C-200/23 Agentsia po vpisvaniyata, para 140; Case C-507/23 Patērētāju tiesību aizsardzības centrs, para 24.
9Case C-300/21 Österreichische Post, para 51; Case C-340/21 Natsionalna agentsia za prihodite, para 78; Case C-456/22 Gemeinde Ummendorf, para 16; Case C-687/21 MediaMarktSaturn, para 59; Case C-741/21 juris, para 36; Joined Cases C-182/22 and C-189/22 Scalable Capital, para 44; Case C-590/22 PS (incorrect address), para 26; Case C-200/23 Agentsia po vpisvaniyata, para 147.
10Case C-340/21 Natsionalna agentsia za prihodite, para 85; Case C-590/22 PS (incorrect address), para 36; Case C-200/23 Agentsia po vpisvaniyata, para 143.
11Case C-456/22 Gemeinde Ummendorf, paras 18-23; Case C-687/21 MediaMarktSaturn, para 66; Case C‑741/21 juris, paras 41-42.
12Case C-687/21 MediaMarktSaturn, para 68.
13Case C-667/21 Krankenversicherung Nordrhein, paras 93-94; Case C‑741/21 juris, para 46; Case C-200/23 Agentsia po vpisvaniyata, para 161.
14Case C‑741/21 juris, para 54; See Case C-200/23 Agentsia po vpisvaniyata, para 166.
15BGH, 18.11.2024 (VI ZR 10/24), openJur, para 115.

Tags: immateriële schade, schadevergoeding, General Data Protection Regulation, gegevensbescherming, schade, handhaving
Deel dit Facebook LinkedIn
Volg de RUGfacebook linkedin rss instagram youtube
Functioneel
Biedt de basisfuncties en maakt gebruik van geanonimiseerde cookies.
Standaard
Biedt de optimale werking en maakt gebruik van onder andere videocookies.
Volledig
Biedt gepersonaliserde content en maakt gebruik van marketingcookies.
Stel je cookievoorkeur in. Lees onze privacy en cookie disclaimer voor meer informatie.