Dom
ØSTRE LANDSRET
DOM
afsagt den 20. august 2025
Sag BS-27044/2020-OLR
(17. afdeling)
Sagsøger 1
(advokat Farouk Hassouni)
og
Sagsøger 2
(advokat Tyge Trier)
mod
Sagsøgte (Kommune)
(advokat Jacob Schall Holberg)
Biintervenient:
Kommunernes Landsforening
(advokat Jacob Schall Holberg)
Landsdommerne Jakob Friis Nolsø, Anne Birgitte Fisker og Mathias Eike (kst.) har deltaget i sagens afgørelse.
Sagen er anlagt ved Retten i Hillerød den 30. august 2019. Ved kendelse af 30. juni 2020 bestemte Østre Landsret, at sagen skulle henvises til behandling ved landsretten som 1. instans efter retsplejelovens § 226, stk. 1, hvorefter Retten i Hillerød ved retsbog af 2. juli 2020 henviste sagen til landsretten.
Sagen angår, om Sagsøger 1 og Sagsøger 2 har ret til erstatning for immateriel skade i medfør af databeskyttelses-lovens § 40, jf. forordning nr. 2016/679 af 27. april 2016 (databeskyttelsesforord-
2
ningen) artikel 82, stk. 1, godtgørelse for krænkelse af Den Europæiske Menne-skerettighedskonventions artikel 8 og/eller godtgørelse i medfør af erstatnings-ansvarslovens § 26 som følge af, at Sagsøgte (Kommune) ved aktindsigt videre-gav oplysninger om Sagsøger 2 og Sagsøger 1 til Sagsøger 2's tidligere ægtefælle, Vidne 1.
Påstande
Sagsøger 1, har nedlagt endelig påstand om, at Sagsøgte (Kommune) skal betale kr. 55.000 med tillæg af sædvanlig procesrente fra sagens anlæg.
Sagsøger 2, har nedlagt endelig påstand om, at Sagsøgte (Kommune) skal betale kr. 55.000 med tillæg af sædvanlig procesrente fra sagens anlæg.
Sagsøgte (Kommune) har i det hele nedlagt påstand om frifindelse.
Sagsfremstilling
Den 12. februar 2019 ansøgte Sagsøger 2 om økonomisk hjælp fra Sagsøgte (Kommune) til et efterskoleophold for Person 1, som er Vidne 1's og Sagsøger 2's fællesbarn. Af Sagsøger 2's ansøgningsmail, der var vedhæftet et økonomisk beregningsskema, fremgår bl.a.:
”Jeg vil gerne påpege at jeg står ene og alene med hele ansvaret for Person 1. Min ekskone vil/kan ikke deltage økonomisk på nogen måder. Lige pt. bor min familie og jeg i mit hus som jeg ejer sammen med min ekskone, jeg har siden 2013 afholdt ALLE udgifter hertil for at undgå et kæmpe tab.
Så vores økonomi hænger i laser grundet manglende indtægt.”
Den 14. februar 2019 indsendte Sagsøger 2 til kommunen supplerende økonomiske oplysninger til brug for kommunens behandling af ansøgningen, herunder bl.a. en lønseddel fra Arbejdsplads vedrørende november 2018 og betalingsserviceoversigter af 1. december 2018 og 1. februar 2019. Af betalingsserviceoversigten af 1. februar 2019 fremgår en betaling til Fagforening.
Den 27. marts 2019 gav Sagsøgte (Kommune) afslag på ansøgningen. Af afgørelsen, der er underskrevet af socialfaglig visitator Vidne 2, fremgår bl.a.:
”Vurdering
3
Afgørelsen er truffet på baggrund af fremsendte økonomiske oplysninger, hvor beregning viser et overskud på Beløb”
Den 16. april 2019 anmodede Vidne 1 om aktindsigt i Sagsøgte (Kommune)s oplysninger om Person 1.
Sagsøgte (Kommune) besvarede den 22. april 2019 Vidne 1's aktind-sigtsanmodning. Af den til aktindsigten tilhørende ”Journalrapport til aktind-sigt, dannet 22-04-2019” for aktindsigtsperioden fra den 12. februar 2019 til den 22. april 2019 fremgår, at Sagsøgte (Kommune) gav Vidne 1 aktindsigt i hele Sagsøger 2's ansøgningsmail af 12. februar 2019 og i kommu-nens afslag af 27. marts 2019. Det fremgår endvidere, at dokumenterne ”Øko-nomisk beregning_280793” , ”Økonomisk beregningsskema” , ”BILAG Lønsed-del” , ”BILAG Pantebrev” , ”BILAG Betalingsoversigt” , ”modtaget økonomisk beregningsskema til borger” ikke var omfattet af aktindsigten.
Den 19. juni 2019, kl. 07.27, sendte Vidne 1 en mail til Familierets-huset om sin og Sagsøger 2's fælles søn Person 2 med kopi til Sagsøger 2. Af mailen fremgår bl.a.:
”
Sagsøger 2 har i 2018 haft en periode, hvor han ikke havde samvær med Person 2, grundet
Sagsøger 2's kone Sagsøger 1 er og har i perioder været sygemeldt. Dette har Sagsøger 2 oplyst i sin ansøgning til Sagsøgte (Kommune) om efterskoleophold for Person 1.”
Senere samme dag – den 19. juni 2019, kl. 14.57 – sendte Sagsøger 2 en mail til Vidne 2 fra Sagsøgte (Kommune). Af mailen fremgår bl.a.:
”Vidne 2…
Jeg var i kontakt med dig tidligere på året vedr. min søn og tilskud til efterskole. […]
Jeg må bede dig sende ASAP aktindsigt i sagen – samt skrivelser til Person 1's mor Vidne 1.
Jeg er vidne til, at du har videresendt personfølsomme oplysninger om min husstands økonomi samt helbredsoplysninger til min ekskone.
Disse informationer er nu videregivet af Vidne 1 til Familieretshuset, dvs. at disse oplysninger nu bliver brugt i mod mig og min kone i forbindelse med en bopælssag om vores mindste søn.
4
Mine kones cpr.nr og helbredsoplysninger er røget ud af ”jeres
hænder” !
Jeg har ingen ord for min vrede og magtesløshed lige nu.
Jeg agter at gå hele vejen i Datatilsynet og pressen om nødvendigt !!
Dette er et alvorligt brud på GDPR lovgivningen, det er alvorligt det I har foretaget jer !!!
DET BURDE IKKE SKE !
Jeg forventer en opringning ASAP”
Den 20. juni 2019 foretog Vidne 2 en intern indberetning af brud på personendatasikkerheden i Sagsøgte (Kommune). Af det udfyldte indberetnings-skema fremgår bl.a., at sikkerhedsbruddet skete den 22. april 2019, og at det blev opdaget den 19. juni 2019. Endvidere fremgår bl.a.:
”…
…
…”
Den 20. juni 2019 indberettede Sagsøgte (Kommune) hændelsen til Datatilsynet. Sagsøgte (Kommune) har i indberetningsskemaet til Datatilsynet angivet karakteren af hændelsen som en ”utilsigtet videregivelse” , og at der er tale om
5
en uberettiget videregivelse af personoplysninger i forbindelse med en aktindsigt. Kommunen har i forhold til hvilke personoplysninger, der er berørt af hændelsen, afkrydset felterne ”økonomiske forhold” og ”helbredsoplysninger” . Det er tillige anført, at hændelsen er afsluttet den 20. juni 2019, hvor ”Mor er blevet bedt om at returnere de dokumenter, hvor personoplysningerne fremgår, til kommunen” . Kommunen har om konsekvenserne anført bl.a., at ”Mor bruger oplysningerne i en versende sag om barnet. Vi ved ikke, hvilket konsekvenser det kan få for far” , og at ”Vi har bedt mor om at returnere dokumenterne med oplysningerne om far og samleveren til kommunen, men hun er jo desværre allerede bekendt med dem” . Vedrørende de foranstaltninger, som kommunen har truffet med henblik på at begrænse skaden, er i skemaet anført bl.a., at Familieretshuset og alle berørte personer er blevet orienteret om hændelsen, herunder at ”Afdelingen har haft en længere snak med både far og samlever om hændelsen, og kommunens håndtering af sagen. De er også vejledt om muligheden for at klage og få råd/vejledning” .
I mail af 24. juni 2019 fra Sagsøgte (Kommune) til Familieretshuset er anført bl.a.:
”I forbindelse sagsbehandling vedrørende Person 1 … har Familier, Unge og Handicap i Sagsøgte (Kommune) fejleagtigt fremsendt helbredsoplysninger om Sagsøger 2's samlever til Person 1's mor Vidne 1.
Da disse oplysninger uretmæssigt er tilgået Vidne 1, skal der herfra anmodes om at oplysningerne ikke medtages i Familieretshusets sagsbehandling vedrørende Person 1.”
Samme dag – den 24. juni 2019 – sendte Sagsøgte (Kommune) et brev til Vidne 1. Af brevet fremgår bl.a.:
”I forbindelse med udlevering af aktindsigt om din søn Person 1, er Familier; Unge og Handicap fejlagtigt kommet til at udlevere personlige oplysninger om Person 1's fars samlever.
Det skal med dette brev gøres klart, at oplysningerne uretmæssigt er fremsendt til dig, og du bedes slette papirer med denne oplysning.
Da Sagsøger 2 har oplyst, at de fremsendte fortrolige oplysninger er videregivet til Familieretshuset, er der d.d. skrevet til Familieretshuset med orientering om, at oplysningerne fejlagtigt er fremsendt og bør udtages af en vurdering herfra.”
Af Familieretshusets mødenotat for familieretlig udregning af 25. juni 2019 udarbejdet af børnesagkyndig Vidne 3 fremgår bl.a.:
”Sagsøger 2 har i dag deltaget i et familieretligt udredningsmøde i Familieretshuset, afdeling København.
