Dom
HØJESTERETS
DOM
afsagt fredag den 19. december 2025
Sagerne BS-14485/2025-HJR, BS-14653/2025-HJR, BS-15152/2025-HJR og BS-16195/2025-HJR
(1. afdeling)
Appellant 1,
Appellant 5,
Appellant 2
og
Appellant 3
(advokat Eva Persson, beskikket for alle)
mod
Gladsaxe Kommune
(advokat Anders Valentiner-Branth og advokat Rasmus Blaabjerg)
Biintervenient til støtte for Gladsaxe Kommune:
Kommunernes Landsforening – KL
(advokat Anders Valentiner-Branth og advokat Rasmus Blaabjerg)
I tidligere instanser er afsagt dom af Retten i Glostrup den 11. maj 2021 (BS-19120/2019-GLO, BS-51318/2019-GLO, BS-49315/2019-GLO og BS-51045/2019-GLO) og af Østre Landsrets 6. afdeling den 15. november 2024 (BS-19616/2021-OLR, BS-35113/2021-OLR, BS-19647/2021-OLR og BS-19665/2021-OLR).
I pådømmelsen har deltaget fem dommere: Jens Peter Christensen, Lars Hjortnæs, Jan Schans Christensen, Lars Apostoli og Julie Arnth Jørgensen.
Påstande
Parterne har gentaget deres påstande for landsretten.
2
Supplerende sagsfremstilling
Der er for Højesteret fremlagt supplerende oplysninger om bl.a., at Gladsaxe Kommune i december 2018 iværksatte kryptering af alle computere med Win-dows 10, og at der blev truffet beslutning om at købe software med henblik på kryptering af computere med Windows 7.
Retten i Aarhus har den 10. februar 2022 afsagt dom i en straffesag om bl.a. det databedrageri, som Appellant 2 i marts 2019 var udsat for. Vestre Landsret afsagde ankedom i sagen den 23. december 2022. Dommene er ikke fremlagt for Højesteret.
Supplerende retsgrundlag
Ud over de domme, der er nævnt i landsrettens dom, har EU-Domstolen i dom af 4. oktober 2024 i sag C-200/23 (Agentsia po vpisvaniyata) og i dom af 4. sep-tember 2025 i sag C-655/23 (IP) fortolket artikel 82 i databeskyttelsesforordnin-gen, jf. Europa-Parlamentets og Rådets forordning af 27. april 2016 (2016/679) om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af sådanne oplysninger og om ophævelse af di-rektiv 95/46/EF.
Det fremgår af dommen af 4. oktober 2024 i sag C-200/23 (Agentsia po vpisvani-yata) bl.a.:
”137 Med det syvende spørgsmål ønsker den forelæggende ret nær-mere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den registreredes kortvarige tab af kon-trol over sine personoplysninger som følge af tilrådighedsstillelse on-line for offentligheden af disse oplysninger i handelsregistret i en med-lemsstat kan være tilstrækkeligt til at forvolde ”immateriel skade” , eller om begrebet ”immateriel skade” kræver, at det godtgøres, at der fore-ligger yderligere konkrete negative konsekvenser.
138 Det skal indledningsvis bemærkes, at denne bestemmelse fastsæt-ter, at ”[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af [databeskyttelsesforordningen], har ret til erstat-ning for den forvoldte skade fra den dataansvarlige eller databehandle-ren” .
139 I denne henseende bemærkes, at eftersom der i databeskyttelsesfor-ordningen ikke henvises til medlemsstaternes ret for så vidt angår be-tydningen og rækkevidden af udtrykkene i den nævnte bestemmelse, særligt begreberne ”materiel eller immateriel skade” og ”erstatning for den forvoldte skade” , skal disse udtryk ved anvendelsen af denne for-
3
ordning anses for at være selvstændige EU-retlige begreber, der skal fortolkes ensartet i alle medlemsstaterne (…).
140 Med henblik herpå skal databeskyttelsesforordningens artikel 82, stk. 1, fortolkes således, at den blotte overtrædelse af denne forordning ikke er tilstrækkelig til at give ret til erstatning, eftersom en af betingel-serne for ret til erstatning som fastsat i denne artikel 82, stk. 1, er, at der foreligger en materiel eller immateriel ”skade” , eller at der er ”for-vold[t] skade” , ligesom denne forordning skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative (…).
141 Den person, der fremsætter et erstatningskrav for skade eller imma-teriel skade på grundlag af denne bestemmelse, er således forpligtet til ikke alene at godtgøre en overtrædelse af samme forordnings bestem-melser, men ligeledes, at denne overtrædelse har forvoldt vedkom-mende en sådan skade eller immateriel skade. Der kan derfor ikke blot formodes at foreligge en sådan skade eller en sådan immateriel skade på grund af forekomsten af den nævnte overtrædelse (…).
142 Navnlig skal en registreret, der er berørt af en overtrædelse af data-beskyttelsesforordningen, som har skabt skadevirkninger for den på-gældende, godtgøre, at disse virkninger udgør en immateriel skade som omhandlet i denne forordnings artikel 82, eftersom den blotte overtræ-delse af denne forordnings bestemmelser ikke er tilstrækkelig til at give ret til erstatning (…).
143 Når en person, der kræver erstatning på grundlag af artikel 82, stk. 1, påberåber sig en frygt for, at der i fremtiden vil ske et misbrug af den pågældendes personoplysninger som følge af en sådan overtræ-delse, skal den nationale ret, hvor sagen anlægges, følgelig efterprøve, om denne frygt kan anses for at være velbegrundet under de pågæl-dende specifikke omstændigheder og i forhold til den registrerede (…).
144 Når dette er sagt, har Domstolen allerede fastslået, at det ikke alene fremgår af ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragtning til denne forordning, som op-fordrer til at anlægge en bred fortolkning af begrebet ”immateriel skade” som omhandlet i denne førstnævnte bestemmelse, men ligeledes af formålet, der består i at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger, som er omhandlet i den nævnte forordning, at den frygt, som en registreret nærer for, at dennes personoplysninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af denne forordning, i sig selv
4
kan udgøre en ”immateriel skade” som omhandlet i artikel 82, stk. 1 (…).
145 Det fremgår navnlig af den illustrative liste over ”skade” , som de registrerede kan lide, der fremgår af første punktum i 85. betragtning til databeskyttelsesforordningen, at EU-lovgiver havde til hensigt, at be-grebet ”skade” , som registrerede kan lide, bl.a. skulle omfatte det blotte ”tab af kontrol” over deres egne personoplysninger som følge af en overtrædelse af denne forordning, selv om et misbrug af de omhand-lede oplysninger ikke konkret har fundet sted (…).
146 En fortolkning af databeskyttelsesforordningens artikel 82, stk. 1, hvorefter begrebet ”immateriel skade” som omhandlet i denne bestem-melse ikke omfatter de situationer, hvor en registreret udelukkende på-beråber sig sin frygt for, at den pågældendes personoplysninger i frem-tiden vil blive misbrugt af tredjemand, ville desuden ikke være i over-ensstemmelse med den garanti for et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger inden for Unionen, der er omhandlet i denne forordning (…).
147 På samme måde kan dette begreb ikke begrænses til alene at om-fatte skader af en vis alvor, navnlig for så vidt angår varigheden af den periode, i hvilken skadevirkningerne af tilsidesættelsen af denne for-ordning er blevet lidt af de registrerede (…).
148 Det kan således ikke lægges til grund, at der ud over de tre betin-gelser, som er anført i denne doms præmis 140, kan tilføjes andre betin-gelser for at ifalde det erstatningsansvar, der er fastsat i databeskyttel-sesforordningens artikel 82, stk. 1, såsom skadens konkrete karakter el-ler krænkelsens objektive karakter (…).
149 Denne bestemmelse kræver heller ikke, at den ”immaterielle ska-de” , som den registrerede hævder at have lidt som følge af en over-trædelse af denne forordnings bestemmelser, skal nå en ”bagatelgræn-se” , for at denne skade kan erstattes (…).
150 Selv om der ikke er noget til hinder for, at offentliggørelse på inter-nettet af personoplysninger og det deraf følgende tab af kontrol over disse inden for et kort tidsrum kan anses for at påføre de registrerede en ”immateriel skade” som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1, der giver ret til erstatning, skal disse personer følgelig endvidere godtgøre, at de faktisk har lidt en sådan skade, hvor lille den end måtte være (…).
5
151 Endelig skal det præciseres, at i forbindelse med fastsættelsen af størrelsen af den erstatning, der skal betales som følge af retten til er-statning for immateriel skade, er en immateriel skade, der er forvoldt af en brud på persondatasikkerheden, ikke efter sin art mindre alvorlig end en personskade (…).