Sagsøger 2 har barnet Person 2, født Dato.2008.
…
6
Begge forældre har kontaktet Familieretshuset vedrørende forældremyndighed, bopæl og samvær.
…
Formålet med mødet er at belyse familiens situation og undersøge, hvad der er bedst for Person 2. Der er vejledt om, at barnets ret til trivsel og beskyttelse kommer i første række.
Det er som udgangspunkt familieretten, der træffer afgørelse i sagen. Det skyldes, at det ved visitationen er vurderet, at der er nogle risiko-faktorer til stede i form af oplysninger om samt grundet forældrene har været i Familieretshuset mange gange. Når sagen er oplyst, og der ikke er grundlag for at fortsætte det tværfaglige arbejde, vil sagen blive indbragt for familieretten til afgørelse. Retten skal træffe afgørelse om en helhedsorienteret løsning, der er bedst for barnet.
Hvis forældrene inden da bliver enige og ønsker at indgå en aftale, vil det tværfaglige team hjælpe forældrene med at skrive aftalen ned, hvis aftalen er udtryk for, hvad der er bedst for Person 2.
…
Samtykke til indhentelse af oplysninger:
Sagsøger 2 giver samtykke til, at Familieretshuset indhenter oplysninger til brug for sagen hos:
Kommune 1 (Sagsøger 2 mener ikke der er en sag) Sagsøgte (Kommune) (tidligere kommune, hvor der har været en sag) Skole, Afdeling, Kommune 1
Der er vejledt om samtykkets indhold, og at de indhentede oplysninger som udgangspunkt vil blive sendt til dem begge, hvis ikke forældrene bliver enige, og sagen skal afgøres af Familieretshuset eller familieretten.”
Af Familieretshusets mødenotat for familieretlig udregning af 26. juni 2019 udarbejdet af børnesagkyndig Vidne 3 fremgår bl.a.:
”Vidne 1 har i dag deltaget i et familieretligt udredningsmøde i Familieretshuset, afdeling København.
…
Vidne 1's syn på samarbejdet om barnet:
…
Vidne 1 fortæller, at bopælen skal forblive hos hende. Person 2 har sine venner og omgangskreds hos mor. Vidne 1 har også en bekymring i forhold til ”
Det fremgår af en mail af 21. oktober 2020 fra Datatilsynet, at tilsynet har afsluttet sagen og ikke foretager sig yderligere.
7
Af brev af 14. januar 2021 fra Retten i Næstved til Vidne 1 og Sagsøger 2 fremgår bl.a., at retten har modtaget en anmodning fra Vidne 1 om at bistå med udlevering af Person 2, og at parterne indkaldes til et retsmøde den 2. februar 2021.
Af retsbog af 2. februar 2021 fra Retten i Næstved i udleveringssagen mellem Vidne 1 og Sagsøger 2 fremgår bl.a.:
”Sagsøgte forklarer, at det er Person 2, som ikke ønsker at komme hjem.
…
Far har indgivet en begæring om ændring af bopæl, og har undersøgt forskellige muligheder for evt skoleskift.
Mor har indgivet en begæring om ændring af samvær, og har viden om, at Person 2 er meget savnet i sit netværk med venner og skole.
Efter drøftelse enedes parterne om, at Person 2 foreløbigt skal hjemgives til mor i morgen. …
Parterne aftalte tillige, at når Person 2's storsøster på lørdag skal ned til far, så følger Person 2 med hende ned til far. Hjemgivelsen til mor vil give Person 2 mulighed for at forerede et længere ophold hos far, idet han således kan komme hjem og få talt med morog pakke ting til ophold hos far.
Aftalen har ingen præjudice for Person 2's bopæl eller for, hvorledes parternes midlertidige samværsaftale … ellers udmøntes.”
Den 3. marts 2021 skrev Vidne 1 til Sagsøger 2 bl.a.:
”Du har foreslået, at Person 2 opholder sig mere hos dig indtil skolen starter fysisk igen, for at honorere hans savn. hvad så med bagefter? så når vi svarer dig, at vi må se tiden an, beror dette bl.a. på at jeg flere gange har talt med Person 2 om hans ønsker og har følt mig nødsaget til at være sikker på, at det var en flytning Person 2 ønskede, også om et halvt år. Det beror også på, at du gang på gang ændre planer og aftaler, og der beror sådan set også på at jeg har en bekymring for om der er nok stabilitet hos jer, en tryg base, som jeg mener er bedst for Person 2. Her tænker jeg på .”
Af retsbog af 10. marts 2021 fra Retten i Næstved i udleveringssagen mellem Vidne 1 og Sagsøger 2 fremgår, at Vidne 1 har hævet sagen, og at sagen blev sluttet.
Den 12. april 2024 blev Sagsøger 1 bevilget førtidspension af Kommune 2.
Af Sagsøgte (Kommune)s ”IT-sikkerhedspolitik – Overordnet politik af 23. febru-ar 2011” fremgår bl.a.:
8
”Forord
Dette er Sagsøgte (Kommune)s it-sikkerhedspolitik, som er udarbejdet af Administrationen, med udgangspunkt i DS484-2005 og ISO27001.
…
Indledning
…
It-sikkerhedspolitikken er således det overordnede grundlag og it-sikkerhedsbestemmelserne det operationelle grundlag for det daglige arbejde med it-sikkerhed indenfor Sagsøgte (Kommune)s virke. Regler, retningslinjer, procedurer og instrukser vedr. den interne it-sikkerhed (servere, netværk mv.), er emner der reguleres under it-sikkerhedspolitikken. Særlige retningslinjer, procedurer og instrukser der beskriver den tekniske side af den interne it-sikkerhed vil være for-trolige.
It-sikkerhedsbestemmelserne opdateres og ændres løbende (fx ved ny trusler, lovændringer mv.).
…
Vores holdninger og principper
It-sikkerhed i Sagsøgte (Kommune) implementeres efter følgende over-ordnede holdninger:
• Sagsøgte (Kommune)s virke afhænger af håndteringen af personføl-somme informationer i elektronisk form, og derfor behandles it-sikkerhed med respekt for borgernes retssikkerhed og integritet.
• Sagsøgte (Kommune)s troværdighed overfor omverdenen, herunder samarbejdspartnere og borgere vurderes som yderst vigtig.
• Sagsøgte (Kommune) prioriterer implementeringen af velafprøvede it løsninger over forsøgsvis anvendelse af nyeste teknologi.
• Sagsøgte (Kommune) vedligeholder, understøtter og fastholder videns-niveauet hos alle medarbejderne for at understøtte sikker behandling af informationer i Sagsøgte (Kommune)s it-systemer.
• Såfremt eksterne parter berøres af sikkerhedshændelser hos Sagsøgte (Kommune), vil Sagsøgte (Kommune) kommunikere ærligt og troværdigt overfor berørte parter.
Rammer og gyldighed
It-sikkerhedspolitikken gælder for alle ansatte, samt for al anvendelse af it-systemer i Sagsøgte (Kommune), herunder også for kommunens le-verandører og samarbejdspartnere, som får adgang til hele eller dele af kommunens IT.
…
It-sikkerhedspolitikken for Sagsøgte (Kommune) er derfor baseret på:
• efterlevelse af den anerkendte standard i DS484:2005 hhv. ISO27001 indenfor de områder, der vurderes som værende relevante for Sagsøgte (Kommune), herunder områder såsom: o risikovurdering og -håndtering o organisering af it-sikkerhedsarbejdet o styring af Informationsrelaterede aktiver
9
o medarbejdersikkerhed
o fysisk sikkerhed
o styring af netværk og drift
o adgangsstyring
o anskaffelse, udvikling og vedligeholdelse
o styring af sikkerhedshændelser
o beredskabsstyring
• alle relevante regler, lovkrav, retningslinjer, vejledninger indenfor Sagsøgte (Kommune)s forretningsområde, herunder bl.a. Persondata-loven, Forvaltningsloven, Offentlighedsloven, Arkivloven, Multiemedi-eloven, Ophavsretsloven samt anden relevant datalovgivning, fx rele-vante regler i Telelovgivningen.
• almindeligt accepterede metoder (best practice).
…
Opfølgning
Enhver medarbejder og leder i Sagsøgte (Kommune) har meldepligt mht. konstaterede brud på It-sikkerhedsbestemmelserne eller på manglende efterlevelse af It-sikkerhedspolitikken.”
Af uddrag fra Datatilsynets rapport om anmeldelser af brud på persondatasik-kerheden i 2018 fremgår bl.a.:
”Anmeldelser af brud på persondatasikkerheden
Efter den 25. maj 2018 – hvorfra databeskyttelsesforordningen finder anvendelse – er der blevet indført en generel forpligtelse for alle data-ansvarlige til at anmelde brud på persondatasikkerheden til Datatilsy-net. Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet.
…
Denne tekst er en overordnet gennemgang af de anmeldelser om per-sondatasikkerhedsbrud, som Datatilsynet har modtaget i 2018 under databeskyttelsesforordningens anvendelse.
Datatilsynet har i perioden fra den 25. maj til 31. december 2018 modta-get 2.780 anmeldelser om persondatasikkerhedsbrud, ligesom tilsynet i samme periode har modtaget henvendelser om grænseoverskridende persondatasikkerhedsbrud gennem Det Europæiske Databeskyttelses-råds samarbejdsportal.
…
Fordelingen af anmeldelserne på de forskellige sektorer
Anmeldelserne fordeler sig med 53 % fra private dataansvarlige, 44 % fra offentlige dataansvarlige og 3 % i gruppen forskellige. De forskellige er typisk grænseoverskridende brud for private dataansvarlige, an-meldt direkte til Datatilsynet her i Danmark.