152 Når en person har påvist, at vedkommende har lidt skade som følge af en overtrædelse af databeskyttelsesforordningen som omhandlet i denne forordnings artikel 82, skal de kriterier, der giver mulighed for at bestemme omfanget af den erstatning, der skal betales inden for ram-merne af sager til sikring af beskyttelsen af borgernes rettigheder i hen-hold til denne artikel, desuden fastsættes i hver enkelt medlemsstats retsorden, forudsat, at der er tale om fuld erstatning (…).
153 I denne henseende opfylder den ret til erstatning, der er fastsat i denne artikel 82, stk. 1, navnlig i tilfælde af immateriel skade, en ude-lukkende kompenserende funktion, og ikke en afskrækkende eller straf-fende funktion, da en økonomisk erstatning på grundlag af denne be-stemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der konkret er lidt på grund af overtrædelsen af den nævnte forordning (…).
154 I øvrigt bemærkes dels, at det er en betingelse for, at den dataan-svarlige kan ifalde ansvar i henhold til databeskyttelsesforordningens artikel 82, at denne har pådraget sig skyld, hvilket formodes at være til-fældet, medmindre den dataansvarlige beviser, at den pågældende ikke er skyld i den begivenhed, der medførte skaden, dels at denne artikel 82 ikke kræver, at der tages hensyn til graden af grovheden af denne skyld ved fastsættelsen af størrelsen af den erstatning, der tildeles for en im-materiel skade på grundlag af den nævnte artikel (…).
…
156 Henset til ovenstående betragtninger skal det syvende spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den registreredes kortvarige tab af kontrol over sine personoplysninger som følge af tilrådighedsstillelse online for of-fentligheden af disse oplysninger i handelsregistret i en medlemsstat kan være tilstrækkeligt til at forvolde en ”immateriel skade” , for så vidt som den registrerede godtgør, at vedkommende faktisk har lidt en så-dan skade, hvor lille den end måtte være, uden at begrebet ”immateriel skade” kræver, at det godtgøres, at der foreligger yderligere konkrete negative konsekvenser.
…
6
163 I overensstemmelse med retspraksis, der er nævnt i denne doms præmis 154, er den dataansvarliges ansvar i henhold til den nævnte ar-tikel 82 således betinget af, at der foreligger en fejl begået af denne, hvil-ket formodes, medmindre sidstnævnte kan bevise, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.
164 I denne henseende bemærkes, således som det fremgår af det ud-trykkelige adverbium ”ikke” , der blev tilføjet under lovgivningsproces-sen, at de omstændigheder, hvorunder den dataansvarlige kan gøre krav på at blive fritaget for det civilretlige ansvar, som den pågældende ifalder efter databeskyttelsesforordningens artikel 82, skal være strengt begrænset til omstændigheder, hvor den dataansvarlige kan påvise, at skaden ikke kan tilregnes den pågældende (…)
…
166 For at den dataansvarlige kan fritages for sit erstatningsansvar i henhold til denne artikel 82, stk. 3, er det derfor ikke tilstrækkeligt, at denne godtgør at have givet instrukser til de personer, der udfører ar-bejde for vedkommende som omhandlet i den nævnte forordning, og at en af disse personer har tilsidesat sin forpligtelse til at følge disse in-strukser, således at denne har bidraget til den pågældende skades ind-træden.”
Det fremgår af dommen af 4. september 2025 i sag C-655/23 (IP) bl.a.:
”55 Det fremgår af fast retspraksis, at da der i databeskyttelsesforord-ningens artikel 82, stk. 1, ikke er nogen henvisning til medlemsstaternes nationale ret, skal begrebet ”immateriel skade” i denne bestemmelses forstand undergives en selvstændig og ensartet fortolkning, der er sær-lig for EU-retten (…).
56 I denne henseende har Domstolen gentagne gange, navnlig i lyset af 75., 85. og 146. betragtning til databeskyttelsesforordningen, fastslået, at den blotte overtrædelse af denne forordning ikke er tilstrækkelig til at give ret til erstatning i henhold til forordningens artikel 82, stk. 1. De tre kumulative, nødvendige og tilstrækkelige betingelser for denne ret til erstatning er, at der foreligger en materiel eller immateriel ”skade” , el-ler at der er ”forvold[t] skade” , at forordningen er blevet overtrådt, og at der er en årsagsforbindelse mellem skaden og overtrædelsen. Den re-gistrerede, der fremsætter et erstatningskrav vedrørende en immateriel skade på grundlag af forordningens artikel 82, stk. 1, er således forplig-tet til ikke alene at godtgøre en overtrædelse af forordningen, men lige-ledes, at denne overtrædelse har forvoldt vedkommende en sådan skade (…).