…
10
[de 705 vedrører kommuner]
…
Anmeldelsernes karakter
Datatilsynet har konstateret, at langt de fleste anmeldelser - ca. 2/3 - går på oplysninger, der er sendt til den ”forkerte” modtager, oftest ved en menneskelig fejl i afsendelsesøjeblikket. I tillæg til denne gruppe er der en særlig variant heraf, der tegner sig for ca. 5 % af anmeldelserne. Det drejer sig om situationer, hvor brevpost er sendt til den rette modtagers sidste folkeregisteradresse, men ved en fejl åbnes af en anden person, typisk fordi den registrerede er fraflyttet eller fordi brevet bliver fejlaf-leveret af postbefordreren. En anden udbredt gruppe af anmeldelser er oplysninger, der ved en fejl ikke er undergivet den fortrolighed, som den dataansvarlige selv har vurderet nødvendig for behandlingen, f.eks. hvor e-mails, der efter intern instruks skulle sendes krypteret, bli-ver sendt uden at være det. Tyveri af udstyr eller dokumenter fra aflå-ste lokaler, boliger og biler eller de tilfælde, hvor udskrifterne eller en-heden bliver mistet i det offentlige rum, typisk i offentlige transport-midler, forekommer også relativt ofte. Brud på persondatasikkerheden, der skyldes ekstern uretmæssig påvirkning såsom phishing, malware, hacking eller tilsvarende udgør mindre end 5 % af de samlede anmel-delser. Typisk vil denne type hændelser dog berøre et højere antal regi-strerede.
…
Datatilsynets behandling af de indkomne brud
Når et brud bliver anmeldt til Datatilsynet, vil tilsynet, efter journalise-ring, foretage en vurdering af risikoen for de registreredes rettigheder, risikoprofilen af den hændelse, der ligger til grund for bruddet, omfan-get af bruddet og forhold, der kan relateres til den dataansvarlige, her-under om der er sket en vurdering af, om de registrerede skal underret-tes og i givet fald om underretning er sket.
Sikkerhedsbruddet vil herefter – på baggrund af vurderingen – blive sagsbehandlet.
Datatilsynet er af den opfattelse, at sikkerhedsbrud, der udsætter fysi-ske personers rettigheder for risiko, generelt vil have karakter af for-hold, som vil give anledning til - som minimum - kritik fra tilsynet.
11
Ved brud på persondatasikkerheden, der fremstår som en afgrænset og enkeltstående hændelse med en ringe risiko for de registreredes rettig-heder, og hvor den dataansvarliges foranstaltninger i forlængelse af bruddet vurderes som umiddelbart tilstrækkelige i forhold til beskyttel-sen af de registreredes rettigheder, vil Datatilsynet normalt afslutte sa-gen uden at udtale egentlig kritik.”
Sagsøgte (Kommune) har fremlagt tilsvarende rapporter fra Datatilsynet for 2019.
Forklaringer
Sagsøger 1, Sagsøger 2, Vidne 1, Vidne 3 og Vidne 2 har afgivet forklaring.
Sagsøger 1 har forklaret bl.a., at hun og Sagsøger 2 var ungdomskære-ster, hvorefter de i en lang periode ikke havde kontakt. Sagsøger 2 kontaktede hende i 2014, efter at han var blevet skilt i 2013. Herefter udvikledes deres forhold sig. Hun har i mange år arbejdet i Branche og havde i 2014 sit eget bureau i By. Hun ophørte med bureauet i 2015. Hun har to særbørn, og Sagsøger 2 har tre særbørn. Hendes børn har boet hos hende hele tiden, mens Sagsøger 2 frem til begyndelsen af 2015 havde børnene i en 7/7-ordning. Da Person 1 herefter øn-skede at bo fast hos Sagsøger 2 og hende, begyndte konflikterne med Person 1's mor, Vidne 1. Hun har været fast omsorgsperson for Person 1 og har et skønt forhold til Person 2.
I februar 2019, da Sagsøger 2 søgte om økonomisk støtte til et efterskoleophold for Person 1, var samarbejdet med Vidne 1 stort set ikke eksisterende. Der var in-gen dialog overhovedet. Der var en sag om bopæl ved Familieretshuset, hvor hun deltog som bisidder for sin mand.
Kommunen har udleveret hendes diagnose til Vidne 1. Det hele væl-tede for hende, da hun fik det at vide den 19. juni 2019. Det var hendes første dag på hendes nye arbejdsplads, og hun måtte melde sig syg dagen efter. Hun kunne ikke overskue, hvilke konsekvenser oplysningen om hendes diagnose ville have. Det var kun Sagsøger 2, hendes forældre og hendes ældste, voksne datter, der kendte til diagnosen. De vidste af erfaring, at Vidne 1 fik hjælp af mange mennesker til at skrive breve til bl.a. Familieretshuset. Det betød, at de ikke vidste hvor mange, der havde kendskab til hendes diagnose. Det var ude af hendes kontrol. Hun følte, at det var et overgreb.
Efter at oplysningen om hendes diagnose var blevet udleveret var der et ud-redningsmøde i Familieretshuset den 25. juni 2019. Under mødet spurgte Sagsøger 2, om oplysningen ville have nogen konsekvenser. Sagsbehandleren sagde, at sa-gen, der handlede om Sagsøger 2's samvær med Person 2, skulle til retten, og at man måske kunne finde på at lave en forældreevneundersøgelse. De fik forklaret,
12
hvad en sådan undersøgelse indebar. Det var rædselsfuldt. .
Ud over mailen af 19. juni 2019 fra Vidne 1 til Familieretshuset, hvor hendes diagnose er nævnt, har Vidne 1 også nævnt hendes ”” i sin mail af 3. marts 2021 til Sagsøger 2. Vidne 1 har også nævnt det i an-dre mails og sagt det til vidnet selv ved nogle lejligheder. Oplysningen om hen-des diagnose har været et ”es” for Vidne 1 i sager imod dem. Hun har brugt oplysningen til at stille dem i et dårligt lys.
Efter den 26. juni 2019 opgav Sagsøger 2 kampen om samvær. Han trak sagen. Hvis oplysningen om hendes diagnose ikke var blevet videregivet, havde de fortsat sagen i Familieretten. Men de havde ikke lyst til, at der skulle foretages foræl-dreevneundersøgelser mv., og de ville ikke udsætte børnene herfor. Der gik herefter ca. et år, inden Sagsøger 2 så Person 2 igen. Hun og Sagsøger 2 havde det svært efter, at oplysningen om hendes diagnose var blevet delt. Sagsøger 2 skulle ”samle hende op” , når hun havde det svært. Hun har kun talt med Sagsøger 2 og sine for-ældre om, hvordan det har påvirket hende. Ved samtaler i psykiatrien har hun også nævnt, hvor svært det har været. Forløbet har påvirket Sagsøger 2 negativt, idet han jo herefter ikke så sin søn. Det har været en stor belastning for ham at se, hvordan hun havde det. .
Sagsøger 2 har forklaret bl.a., at han er Stilling og har været i branchen i mange år. I 2019 var han ansat i et forsikringsselskab, hvor han nu har været ansat i 10 år.
Han søgte penge til et efterskoleophold for Person 1, idet Person 1 ville have stor nytte heraf. Deres økonomi var imidlertid ikke til det. I ansøgningen skrev han om Sagsøger 1's diagnose, idet han forinden havde haft en samtale med Vidne 2 om, at han skulle beskrive deres situation så godt som muligt. Han skrev også i ansøgningen, at hans ekskone, Vidne 1, ikke ville eller kunne deltage økono-misk på nogen måde. Det havde Vidne 1 selv givet udtryk for ved flere lejlig-heder.
Han mener, at Vidne 1 har fået aktindsigt i oplysningerne i betalingsoversig-terne, herunder oplysning om hans fagforening. Dette bygger han på den sam-tale, som han havde med den chef i kommunen, der ringede og undskyldte for databruddet. Hun sagde, at kommunen uretmæssigt havde delt bl.a. økonomi-ske oplysninger. Han mener, at det blev sagt, at hele hans ansøgning var blevet delt. Under samtalen gennemgik de ikke de dokumenter, der var blevet udleve-ret. Han bad herefter om aktindsigt og kunne se, at der var blankt på de sider, der ikke måtte have været udleveret. Det gælder således det økonomiske be-regningsskema, lønseddel og betalingsoversigter. Og i kommunens indberet-
13
ning til Datatilsynet er det angivet, at der fejlagtigt er udleveret økonomiske oplysninger. Han fik også en undskyldning fra kommunen over e-Boks.
Vidne 1's mail af 19. juni 2019 modtog han dels på sin private mail, dels i e-Boks. Det løb ham koldt ned ad ryggen. Han kendte Sagsøger 1 og vidste, hvordan hun fungerede. Han var klar over, at det ikke ville blive rart for Sagsøger 1. Det gik også op for ham, at Vidne 1 ville bruge oplysningen i sager fremover. Han var overrasket, ked af det og nervøs for, hvordan Sagsøger 1 kom til at håndtere det. Det er klart, at oplysningen om diagnosen kommer fra Sagsøgte (Kommune). Han har ikke talt med Vidne 1 om, at Sagsøger 1 .
På mødet i Familieretshuset den 25. juni 2019 sad sagsbehandleren med den del papirer og nævnte en ”seneste e-mail” . Han spurgte, hvordan mailen af 19. juni 2019 fra Vidne 1 ville påvirke sagen. Sagsbehandleren oplyste, at der måske ville blive lavet en forældreevneundersøgelse. Han har modtaget referat af Vidne 1's møde den 26. juni 2019 i Familieretshuset, formentlig al-lerede dagen efter mødets afholdelse. Han noterede sig, at Sagsøger 1's sygdom var nævnt. Han tænkte, at nu kunne det ikke holde mere. Han måtte værne om de-res familieliv. Han trak derfor sagen om samvær med Person 2. Han måtte passe på sig selv og familien, så korthuset ikke væltede. Det var blevet en ulige kamp ved, at oplysningen om diagnosen var kommet frem. Han har været me-get ked af det på grund af det manglende samvær med Person 2, og især fordi det har påvirket Sagsøger 1. .