7
57 … Den forelæggende ret ønsker oplyst, om ”negative følelser som f.eks. ærgrelse, irritation, utilfredshed, bekymring og angst” , som efter dens opfattelse ”hører til de almindelige problemer i tilværelsen og ofte er en del af hverdagen” , er tilstrækkelige til at fastslå, at der foreligger en ”immateriel skade” som omhandlet i forordningens artikel 82, eller om den registrerede skal have lidt en skade, der går videre end disse fø-lelser.
58 I denne henseende fremgår det for det første af Domstolens praksis, at databeskyttelsesforordningens artikel 82, stk. 1, er til hinder for en national regel eller praksis, hvorefter erstatning for en ”immateriel skade” som omhandlet i den nævnte bestemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad. Bestemmel-sen kræver ikke, at en immateriel skade, som den registrerede hævder at have lidt, skal nå en ”bagatelgrænse” , for at denne skade kan erstat-tes (…).
59 For det andet, og som Europa-Kommissionen har anført i sit skrift-lige indlæg, er situationer som dem, der er påberåbt i hovedsagen og vedrører en ”skade på omdømme” som følge af et brud på persondata-sikkerheden eller et ”tab af kontrol” over sådanne oplysninger, udtryk-keligt blandt de eksempler på mulige skader, der er opregnet i 75. og 85. betragtning til databeskyttelsesforordningen.
60 Domstolen har navnlig fremhævet, at det fremgår af den illustrative liste i første punktum i 85. betragtning til databeskyttelsesforordningen over ”skade” , som de registrerede kan lide, at EU-lovgiver havde til hensigt, at dette begreb bl.a. skulle omfatte det blotte ”tab af kontrol” over de registreredes egne personoplysninger som følge af en overtræ-delse af forordningen, selv om et misbrug af de omhandlede oplysnin-ger ikke konkret har fundet sted. Et sådant tab af kontrol kan være til-strækkeligt til at forvolde en ”immateriel skade” som omhandlet i for-ordningens artikel 82, stk. 1, for så vidt som den registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, hvor lille den end måtte være, uden at begrebet ”immateriel skade” kræver, at det godtgøres, at der foreligger yderligere konkrete negative konsekvenser (…).
61 For det tredje har Domstolen allerede fastslået, at den frygt, som en registreret nærer for, at vedkommendes personoplysninger vil blive misbrugt i fremtiden som følge af en overtrædelse af databeskyttelses-forordningen, i sig selv kan udgøre en ”immateriel skade” som om-handlet i forordningens artikel 82, stk. 1, forudsat at denne frygt og de
8
negative konsekvenser heraf er behørigt bevist, hvilket det tilkommer den nationale ret at efterprøve (…).
62 Selv om de følelser, som den forelæggende ret har nævnt, navnlig frygt eller utilfredshed, i øvrigt kan høre til de almindelige problemer i tilværelsen og være en del af hverdagen, som den forelæggende ret selv har bemærket, kan sådanne negative følelser således udgøre en ”imma-teriel skade” som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1, for så vidt som den registrerede i overensstemmelse med det i denne doms præmis 56 nævnte krav om, at der er en årsagssammen-hæng, godtgør, at vedkommende netop har sådanne følelser og de ne-gative konsekvenser heraf som følge af den omhandlede overtrædelse af forordningen, såsom en uautoriseret videregivelse af vedkommendes personoplysninger til tredjemand, der medfører en risiko for misbrug af oplysningerne, hvilket det påhviler de nationale retter at vurdere.
63 For det fjerde og sidste er denne fortolkning i overensstemmelse med ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, sammen-holdt med 85. og 146. betragtning til forordningen, hvori der opfordres til at anlægge en bred fortolkning af begrebet ”immateriel skade” som omhandlet i forordningens artikel 82, stk. 1. Den understøttes desuden af formålet med forordningen, der fremgår af dens artikel 1 og første og tiende betragtning og består i at sikre et højt niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (…).