Vidne 1 har bragt ”det” op i andre sammenhænge. Det er et trumf-kort for hende. Bl.a. har hun omtalt Sagsøger 1's i sin mail af 3. marts 2021 til ham. Han havde på det tidspunkt samvær med Person 2 hver 3. uge. En sag ved retten i Næstved endte med, at Person 2 blev boende hos dem. Han ved ikke, om Sagsøger 1's sygdom blev nævnt i retssagen i Næstved.
Vidne 1 har forklaret bl.a., at forældresamarbejdet med Sagsøger 2 har været kompliceret og konfliktfyldt. Hun kan bekræfte, at hun har sendt mailen af 19. juni 2019 til Familieretshuset. Hun fik oplysningen om, at Sagsøger 1 var diag-nosticeret med via aktindsigten hos kommunen. Hun nævnte oplysningen i sin mail, fordi hun var bekymret for sin søn og hans samvær med Sagsøger 2 og Sagsøger 1. Hun havde dog i forvejen oplysninger fra familiemedlemmer om Sagsøger 1's psykiske problemer. Familiemedlemmerne havde faktisk også brugt , inden hun fik oplysningen herom via aktindsigten, men med aktindsigten var hun nu sikker på, at det var rigtigt. Hun husker ikke, om mailen af 19. juni 2019 var første gang, hun nævnte Sagsøger 1's .
Ved aktindsigten fik hun mange oplysninger, som hun ikke nu husker nærmere i detaljer. Hun modtog senere et brev fra kommunen om, at hun skulle se bort
14
fra personlige oplysninger om Sagsøger 1 og slette dem. Hun slettede herefter oplys-ningerne fra sin mail og e-Boks. Det blev også oplyst, at Familieretshuset skulle se bort fra oplysningerne. Hun modtog ingen telefonopkald fra kommunen her-om. Ved senere kontakt til Familieretshuset og andre har hun om Sagsøger 1 henvist til de oplysninger, som hun allerede inden aktindsigten havde fået af familie-medlemmer. Hun ved ikke, om hun senere har brugt ordet diagnose. Foreholdt det økonomiske beregningsskema for Sagsøger 2, husker hun slet ikke at have set dette før. Hun har heller ikke set betalingsoversigterne.
Hun var til møde i Familieretshuset den 26. juni 2019. Hun husker ikke mødet nærmere. Hun husker ikke, om hun nævnte Sagsøger 1's. Hun havde ikke sin mail af 19. juni 2019 med til mødet. Hun ved ikke, om sagsbehandleren havde papirer med til mødet. Hun husker ikke, om hun brugte ordene ”Sagsøger 2's . Hun havde kendskab hertil, da de jo havde boet sammen.
Mailen af 3. marts 2021 til Sagsøger 2, hvori hun nævner ”Sagsøger 1's , der unægteligt påvirker børnene” , skrev hun, fordi hun var bekymret. Oplys-ningen stammer fra Sagsøger 2 som forklaret.
Hun husker ikke, hvor længe Person 2 boede hos hende fra sommeren 2019 og frem. Han flyttede hjem til sin far i en periode. Hun husker ikke årstallet. Hun stoppede en sag ved retten i Næstved, fordi Person 2 fortalte, at han ønskede at bo hos sin far. Hun ved ikke, om Sagsøger 1 og Person 2 har et godt forhold.
Hun havde generelt indtryk af forholdene hos Sagsøger 2 og Sagsøger 1 fra børnenes op-lysninger herom. Børnene fortalte om forhold, der gjorde hende bekymret i pe-rioder. Hun husker ikke, om Sagsøger 2 har nævnt for hende, at det var et problem, at oplysninger om Sagsøger 1's diagnose var kommet frem.
Vidne 3 har forklaret bl.a., at hun blev uddannet socialrådgi-ver i 2013 og har arbejdet inden for børn og unge-området i kommuner og i Familieretshuset. Hun er nu koordinator i Århus kommune. Hun var ansat i Familieretshuset fra marts 2019 til maj 2022. I Familieretshuset deltog hun pri-mært i mange møder med borgere om mange forskellige emner, såsom børne-samtaler, konfliktmægling og udredninger.
Hun husker ikke udredningsmøderne den 25. og 26. juni 2019. Til brug for for-beredelsen af sin vidneforklaring i dag har hun modtaget mødereferaterne og
15
har talt med sin tidligere leder, der på grundlag af journalnotater har oplyst hende om, hvordan hun agerede i sagen, herunder at hun deltog i møderne, og at hun har skrevet referaterne. Hun husker ikke noget særligt ved denne sag. Hun har i sin tid i Familieretshuset haft 580 møder. Foreholdt referat af mødet med Vidne 1 den 26. juni 2019 og noteringen af en oplysning om Sagsøger 2's ligesom hun ikke husker noget om, hvilke oplysninger der havde betydning i denne dag. Hun husker ikke, om Fa-milieretshuset rettede henvendelse til de relevante kommuner eller en skole med anmodning om oplysninger. Typisk kan det i en sag om bopæl være vig-tigt at vide, om der er særlige behov eller særlige bekymringer. Parterne får ko-pi af alle mødereferater.
Hun kan af referaterne se, at der ikke deltog en jurist i møderne. Det er ellers normal procedure, men det kan undlades, hvis særlige forhold gør sig gælden-de. Der deltager normalt en jurist, idet der bør være et tværfagligt team. Når udgangspunktet for en sag er, at den skal videresendes til Familieretten, kan juristen således også begynde sagsbehandlingen med det samme. Hun husker ikke, om sagen endte i retten.
Hun husker ikke, om der ved møderne forelå en mail af 19. juni 2019 fra moren, Vidne 1. Om hun medtog skriftlige indlæg fra parterne til et møde, afhang af om indholdet var relevant for mødet. Når der i referatet af mødet med Vidne 1 den 26. juni 2019 er anvendt udtrykket ”Sagsøger 2's kones psyke” , vil hun tro, at det er det udtryk, som Vidne 1 har anvendt. Hun brug-te i reglen parternes egne formuleringer.
Hun husker ikke noget om en instruks fra kommunen om ikke at bruge oplys-ninger i sagen, der ved en fejl var givet aktindsigt i.
Vidne 2 har forklaret bl.a., at hun er uddannet socialrådgiver og har erfa-ring fra tre forskellige kommunale forvaltninger. I 2019 var hun socialfaglig vi-sitator i Sagsøgte (Kommune). Stillingen indebar modtagelse af alle underretnin-ger og ansøgninger vedrørende børn og unge. Hun havde da fungeret som so-cialrådgiver i over 10 år. Hun var ansat i Sagsøgte (Kommune) i syv år i alt, heraf seks år som socialfaglig visitator. Hendes ansættelse ophørte i 2022. Hun kunne have op til 70 sager ad gangen, herunder mindre sager og større sager.
Hun er ikke bekendt med, om Sagsøgte (Kommune) modtog en anmodning fra Familieretshuset om oplysninger om Sagsøger 2. Hun har ofte be-svaret tilsvarende henvendelser, hvor Familieretshuset enten beder om en sags akter eller om en udtalelse. Familieretshuset kan godt foretage underretning af
16
kommunen, hvis man i Familieretshuset er blevet opmærksom på forhold, der giver anledning til bekymring.
Hun var sagsbehandler på Sagsøger 2's ansøgning om økonomisk støtte til et efterskoleophold for sønnen Person 1 og derfor også sagsbehandler på Vidne 1's anmodning om aktindsigt i den sag. Hun var bekendt med kommunens IT-sikkerhedspolitik. Hun havde ikke IT-sikkerheds-politikken ”fremme” ved behandlingen af denne anmodning om aktindsigt. Kommunen havde en praksis, som de fulgte i sager om aktindsigt, herunder med mulighed for at søge rådgivning i kommunens juridiske afdeling. Hun er ligeledes blevet undervist i GDPR og databeskyttelsesforordningen og følte sig rustet til at håndtere anmodningen om aktindsigt.
Hun har behandlet ansøgningen ved i journalsystemet at afkrydse de doku-menter i sagen, der ikke skulle indgå i aktindsigten. Dvs. at hun herved aktivt tog stilling til, hvilke dokumenter der ikke skulle gives aktindsigt i. Kommu-nens afslag på ansøgningen om støtte til efterskoleophold blev der således givet fuld aktindsigt i. Når man undtog et dokument fra aktindsigt, fremkom en side med en overskrift på bilaget og derefter alene en angivelse af, at ”dokumentet er ikke medtaget i dokumentsamlingen” . Dette ses f.eks. i denne sag for så vidt angår det økonomiske beregningsskema, lønseddel, pantebrev og betalings-oversigter, der alle vedrører økonomiske forhold. Disse oplysninger skulle und-tages fra aktindsigt og blev ikke sendt til Vidne 1.
Der blev givet fuld aktindsigt i Sagsøger 2's mail af 12. februar 2019, hvori han ansøgte om støtten. Oplysningen heri om Sagsøger 1's skulle have været undtaget fra aktindsigt. Det er en fejl, at oplysningen ikke blev undtaget. Hun er grundig i sit arbejde. Denne fejl er en undtagelse. Fejlen er måske sket, idet ansøgningen har indeholdt denne personlige oplysning, som i øvrigt var irrelevant for behandlingen af ansøgningen om støtte.
Hun indberettede bruddet på persondatasikkerheden til kommunens juridiske tjeneste den 20. juni 2019, idet hun blev opmærksom herpå på grundlag af Sagsøger 2's klage den 19. juni 2019. Som det fremgår heraf, var en af hendes kolleger, hendes chef, sektionsleder Person 3, i kontakt med Sagsøger 2 med en beklagelse af det skete. Hun havde drøftet med sin sektionsleder, hvad der skulle foretages i anledning af databruddet, og de var blevet enige om at foretage de skridt, der er nævnt i indberetningen.