64 Henset til ovenstående betragtninger skal det fjerde spørgsmål be-svares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal for-tolkes således, at begrebet ”immateriel skade” i denne bestemmelse om-fatter negative følelser, som den registrerede oplever som følge af en uautoriseret videregivelse af vedkommendes personoplysninger til en tredjemand, såsom frygt eller utilfredshed, der udløses af et tab af kon-trol over oplysningerne, af et potentielt misbrug af oplysningerne eller af en krænkelse af vedkommendes omdømme, for så vidt som den regi-strerede godtgør, at vedkommende har sådanne følelser og de negative konsekvenser heraf som følge af den omhandlede overtrædelse af for-ordningen.
….
66 I denne henseende fremgår det af Domstolens praksis, at eftersom databeskyttelsesforordningen ikke indeholder bestemmelser, der har til formål at fastsætte reglerne for fastsættelsen af den erstatning, der skal betales som følge af den ret til erstatning, der er fastsat i forordningens artikel 82, skal de nationale retter med henblik herpå anvende den en-
9
kelte medlemsstats nationale regler vedrørende den økonomiske erstat-nings omfang, for så vidt som dette sker under overholdelse af de EU-retlige principper om ækvivalens og effektivitet.
…
78 Det skal navnlig understreges, at de kriterier, der giver mulighed for at bestemme omfanget af den erstatning, der skal betales inden for ram-merne af sager til sikring af beskyttelsen af borgernes rettigheder i hen-hold til databeskyttelsesforordningens artikel 82, og som fastsættes i hver enkelt medlemsstats retsorden, skal gøre det muligt at sikre fuld erstatning for den skade, som den registrerede har lidt som følge af en overtrædelse af forordningen (…).
79 Domstolen har allerede anerkendt, at der inden for de grænser, der følger af effektivitetsprincippet, er visse omstændigheder, der kan på-virke fastsættelsen af den erstatning, der skal betales i henhold til data-beskyttelsesforordningens artikel 82, navnlig med henblik på at be-grænse denne erstatning. Det er blevet fastslået, at når den skade, som den registrerede har lidt, ikke er alvorlig, kan en national ret tilkende vedkommende en ubetydelig erstatning, forudsat at denne beskedne er-statning gør det muligt fuldstændigt at kompensere for den skade, der er forvoldt, hvilket det tilkommer den forelæggende ret at efterprøve. På samme måde kan en undskyldning anses for at udgøre en passende erstatning for en immateriel skade på grundlag af artikel 82, bl.a. når det er umuligt at genoprette den situation, der forelå, før skaden indtraf, forudsat at denne form for erstatning, for så vidt som den er fastsat i national ret, muliggør en sådan fuldstændig kompensation for den nævnte skade (…).”
Anbringender
Appellant 1, Appellant 5, Appellant 2
og Appellant 3, har anført navnlig, at de i henhold til databeskyttelsesforordnin-
gens artikel 82 har krav på økonomisk godtgørelse.
Oplysningerne i regnearket om dem er indsamlet og registreret i strid med reg-lerne om formålsbegrænsning, dataminimering og nødvendighed, jf. databe-skyttelsesforordningens artikel 5, stk. 1, litra b og c.
Oplysninger om navne og adresser var ikke nødvendige at behandle i regnear-ket, da cpr-numrene udgjorde den tilstrækkelige og relevante identifikation af dem som modtagere af ydelser. Helbredsoplysningerne kunne være udeladt el-ler udskiftet med uforståelige koder eller forkortelser.
10
Gladsaxe Kommune vidste og accepterede, at flere beboere i ejendommen på Adresse, herunder Appellant 3, fejlagtigt var registreret med tilknytning til institutionen Egebo. Oplysningerne om ham havde ikke betyd-ning for den mellemkommunale refusion. Da Gladsaxe Kommune ikke har do-kumenteret eller sandsynliggjort, at det ville have været urimelig byrdefuldt at slette eller berigtige oplysningerne, har kommunen tilsidesat princippet om da-takvalitet og rigtighed, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra d.
Ved databruddet overtrådte Gladsaxe Kommune princippet i databeskyttelses-forordningens artikel 5, stk. 1, litra f, om integritet og fortrolighed, samt artikel 32, stk. 1 og 2, om behandlingssikkerhed.
Det var påregneligt for kommunen, at en medarbejder kunne komme til at gemme regnearket på computerens lokale drev i stedet for på netværksdrevet. Den fysiske sikkerhed på rådhuset var kritisabel som følge af bl.a. en defekt dør, og computeren, der ikke var krypteret, var ikke fastgjort med f.eks. en wire.
Databruddet har skabt en dyb ængstelse og frustration, som tillige har manife-steret sig fysisk ved bl.a. søvn- og koncentrationsbesvær, modløshed, angst og flashbacks. De har således alle lidt skader. Appellant 2 blev ca. tre må-neder efter databruddet udsat for identitetstyveri, og det kan ikke udelukkes, at det havde sammenhæng med databruddet i Gladsaxe Kommune.
Der gælder ikke en alvorstærskel for skadesbegrebet i artikel 82. Da selve tabet af kontrollen over personoplysningerne kan udgøre en skade i artikel 82’s for-stand, kan der ikke stilles krav om, at det skal dokumenteres, at en uvedkom-mende tredjemand har fået kendskab til oplysningerne. Herudover er en per-sons frygt for, at vedkommendes personoplysninger som følge af en overtræ-delse af forordningen er blevet videregivet til tredjemand, uden at det kan godt-gøres, at dette faktisk har været tilfældet, tilstrækkelig til at begrunde en ret til godtgørelse, for så vidt som denne frygt og de negative konsekvenser af denne er behørigt bevist.
Godtgørelsen skal fastsættes under hensyn til de EU-retlige principper om ækvivalens og effektivitet. Det er en skærpende omstændighed, at regnearket vedrører ca. 30 % af kommunens borgere og indeholder følsomme personoplys-ninger i artikel 9’s forstand. Kommunens overtrædelse af dataminimeringsprin-cippet har forøget skadevirkningen af databruddet.
Gladsaxe Kommune har anført navnlig, at der ikke er grundlag for at tilkende
appellanterne kompensation efter databeskyttelsesforordningens artikel 82.
11
Gladsaxe Kommunes behandling af oplysningerne i regnearket skete med hen-blik på at sikre korrekt mellemkommunal refusion og var dermed lovlig.
Kontrollen kunne ikke ske uden brug af cpr-nummer, idet opgaven netop be-står i at sikre, at betalingskommune var korrekt registreret i cpr-registeret. Det var derfor både nødvendigt og sagligt for kommunen at medtage oplysnin-gerne i regnearket. Behandlingen af helbredsoplysningerne var også lovlig. Hel-bredsoplysningerne indgik i en sagsbehandling, hvor der blandt andet skulle tages stilling til, hvilke krav de pågældende ville have på ydelser mv. efter lov-givningen og til fastlæggelsen af kommunens krav på mellemkommunal refu-sion.
Heller ikke databeskyttelsesforordningens artikel 32 er overtrådt. Bortkomsten af computeren med regnearket skyldtes udefrakommendes uretmæssige – og formodentlig kriminelle – handlinger, som kommunen ikke er ansvarlig for.
Gladsaxe Kommune havde i 2018 foretaget den fornødne risikovurdering og på den baggrund iværksat de fornødne sikkerhedsregler og foranstaltninger, der var tilpasset disse risici under hensyn til det aktuelle tekniske niveau og imple-menteringsomkostningerne.
Det kan ikke lægges Gladsaxe Kommune til last, at en medarbejder bevidst i strid med kommunens retningslinjer gemte et regneark på et lokaldrev på sin computer og ikke på et centralt serverdrev.
Da der således er tale om en medarbejder, som handlede i strid med de tilstræk-kelige retningslinjer, er der efter Datatilsynets normale praksis tale om et brud på de interne regler, men derimod ikke et brud på artikel 32.
At kommunen i 2018 ikke havde krypteret harddisken i kommunens compu-tere, herunder i den stjålne computer med regnearket, er ikke i sig selv en over-trædelse af artikel 32.
Appellanterne har ikke godtgjort en skade i forordningens forstand. Der er ikke fremlagt lægeerklæringer, dokumentation for sygefravær eller andet materiale, som eventuelt ville kunne dokumentere de påståede personlige følelser og ne-gative konsekvenser, herunder at sådanne følelser og negative konsekvenser i givet fald var en følge af, at computeren med regnearket blev stjålet fra kommu-nen.
Såfremt Højesteret måtte nå frem til, at der er tale om en overtrædelse af forord-ningen, og at der foreligger en skade i artikel 82’s forstand, gøres det gældende, at appellanterne ikke har påvist, at der er den fornødne årsagssammenhæng mellem overtrædelsen af forordningen og den påviste skade. Misbrug af et cpr-
12
nummer kan ikke nødvendigvis henføres til den stjålne computer med regnear-ket, allerede fordi kendskabet til cpr-nummeret kan stamme fra andre kilder, herunder sikkerhedsbrud hos andre offentlige myndigheder.