Efter hendes indberetning til kommunens juridiske afdeling, foretog denne en indberetning til Datatilsynet. Hun havde intet med denne indberetning at gøre. Der var tale om en ”utilsigtet videregivelse” som angivet i kommunens indbe-retning. Når det i kommunens indberetning er afkrydset, at der var tale om op-lysninger om ”økonomiske forhold” er der efter hendes opfattelse tale om en
17
henvisning til, at der i kommunens afslag på økonomisk støtte til et efterskole-ophold er angivet et overskud på Beløb. Denne oplysning burde ikke væ-ret videregivet.
Via e-Boks blev Vidne 1 oplyst om, at videregivelsen af oplysningen om ”Person 1's fars samlever” var uretmæssig, og hun blev bedt om at slette op-lysningen. Ligeledes blev Familieretshuset orienteret herom og anmodet om, at oplysningen ikke indgik i Familieretshusets sagsbehandling. Hun tror ikke, at Vidne 1 og Familieretshuset besvarede disse breve. Databruddet har ikke haft konsekvenser for hendes ansættelse. Hun var ikke yderligere involve-ret i sagen og har ikke før under afhøringen i dag set Vidne 1's mail af 19. juni 2019 til Familieretshuset.
Hun er ikke bekendt med et krav om, at der altid skal være fire øjne på en sag om aktindsigt. Hun er dog bekendt med, at der i visse tilfælde har været flere til at vurdere en aktindsigtssag. Hvis hun var i tvivl om noget, skulle hun gå til kommunens juridiske afdeling, hvor to eller tre personer var udpeget til at be-skæftige sig med aktindsigt. Hun kunne i princippet også gå til sin sektionsle-der. Det har hun dog ikke gjort i denne sag. Hun kender ikke titlen ”databeskyt-telsesrådgiver” . Hvis en anmodning om aktindsigt omfatter mange hundrede sider, har kommunen i nogle tilfælde udskudt fristen for svar. Ellers behandle-de kommunen anmodninger om aktindsigt inden for lovens syvdagesfrist.
Retsgrundlaget
Databeskyttelsesloven
Databeskyttelseslovens §§ 1 og 40 er sålydende:
”§ 1. Loven supplerer og gennemfører Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske per-soner i forbindelse med behandling af personoplysninger og om fri ud-veksling af sådanne oplysninger (databeskyttelsesforordningen), jf. bi-lag 1 til denne lov.
…
§ 40 . Enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden behandling i strid med denne lov og databeskyttelsesforordningen, har ret til erstat-ning efter databeskyttelsesforordningens artikel 82.”
Bestemmelserne blev indført ved lov nr. 502 af 23. maj 2018. Af de specielle be-mærkninger til lovens § 40 fremgår bl.a. (Folketingstidende 2017-18, tillæg A, lovforslag nr. L 68, s. 203):
”Til § 40
18
Bestemmelsen er en ordret gennemførelse af forordningens artikel 82, stk. 1. Som det fremgår af betænkningen, side 917, udvider forord-ningsbestemmelsen gældende ret, ved at databehandleren også kan væ-re erstatningsansvarlig. Derudover præciserer bestemmelsen ordlyds-mæssigt, at der er ret til erstatning for materiel og immateriel skade, hvilket dog - som det fremgår samme sted i betænkningen - må antages at svare til gældende ret.
Derudover fastsætter forordningens artikel 82, stk. 2 og 3, at der fortsat gælder et præsumptionsansvar.
…
Der henvises om forordningens artikel 82 i det hele til betænkningen, side 910-918.”
Af lovforslagets almindelige bemærkninger, afsnit 2.8.3.5., fremgår bl.a. (Folke-tingstidende 2017-18, tillæg A, lovforslag nr. L 68, s. 161):
”2.8.3.5. Justitsministeriet vurderer, at der i lovforslagets § 40 skal fast-sættes en bestemmelse om, at enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller en-hver anden behandling i strid med lovforslaget og databeskyttelsesfor-ordningen, har ret til erstatning efter databeskyttelsesforordningens ar-tikel 82.
Bestemmelsen svarer til persondatalovens § 69.
Justitsministeriet vurderer, at det er hensigtsmæssigt af hensyn til at skabe klarhed og af hensyn til retssikkerheden, at der i lovforslagets § 40 indsættes en bestemmelse, som er en næsten ordret gennemførelse af forordningens artikel 82, stk. 1, hvorefter det bl.a. fastslås, at der også fremover gælder et præsumptionsansvar – ligesom efter gældende ret.”
Af betænkning nr. 1565/2017 om Databeskyttelsesforordningen – og de retlige rammer for dansk lovning, del 1, side 16 i bind 1 og side 908-913 i bind 2, frem-går bl.a.:
”1.7. Betænkningens retlige status
Betænkningens analyser er baseret på eksisterende retskilder. Betænk-ningen vil således ikke stå alene som fortolkningsbidrag fremover.
Hvor retstilstanden ikke kan anses for entydig, indeholder betænknin-gen i vidt omfang forslag til mulige løsninger.
Det må forventes, at fortolkningen af forordningen på flere punkter i de kommende år vil blive udviklet gennem praksis fra bl.a. det med for-ordningen nyoprettede Europæiske Databeskyttelsesråd, EU-Domstolen, de danske domstole og Datatilsynet.
19
Den nuværende retstilstand er f.eks. baseret på meget få domme, og det må forventes, at der fremover vil komme flere domme fra bl.a. EU-Domstolen.
I det omfang, der kommer bindende afgørelser fra EU-Domstolen, na-tionale domstole, Databeskyttelsesrådet og den uafhængige tilsyns-myndighed mv., skal betænkningens analyser naturligvis læses i lyset af den nye praksis.
…
9.6.3.1. Databeskyttelsesforordningens artikel 82, stk. 1
Det følger af forordningens artikel 82, stk. 1, at enhver, som har lidt ma-teriel eller immateriel skade som følge af en overtrædelse af denne for-ordning, har ret til erstatning for den forvoldte skade fra den data-ansvarlige eller databehandleren.
Forordningens artikel 82, stk. 1, ses i vidt omfang at videreføre retten til erstatning i direktivets artikel 23.
Det følger bl.a. af præambelbetragtning nr. 146, at begrebet ”skade” bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning. Det fremgår endvidere af betragtningen, at dette ikke berører eventuelle erstatningskrav for ska-de som følge af overtrædelse af andre bestemmelser i EU-retten eller medlemsstaternes nationale ret, at behandling, der overtræder denne forordning, også omfatter behandling, der overtræder delegerede retsakter og gennemførelsesretsakter vedtaget i henhold til denne for-ordning og til medlemsstaternes nationale ret, der præciserer bestem-melserne i denne forordning, og at registrerede bør have fuld erstatning for den skade, som de har lidt.
Det fremgår nu eksplicit i forordningen, at der skal gælde et erstat-ningsansvar for materiel eller immateriel skade, hvor direktivet alene nævner skade. Materiel skade er, som nævnt ovenfor, allerede omfattet af persondatalovens § 69, hvis et økonomisk tab kan konstateres. Deru-dover må immateriel skade også anses for at være omfattet af personda-talovens § 69, i de tilfælde, hvor et økonomisk tab kan konstateres, hvil-ket efter omstændighederne kan være et tab i form af mistet omsæt-ning, jf. U 2007.1603 S, refereret ovenfor. Dette kunne eksempelvis være tilfældet ved en uberettiget offentliggørelse af personoplysninger, som er en immateriel skade, der kan medføre erstatning, hvis der kan do-kumenteres at være lidt et økonomisk tab, herunder et omsætningstab.
Det følger ikke nærmere af ordlyden af artikel 82, stk. 1, hvad der må forstås ved begreberne materiel eller immateriel skade. Det følger dog, at begrebet ”skade” , i lyset af retspraksis ved EU-Domstolen, skal for-tolkes bredt, således at det afspejler formålene i forordningen. På områ-det for pakkerejser har EU-Domstolen fortolket begrebet ”skade” til og-så at omfatte godtgørelse for ikke-økonomisk skade. EU-Domstolen har dog i nyere praksis ved udmåling af erstatning i forbindelse med trafi-kuheld fortolket dette til alene at gælde i det omfang, der blev foreskre-vet en erstatning herfor i medfør af den forsikredes erstatningsansvar i
20
henhold til de nationale bestemmelser, der fandt anvendelse på tvisten, jf. den refererede retspraksis fra EU-Domstolen. Det fremstår ikke klart, hvad der må forstås ved en bred fortolkning af begrebet ”skade” i EU-Domstolens praksis, jf. præambelbetragtning nr. 146, herunder om der efter artikel 82, stk. 1, skal kunne tilkendes en ”erstatning” for ikke-økonomisk skade, såfremt der i national ret er foreskrevet en erstatning herfor.
EU-lovgiver er heller ikke konsekvent i anvendelsen af henholdsvis be-greberne ”erstatning” og ”godtgørelse” , ligesom der heller ikke kan konstateres konsistens i brugen af begreberne ”materiel/immateriel skade” og ”økonomisk/ikke-økonomisk skade” . Dette ses bl.a. afspejlet i de to direktiver, der er gengivet ovenfor. I ligebehandlingsdirektivet ses der at være en klar sondring mellem erstatning på den ene side og godtgørelse på den anden. I direktivet om intellektuel ejendomsret føl-ger det derimod, at et af de aspekter, der skal tages hensyn til under udmåling af erstatning, hvis det er hensigtsmæssigt, er andre elementer end de økonomiske, f.eks. den ikke-økonomiske skade, rettighedshave-ren har lidt som følge af krænkelsen.
Databeskyttelsesforordningens formål følger af artikel 1, stk. 2 og 3. Af artikel 1, stk. 2, følger det, at forordningen beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Af artikel 1, stk. 3, følger det, at den frie udveksling af personoplysninger i EU hverken må indskrænkes el-ler forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.
Forordningens artikel 82, stk. 1, var i artikel 77, stk. 1, i Kommissionens oprindelige forslag, affattet på følgende måde: ”Enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med denne forordning, har ret til erstatning for den forvoldte skade fra den [dataansvarlige] eller [databehandleren]” . Der-udover var præambelbetragtning nr. 118, 1. pkt., (den nuværende be-tragtning nr. 146) affattet således: ”Personer, der lider skade som følge af en ulovlig behandling, bør have ret til erstatning fra den [dataansvar-lige] eller [databehandleren]” .
Artikel 29-gruppen har om det oprindelige forordningsforslags artikel 77 bl.a. udtalt, at arbejdsgruppen finder det nødvendigt at afklare (i en betragtning), at ordet ”skade” ikke kun henviser til materiel skade, men også omfatter andre former for skade (immateriel skade).
I Europa-Parlamentets betænkning af 21. november 2013 fra udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender blev der fo-reslået ændringer til forordningsforslagets præambelbetragtning nr. 118 og artikel 77, stk. 1. Til betragtning nr. 118 ønskedes der indsat perso-ner, der lider skade, uanset om den er økonomisk eller ej. Til artikel 77, stk. 1, ønskedes der indsat ”enhver, som har lidt skade, herunder ikke-økonomisk skade …”
Af Rådets generelle indstilling af 11. juni 2015 nævnes det i indlednin-gen, at Rådet har ønsket at modificere bl.a. præambelbetragtning nr.
21
118 og artikel 77. Præambelbetragtning nr. 118, der i al væsentlighed kan genfindes i den endelige forordnings præambelbetragtning nr. 146, blev af Rådet affattet på ny og lyder således: ”Personer, der lider skade som følge af en behandling, der ikke er i overensstemmelse med denne forordning, bør have ret til erstatning fra den dataansvarlige eller data-behandleren. Denne bør fritages for erstatningsansvar, hvis det bevises, at den pågældende ikke på nogen måde er skyld i den forvoldte skade (…) Begrebet ”skade” skal fortolkes bredt i lyset af retspraksis ved den Europæiske Unions Domstol, således at det fuldt ud afspejler målene for denne forordning” . Artikel 77, stk. 1, der i al væsentlighed kan gen-findes i den nuværende artikel 82, stk. 1, blev også affattet på ny og ly-der således: ”Enhver, som har lidt materiel eller immateriel skade som følge af en behandling, der ikke er i overensstemmelse med denne for-ordning, har ret til erstatning for den forvoldte skade fra den data-ansvarlige eller databehandleren.”
Det må af det oplistede hændelsesforløb kunne udledes, at Rådet ikke ønskede, at der skulle henvises til ikke-økonomisk skade, hvilket EU-lovgiver som sådan endte med at følge.
Forordningens artikel 82 bærer overskriften ”ret til erstatning og erstat-ningsansvar” . I den engelske version bærer artikel 82 overskriften ”right to compensation and liability” , ligesom det også var tilfældet i li-gebehandlingsdirektivets artikel 18, hvor ”erstatning” i den engelske sprogversion er ”compensation” . Derudover fastsætter forordningen ikke i artikel 82, stk. 1, de nærmere betingelser for at fastslå erstatnings-ansvaret og den deraf følgende erstatningssum, i modsætning til områ-det for administrative bøder, jf. forordningens artikel 83, stk. 1-6, hvor forordningen er meget udtrykkelig i forhold til bødestørrelserne.
Endelig sondres der efter dansk erstatningsret overordnet set mellem integritetskrænkelser (materiel skade) og ikkeintegritetskrænkelser (immateriel skade). Derefter sondres der for begge skadestyper mellem økonomisk og ikke-økonomisk skade, da der som udgangspunkt, efter dansk ret, alene kan opnås erstatning for økonomisk skade (der dog godt kan være immateriel, f.eks. et omsætningstab), jf. gengivelsen af gældende ret ovenfor. Dette taler imod, at der alene ud fra forskellen mellem direktivets artikel 23 om ”skade” og forordningens artikel 82, stk. 1, om ”materiel eller immateriel skade” kan udledes, at det med forordningen er tiltænkt, at der også skal gives erstatning for ikke-økonomisk skade efter artikel 82, i hvert fald ikke i situationer, hvor der nationalt ikke er tradition for at give erstatning for ikke-økonomiske tab.
På det foreliggende grundlag, herunder med den foreliggende praksis fra EU-Domstolen og EU-lovgiver, er der således ikke tilstrækkeligt grundlag for at fastslå, at godtgørelse for ikke-økonomisk skade er om-fattet af retten til erstatning for materiel eller immateriel skade efter ar-tikel 82, stk. 1. I hvert fald ikke, hvis der i en medlemsstat ikke normalt uden særskilt hjemmel er mulighed for erstatning for ikke-økonomisk tab. Immateriel skade i forordningens forstand må, i en dansk kontekst, antageligvis forstås som den almindelige eller rene formueskade, som er lidt som følge af overtrædelse af forordningens bestemmelser, hvilket
22
f.eks. kan være et tab i form af mistet omsætning eller fralæggelse af den retsstridigt indvundne berigelse.
Derudover fremgår det i øvrigt bl.a. af forordningens præambelbe-tragtning nr. 75, at risiciene for fysiske personers rettigheder og friheds-rettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel el-ler immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser, hvilke eksempler i øvrigt også peger i retningen af, at der med artikel 82 alene er tiltænkt erstatning for økonomisk skade.
Forordningens artikel 82, stk. 1, ændrer ikke på den mulighed, der eksi-sterer efter dansk ret, til i visse tilfælde, at udbetale godtgørelse for tort i medfør af erstatningsansvarslovens § 26 for en ikke-økonomisk skade. En sådan bestemmelse må anses for at være en sanktion efter forord-ningens artikel 84, der er med til at sikre forordningens effektive efter-levelse. For nærmere om forordningens artikel 84 henvises til afsnit 9.11. om sanktioner.
Artikel 82, stk. 1, udvider gældende ret ved at også databehandlere kan være erstatningsansvarlige.
…
9.6.3.3. Databeskyttelsesforordningens artikel 82, stk. 3
Det følger af forordningens artikel 82, stk. 3, at en dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.
Af præambelbetragtning nr. 146, præciseres det bl.a., at det er den data-ansvarlige eller databehandleren der må bevise, at den pågældende ik-ke er ansvarlig for den forvoldte skade.
Persondatalovens § 69 præciserer hvilke momenter, der er relevante for en vurdering af, om den dataansvarlige har handlet culpøst. I personda-taloven forudsættes det, at vurderingen af, om den dataansvarlige har handlet erstatningspådragende skal ske på baggrund af en kutyme be-tragtning om, hvad der almindeligvis må kræves af en dataansvarlig.
Det fastsættes ikke i forordningens artikel 82, hvilke momenter der er væsentlige i vurderingen af, om den dataansvarlige eller databehandle-ren har et ansvar for den skade, som den registrerede er blevet påført. Af den grund må det antages, at en vurdering af skyldsspørgsmålet, der fastsættes på baggrund af en kutyme betragtning, ikke er i uover-ensstemmelse med forordningens artikel 82, og vil kunne opretholdes. Det i bestemmelsen fastsatte præsumptionsansvar, følger allerede af di-rektivets artikel 23, stk. 2, hvorfor der er tale om en videreførelse af gældende ret.”
23
Databeskyttelsesforordningen
Af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af sådanne oplysninger og om ophævelse af di-rektiv 95/46/EF (generel forordning om databeskyttelse) fremgår bl.a.:
”(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (”chartret”) og i artikel 16, stk. 1, i traktaten om Den Europæiske Uni-ons funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttel-se af personoplysninger, der vedrører den pågældende.
(2) Principperne og reglerne for beskyttelse af fysiske personer i forbin-delse med behandling af deres personoplysninger bør, uanset deres na-tionalitet eller bopæl, respektere deres grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysnin-ger. Denne forordning har til formål at bidrage til skabelsen af et områ-de med frihed, sikkerhed og retfærdighed samt en økonomisk union og til økonomiske og sociale fremskridt, styrkelse af og konvergens mel-lem økonomierne inden for det indre marked og fysiske personers vel-færd.
…
(35) Helbredsoplysninger bør omfatte alle personoplysninger om den registreredes helbredstilstand, som giver oplysninger om den registre-redes tidligere, nuværende eller fremtidige fysiske eller mentale hel-bredstilstand. Dette omfatter oplysninger om den fysiske person ind-samlet i løbet af registreringen af denne med henblik på eller under le-vering af sundhedsydelser, jf. Europa-Parlamentets og Rådets direktiv 2011/24/EU (9), til den fysiske person; et nummer, symbol eller særligt mærke, der tildeles en fysisk person for entydigt at identificere den fy-siske person til sundhedsformål; oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder fra genetiske data og biologiske prøver; og enhver oplysning om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en sund-hedsfaglig behandling eller den registreredes fysiologiske eller biome-dicinske tilstand uafhængigt af kilden hertil, f.eks. fra en læge eller an-den sundhedsperson, et hospital, medicinsk udstyr eller in vitrodiag-nostik.
…
(75) Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbe-handling, identitetstyveri eller -svig, finansielle tab, skade på omdøm-me, tab af fortrolighed for personoplysninger, der er omfattet af tavs-hedspligt, uautoriseret ophævelse af pseudonymisering eller andre be-
24
tydelige økonomiske eller sociale konsekvenser; hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhin-dret i at udøve kontrol med deres personoplysninger; hvis der behand-les personoplysninger, der viser race eller etnisk oprindelse, politisk, re-ligiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller til-knyttede sikkerhedsforanstaltninger; hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på ar-bejdspladsen, økonomisk situation, helbred, personlige præferencer el-ler interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler; hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn; eller hvis behandlingen omfatter en stor mængde perso-noplysninger og berører et stort antal registrerede.