Såfremt Gladsaxe Kommune skal yde kompensation, er de undskyldninger, som kommunen har givet, tilstrækkelig kompensation. I hvert fald kan der al-drig blive tale om andet end en ganske ubetydelig økonomisk kompensation.
Højesterets begrundelse og resultat
Sagens baggrund og problemstilling
I slutningen af november 2018 foretog økonomiafdelingen i Gladsaxe Kom-mune halvårlig kontrol af beregningerne for mellemkommunal refusion. Til brug for kontrollen blev der udarbejdet et regneark med oplysninger om ca. 20.000 borgere. En medarbejder havde gemt regnearket på en bærbar computer, der blev stjålet fra rådhuset på et tidspunkt mellem fredag eftermiddag den 30. november og mandag morgen den 3. december 2018. Kommunen anmeldte til Datatilsynet, at tyveriet indebar et brud på persondatasikkerheden. De berørte borgere, herunder Appellant 1, Appellant 5, Appellant 2 og Appellant 3, blev orienteret om sikkerhedsbruddet.
For Højesteret angår sagen, om Appellant 1, Appellant 5, Appellant 2 og Appellant 3 har krav på godtgørelse efter databeskyttelsesforordningens artikel 82. Hovedspørgsmålet er, om de har godtgjort, at de har lidt skade omfattet af artikel 82, og om skaden er en følge af kommunens behandling af deres personoplysninger i regnearket eller sikker-hedsbruddet ved tyveriet af computeren.
Databeskyttelsesforordningens artikel 82
Det følger af databeskyttelsesforordningens artikel 82, stk. 1, at enhver, som har lidt en materiel eller immateriel skade som følge af en overtrædelse af forord-ningen, har ret til erstatning fra den dataansvarlige for den forvoldte skade.
Der er en omfattende praksis fra EU-Domstolen om betingelserne for at få er-statning eller godtgørelse efter artikel 82, jf. bl.a. EU-domstolens dom af 20. juni 2024 i sag C-590/22 (AT, BT), præmis 31-36, dom af 4. oktober 2024 i sag C-200/23 (Agentsia po vpisvaniyata), præmis 139-156 og 161-166, samt dom af 4. september 2025 i sag C-655/23 (IP), præmis 55-64, 66-72 og 77-79.
EU-Domstolen har i de anførte domme udtalt bl.a., at den, der fremsætter krav efter artikel 82, skal godtgøre, at der foreligger en overtrædelse af forordningen, og at denne overtrædelse har forvoldt en materiel eller immateriel skade.
13
Bestemmelsen kræver ikke, at skaden overstiger en bagatelgrænse, og der kan heller ikke stilles krav til skadens konkrete karakter eller krænkelsens objektive karakter.
En immateriel skade efter artikel 82 omfatter negative følelser, som den pågæl-dende oplever som følge af en uautoriseret videregivelse af vedkommendes personoplysninger til en tredjemand, såsom frygt eller utilfredshed, der udløses af et tab af kontrol over oplysningerne, af et potentielt misbrug af oplysnin-gerne eller af en krænkelse af vedkommendes omdømme, for så vidt som den registrerede godtgør, at vedkommende har sådanne følelser, og godtgør de ne-gative konsekvenser heraf som følge af den omhandlede overtrædelse af for-ordningen.
Når en person, der kræver erstatning eller godtgørelse, påberåber sig en frygt for, at der i fremtiden vil ske et misbrug af den pågældendes personoplysninger som følge af en overtrædelse af forordningen, skal den nationale ret navnlig ef-terprøve, om denne frygt kan anses for at være velbegrundet under de speci-fikke omstændigheder og for den pågældende person.
En persons frygt for, at vedkommendes personoplysninger som følge af en overtrædelse af forordningen er blevet videregivet til tredjemand, uden at det kan godtgøres, at dette faktisk har været tilfældet, er tilstrækkelig til at begrun-de en ret til erstatning eller godtgørelse efter artikel 82, såfremt denne frygt og de negative konsekvenser af denne er behørigt bevist. Den blotte henvisning til en frygt – uden godtgjorte negative konsekvenser – kan ikke give anledning til erstatning eller godtgørelse efter artikel 82.
Erstatningen eller godtgørelsen, der skal kompensere skaden fuldt ud, fastsæt-tes af de nationale domstole ved anvendelse af nationale regler og under over-holdelse af de EU-retlige principper om ækvivalens og effektivitet. Når den skade, som personen har lidt, ikke er alvorlig, kan der tilkendes vedkommende en ubetydelig erstatning eller godtgørelse.