…
(85) Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysnin-ger eller begrænsning af deres rettigheder, forskelsbehandling, identi-tetstyveri eller -svig, finansielle tab, uautoriseret ophævelse af pseudo-nymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person. Så snart den data-ansvarlige bliver bekendt med, at der er sket et brud på persondatasik-kerheden, bør vedkommende derfor anmelde bruddet på persondata-sikkerheden til den kompetente tilsynsmyndighed uden unødig forsin-kelse og om muligt senest 72 timer efter, at denne er blevet bekendt med det, medmindre den dataansvarlige i overensstemmelse med an-svarlighedsprincippet kan påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko for fysiske personers rettigheder el-ler frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden for 72 timer, bør den ledsages af en begrundelse for forsinkelsen, og oplys-ningerne kan indgives trinvis uden unødig yderligere forsinkelse.
…
(146) Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade, som en person måtte lide som følge af behandling, der overtræder denne forordning. Den dataansvarlige eller databehandle-ren bør være fritaget for erstatningsansvar, hvis den pågældende bevi-ser ikke at være ansvarlig for den forvoldte skade. Begrebet ”skade” bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning. Dette berører ikke eventu-elle erstatningskrav for skade som følge af overtrædelse af andre be-stemmelser i EU-retten eller medlemsstaternes nationale ret. Behand-ling, der overtræder denne forordning, omfatter også behandling, der overtræder delegerede retsakter og gennemførelsesretsakter vedtaget i henhold til denne forordning og til medlemsstaternes nationale ret, der præciserer bestemmelserne i denne forordning. Registrerede bør have fuld erstatning for den skade, som de har lidt. Hvis dataansvarlige eller
25
databehandlere er involveret i den samme behandling, bør den enkelte dataansvarlige eller databehandler hæfte for hele erstatningen. Hvis de imidlertid er inddraget i den samme retssag i overensstemmelse med medlemsstaternes nationale ret, kan erstatning fordeles i henhold til den enkelte dataansvarliges eller databehandlers ansvar for den skade, der er forvoldt af behandlingen, forudsat at der sikres fuld erstatning til den registrerede, som har lidt skaden. Enhver dataansvarlig eller data-behandler, der har betalt fuld erstatning, kan efterfølgende gøre regres mod andre dataansvarlige eller databehandlere, der er involveret i samme behandling.
…
KAPITEL I
Generelle bestemmelser
Artikel 1
Genstand og formål
1.I denne forordning fastsættes regler om beskyttelse af fysiske perso-
ner i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.
2.Denne forordning beskytter fysiske personers grundlæggende ret-
tigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af per-sonoplysninger.
…
Artikel 4
Definitioner
I denne forordning forstås ved:
1) ”personoplysninger” : enhver form for information om en identifice-ret eller identificerbar fysisk person (”den registrerede”); ved identifi-cerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
2) ”behandling” : enhver aktivitet eller række af aktiviteter – med og uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling el-ler samkøring, begrænsning, sletning eller tilintetgørelse
26
…
12) ”brud på persondatasikkerheden” : et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret vide-regivelse af eller adgang til personoplysninger, der er transmitteret, op-bevaret eller på anden måde behandlet
…
15) ”helbredsoplysninger” : personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsy-delser, og som giver information om vedkommendes helbredstilstand
…
Artikel 6
Lovlig behandling
1.Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende
forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personop-lysninger til et eller flere specifikke formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foran-staltninger, der træffes på den registreredes anmodning forud for ind-gåelse af en kontrakt.
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
e) Behandling er nødvendig af hensyn til udførelse af en opgave i sam-fundets interesse eller som henhører under offentlig myndighedsudø-velse, som den dataansvarlige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige eller en tredje-mand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myn-digheder foretager som led i udførelsen af deres opgaver.
…
Artikel 9
27
Behandling af særlige kategorier af personoplysninger
1.Behandling af personoplysninger om race eller etnisk oprindelse,
politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysnin-ger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.
2.Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig
gældende:
…” .
Artikel 82
Ret til erstatning og erstatningsansvar
1.Enhver, som har lidt materiel eller immateriel skade som følge af en
overtrædelse af denne forordning, har ret til erstatning for den forvold-te skade fra den dataansvarlige eller databehandleren.
2.Enhver dataansvarlig, der er involveret i behandling, hæfter for den
skade, der er forvoldt af behandling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af behand-ling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges lovlige in-strukser.
3.En dataansvarlig eller databehandler er fritaget for erstatnings-
ansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.”
Praksis fra EU-Domstolen om artikel 82 i Databeskyttelsesforordningen
EU-Domstolen har i en række domme udtalt sig om forståelsen af artikel 82 i Databeskyttelsesforordningen.
Af EU-Domstolens dom af 4. maj 2023 i sag C-300/21 (Österreichische Post) fremgår bl.a.:
”31 For det første bemærkes hvad angår ordlyden af databeskyttelses-forordningens artikel 82, at denne artikels stk. 1 bestemmer, at ”[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvold-te skade fra den dataansvarlige eller databehandleren” .
32 I første række fremgår det klart af denne bestemmelses ordlyd, at en af betingelserne for ret til erstatning som fastsat i denne bestemmelse er, at der foreligger ”skade” , eller at der er ”forvold[t] skade” , ligesom da-
28
tabeskyttelsesforordningen skal være overtrådt, og der skal være en år-sagsforbindelse mellem skaden og overtrædelsen, idet disse tre betin-gelser er kumulative.
…
42 Henset til samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den blotte overtrædelse af denne for-ordnings bestemmelser ikke er tilstrækkelig til at give ret til erstatning.
…
43 Den forelæggende ret ønsker med sit tredje spørgsmål, der skal be-handles før det andet spørgsmål, nærmere bestemt oplyst, om databe-skyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den-ne bestemmelse er til hinder for en national regel eller praksis, hvorefter erstatning for en immateriel skade som omhandlet i den nævnte be-stemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad.
44 I denne henseende bemærkes, således som det er blevet fremhævet i denne doms præmis 30, at begrebet ”skade” , og i det foreliggende til-fælde nærmere bestemt begrebet ”immateriel skade” som omhandlet i databeskyttelsesforordningens artikel 82, henset til, at der ikke er nogen henvisning til medlemsstaternes nationale ret, skal undergives en selv-stændig og ensartet fortolkning, der er særlig for EU-retten.
45 For det første definerer databeskyttelsesforordningen ikke begrebet ”skade” med henblik på anvendelsen af dette instrument. I forordnin-gens artikel 82 er det blot udtrykkeligt fastsat, at ikke alene en ”materiel skade” , men også en ”immateriel skade” kan give ret til erstatning, uden at nogen alvorstærskel er nævnt.
46 For det andet tyder den sammenhæng, hvori denne bestemmelse indgår, ligeledes på, at retten til erstatning ikke er betinget af, at den pågældende skade når en vis alvorstærskel. I 146. betragtning til data-beskyttelsesforordningen er det nemlig i tredje punktum anført, at ”[b]egrebet ”skade” bør fortolkes bredt i lyset af retspraksis ved Dom-stolen, således at det fuldt ud afspejler formålene for denne forord-ning” . Det ville imidlertid være i strid med denne brede fortolkning af begrebet ”skade” , som EU-lovgiver har foretrukket, hvis dette begreb var begrænset til alene at omfatte skader af en vis alvor.
47 For det tredje og sidste bekræftes en sådan fortolkning af de formål, der forfølges med databeskyttelsesforordningen. I denne henseende bemærkes, at der i tredje punktum i 146. betragtning til denne forord-ning udtrykkeligt opfordres til, at begrebet ”skade” som omhandlet i forordningen fortolkes således, at det ”fuldt ud afspejler formålene for denne forordning” .
48 Det fremgår navnlig af tiende betragtning til databeskyttelsesforord-ningen, at bestemmelserne heri bl.a. har til formål at sikre et ensartet og
29
højt niveau for beskyttelse af fysiske personer i forbindelse med be-handling af personoplysninger i Unionen og med henblik herpå at sikre en konsekvent og ensartet anvendelse af reglerne for beskyttelse af dis-se personers grundlæggende rettigheder og frihedsrettigheder i forbin-delse med behandling af sådanne oplysninger overalt i Unionen (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 101, og af 12.1.2023, Österreichische Post (Op-lysninger om modtagere af personoplysninger), C-154/21, EU:C:2023:3, præmis 44 og den deri nævnte retspraksis).
49 Såfremt erstatning for immateriel skade var betinget af, at en vis al-vorstærskel var nået, ville det risikere at skade sammenhængen i den ordning, der er indført ved databeskyttelsesforordningen, eftersom gradueringen af en sådan tærskel, som muligheden for at opnå en så-dan erstatning ville afhænge af, ville kunne variere afhængigt af de på-kendende retters bedømmelse.
50 Det forholder sig ikke desto mindre således, at den hermed anlagte fortolkning ikke kan forstås således, at den indebærer, at en registreret person, der er berørt af en overtrædelse af databeskyttelsesforordnin-gen, som har haft skadevirkninger for den pågældende, ikke skal godt-gøre, at disse virkninger udgør en immateriel skade som omhandlet i forordningens artikel 82.
51 Henset til ovenstående betragtninger skal det tredje spørgsmål be-svares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal for-tolkes således, at denne bestemmelse er til hinder for en national regel eller praksis, hvorefter erstatning for en immateriel skade som omhand-let i den nævnte bestemmelse er betinget af, at den skade, som den regi-strerede har lidt, har en vis alvorsgrad.