En undskyldning kan anses for en passende godtgørelse, bl.a. når det er umu-ligt at genoprette den situation, der forelå, før skaden indtraf, forudsat at denne form for godtgørelse har hjemmel i national ret.
Højesteret bemærker, at der i dansk ret på nuværende tidspunkt ikke er hjem-mel til, at en godtgørelse for en skade som følge af en overtrædelse af forord-ningen kan bestå i en undskyldning fra den ansvarlige.
Den konkrete sag
Som nævnt er hovedspørgsmålet, om Appellant 1, Appellant 5, Appellant 2 og Appellant 3 har godtgjort, at de har
14
lidt skade omfattet af artikel 82, og om skaden er en følge af kommunens be-handling af deres personoplysninger i regnearket eller sikkerhedsbruddet ved tyveriet af computeren.
Regnearket, der blev brugt til kontrol af mellemkommunal refusion, indeholdt oplysninger om navn, cpr-nummer, adresse, bopælskommune samt i kodelig-nende form, hvilke sociale ydelser der var modtaget og for hvilken periode. Den bærbare computer, som regnearket var gemt på, blev sammen med tre an-dre bærbare computere, tøj og en pose med tomme flasker, stjålet fra rådhuset.
Appellant 1 har forklaret bl.a., at sikkerhedsbruddet gjorde hende forskrækket og chokeret, at hun frygter, at det vil vælte ind med rudekuverter, og at det er krænkende, at hendes personoplysninger er kommet ud til andre.
Appellant 5 har forklaret bl.a., at sikkerhedsbruddet var kræn-kende, og at det har gjort hende bange, ked af det, mistroisk og opfarende.
Appellant 2 har forklaret bl.a., at sikkerhedsbruddet har gjort hende nervøs. Siden hun i marts 2019 blev udsat for et identitetstyveri, har hun været i forsvarsberedskab, og hun kontrollerer ofte sin bankkonto og mails.
Appellant 3 har forklaret bl.a., at det er krænkende, at han fejlagtigt er registre-ret med tilknytning til institutionen Egebo, at sikkerhedsbruddet har ført til hu-mørsvingninger, og at han har haft frygt for, hvad der kunne komme frem om ham ved sikkerhedstjek i forbindelse med jobansøgninger.
Der foreligger ikke oplysninger om, at regnearket på computeren, der blev stjå-let for 7 år siden, er kommet til uvedkommende tredjemands kendskab, eller om at oplysningerne i regnearket er blevet misbrugt.
Højesteret finder, at den frygt og de øvrige negative følelser, som Appellant 1, Appellant 5, Appellant 2 og Appellant 3 henviser til, ikke kan anses for at være velbegrundede henset til regnearkets ka-rakter og omstændighederne ved tyveriet af computeren.
Ud over deres egne forklaringer er der ikke fremlagt beviser, der støtter, at de har lidt skade i form af negative følelser og negative konsekvenser heraf, og at sådanne negative følelser og negative konsekvenser er en følge af kommunens behandling af deres personlige oplysninger i regnearket eller sikkerhedsbrud-det.
På den anførte baggrund finder Højesteret, at Appellant 1, Appellant 5, Appellant 2 og Appellant 3 ikke har godtgjort, at de har lidt skade omfattet af databeskyttelsesforordningens artikel 82 som
15
følge af kommunens behandling af deres personoplysninger i regnearket eller sikkerhedsbruddet ved tyveriet af computeren.
Højesteret tiltræder herefter, at Gladsaxe Kommune er frifundet for de rejste godtgørelseskrav.
Konklusion
Højesteret stadfæster landsrettens dom.
Under hensyn til sagernes videregående betydning finder Højesteret, at ingen part skal betale sagsomkostninger for Højesteret til den anden part eller til stats-kassen.
THI KENDES FOR RET:
Landsrettens dom stadfæstes.
Ingen part skal betale sagsomkostninger for Højesteret til den anden part eller til statskassen.
Publiceret til portalen d. 19-12-2025 kl. 12:07
Modtagere: Appellant 1, Biintervenient KL, Indstævnte Gladsaxe Kommune, Advokat (H) Anders Valentiner-Branth, Advokat (H) Eva Tofteberg Persson, Advokat (H) Rasmus Blaabjerg