…
54 I det foreliggende tilfælde bemærkes, at databeskyttelsesforordnin-gen ikke indeholder bestemmelser, der har til formål at fastlægge reg-lerne om fastsættelse af den erstatning, som en registreret, jf. denne for-ordnings artikel 4, nr. 1), kan kræve i henhold til forordningens artikel 82, når en overtrædelse af denne forordning har forvoldt vedkommen-de skade. Når der ikke findes EU-retlige regler på området, tilkommer det følgelig hver enkelt medlemsstat i sin retsorden at fastsætte reglerne for sager til sikring af beskyttelsen af borgernes rettigheder i henhold til artikel 82, og navnlig at fastsætte de kriterier, der giver mulighed for at bestemme omfanget af den erstatning, der skal betales i denne forbin-delse, idet de nævnte principper om ækvivalens og effektivitet skal overholdes (jf. analogt dom af 13.7.2006, Manfredi m.fl., C-295/04 – C-298/04, EU:C:2006:461, præmis 92 og 98).”
Af EU-Domstolens dom af 14. december 2023 i sag C-340/21 (Natsionalna agentsia za prihodite) fremgår bl.a.:
”82 Det fremgår i øvrigt af 85. betragtning, første punktum, til databe-skyttelsesforordningen, at ”[e]t brud på persondatasikkerheden kan,
30
hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller -svig, finansielle tab, […] eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person” . Det fremgår af denne liste over eksempler på ”skade” , som de registrerede kan lide, at EU-lovgiver har haft til hensigt, at dette begreb navnlig skulle omfatte det blotte ”tab af kontrol” over deres eg-ne oplysninger som følge af en tilsidesættelse af denne forordning, selv om et misbrug af de omhandlede oplysninger ikke konkret har fundet sted til skade for de nævnte personer.
83 For det tredje og endelig understøttes fortolkningen i nærværende doms præmis 80 af formålene med databeskyttelsesforordningen, som skal afspejles fuldt ud ved fastlæggelsen af begrebet ”skade” , således som det fremgår af 146. betragtning, tredje punktum, til denne forord-ning. En fortolkning af databeskyttelsesforordningens artikel 82, stk. 1, hvorefter begrebet ”immateriel skade” som omhandlet i denne be-stemmelse ikke omfatter de situationer, hvor en registreret udelukken-de påberåber sig sin frygt for, at den pågældendes oplysninger i fremti-den vil blive misbrugt af tredjemand, ville imidlertid ikke være i over-ensstemmelse med den garanti for et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger inden for Unionen, der er omhandlet i dette instrument.
…
86 Henset til ovenstående begrundelser skal det femte spørgsmål be-svares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal for-tolkes således, at den frygt, som en registreret nærer for, at dennes per-sonoplysninger potentielt kan blive misbrugt af tredjemand som følge af en tilsidesættelse af denne forordning, i sig selv kan udgøre en ”im-materiel skade” som omhandlet i denne bestemmelse.”
Af EU-Domstolens dom af 24. januar 2024 i sag i C-687/21 (MediaMarktSaturn) fremgår bl.a.:
”55 Henset til ovenstående betragtninger skal det sjette spørgsmål be-svares med, at databeskyttelsesforordningens artikel 82 skal fortolkes således, at denne artikel ikke kræver, at der med henblik på erstatning for en skade på grundlag af denne bestemmelse tages hensyn til graden af grovhed af den dataansvarliges overtrædelse.
…
59 Hvad særligt angår immateriel skade har Domstolen også udtalt, at databeskyttelsesforordningens artikel 82, stk. 1, er til hinder for en na-tional regel eller praksis, hvorefter erstatning for en immateriel skade som omhandlet i denne bestemmelse er betinget af, at den skade, som den registrerede, som defineret i denne forordnings artikel 4, nr. 1), har lidt, har en vis grad af grovhed (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af
31
personoplysninger), C-300/21, EU:C:2023:370, præmis 51, og domme af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 78, og Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 16).
…
67 Desuden skal det i det foreliggende tilfælde bemærkes, at det både er i overensstemmelse med ordlyden af databeskyttelsesforordningens ar-tikel 82, stk. 1, og med det beskyttelsesformål, der forfølges med denne forordning, at begrebet ”immateriel skade” omfatter en situation, hvor den registrerede har en velbegrundet frygt for, at visse af vedkommen-des personoplysninger i fremtiden vil blive udbredt eller misbrugt af tredjemand – hvilket det tilkommer den nationale ret at efterprøve – som følge af den omstændighed, at et dokument, der indeholder de nævnte oplysninger, er blevet udleveret til en uautoriseret tredjemand, der var i stand til at tage kopier heraf, inden det blev tilbageleveret.
68 Det forholder sig imidlertid ikke desto mindre således, at det til-kommer sagsøgeren i et erstatningssøgsmål på grundlag af databeskyt-telsesforordningens artikel 82 at godtgøre, at der foreligger en sådan skade. Navnlig kan en rent hypotetisk risiko for misbrug fra en uautori-seret tredjemands side ikke give anledning til erstatning. Dette er til-fældet, når ingen tredjemand har fået kendskab til de omhandlede per-sonoplysninger.”
Af EU-Domstolens dom af 14. december 2023 i sag C-456/22 (Gemeinde Um-mendorf) fremgår bl.a.:
”16 Ud fra dette synspunkt har Domstolen på grundlag af både ord-lyds-, system- og formålsbetragtninger fortolket databeskyttelsesfor-ordningens artikel 82, stk. 1, således, at denne bestemmelse er til hinder for en national regel eller praksis, hvorefter erstatning for en ”immate-riel skade” som omhandlet i den nævnte bestemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med be-handling af personoplysninger), C-300/21, EU:C:2023:370, præmis 51, og af dags dato, Natsionalna agentsia za prihodite, sag C-340/21, præ-mis 78).
…
18 Det følger heraf, at databeskyttelsesforordningens artikel 82, stk. 1, ikke kræver, at den ”immaterielle skade” , som den registrerede hævder at have lidt, skal nå en ”bagatelgrænse” , for at denne skade kan erstat-tes, efter at der er konstateret en tilsidesættelse af denne forordnings bestemmelser.
…
23 På baggrund af det ovenstående skal det forelagte spørgsmål besva-res med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortol-
32
kes således, at denne bestemmelse er til hinder for en national lovgiv-ning eller national praksis, der fastsætter en ”bagatelgrænse” med hen-blik på at kvalificere en immateriel skade, der er forårsaget af en tilside-sættelse af denne forordning. Den registrerede skal godtgøre, at konse-kvenserne af denne tilsidesættelse, som vedkommende hævder at have lidt, udgør en skade, der adskiller sig fra den blotte tilsidesættelse af be-stemmelserne i den nævnte forordning.”
Af EU-Domstolens dom af 20. juni 2024 i de forenede sager C-182/22 og C-189/22 (Scalable Capital) fremgår bl.a.:
”44 Domstolen har i denne forbindelse fastslået, at databeskyttelsesfor-ordningens artikel 82, stk. 1, ikke kræver, at den skade, som den regi-strerede hævder at have lidt, skal nå en ”bagatelgrænse” , for at denne skade kan give ret til erstatning, efter at der er konstateret en tilsidesæt-telse af denne forordnings bestemmelser (jf. i denne retning dom af 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 18).
45 Sådanne betragtninger udelukker imidlertid ikke, at nationale dom-stole kan tilkende en meget lav erstatning, forudsat at denne erstatning fuldt ud kompenserer den pågældende skade, hvilket det tilkommer den forelæggende ret at efterprøve under overholdelse af de ovenfor i præmis 43 nævnte principper.
46 På baggrund af det ovenstående skal det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at når der er forvoldt skade og denne skade ikke er grov, kan en national ret kompensere skaden ved at tilkende den registrerede en ubetydelig erstatning, forudsat at denne erstatning gør det muligt fuld-stændigt at kompensere den skade, der er forvoldt.”
Af EU-Domstolens dom af 11. april 2024 i sag C-741/21 (juris) fremgår bl.a.:
”42 I denne henseende skal det bemærkes, at et ”tab af kontrol” ud-trykkeligt nævnes i 85. betragtning til databeskyttelsesforordningen blandt de skader, der kan opstå som følge af et brud på persondatasik-kerheden. Endvidere har Domstolen fastslået, at tabet af kontrol med personoplysninger – selv i et kort tidsrum – kan udgøre en ”immateriel skade” som omhandlet i denne forordnings artikel 82, stk. 1, der giver ret til erstatning, forudsat at den nævnte registrerede godtgør, at ved-kommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være (jf. i denne retning dom af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 66 og den deri nævnte retspraksis).
…
49 En ansat hos den dataansvarlige er rent faktisk en fysisk person, der udfører arbejde for denne dataansvarlige. Det påhviler således den nævnte dataansvarlige at sikre sig, at vedkommendes instrukser gen-nemføres korrekt af dennes ansatte. En dataansvarlig kan derfor ikke
33
frigøre sig for sit ansvar i henhold til databeskyttelsesforordningens ar-tikel 82, stk. 3, blot ved at påberåbe sig, at en person, der udfører arbej-de for vedkommende, har udvist uagtsomhed eller forsømmelse.
50 I det foreliggende tilfælde har juris i sit skriftlige indlæg for Domsto-len i det væsentlige gjort gældende, at den dataansvarlige bør fritages for sit erstatningsansvar i henhold til databeskyttelsesforordningens ar-tikel 82, stk. 3, når den overtrædelse, der har forvoldt den pågældende skade, kan tilskrives en adfærd udvist af en af dennes ansatte, som ikke har overholdt den dataansvarliges instrukser, og forudsat at denne overtrædelse ikke skyldes en tilsidesættelse af sidstnævntes forpligtel-ser, der navnlig er fastsat i denne forordnings artikel 24, 25 og 32.
51 Det skal i denne forbindelse fremhæves, at de omstændigheder, der knytter sig til den fritagelse, der er fastsat i databeskyttelsesforordnin-gens artikel 82, stk. 3, skal være strengt begrænset til de omstændighe-der, hvor den dataansvarlige kan påvise, at skaden ikke kan tilregnes den pågældende (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 70). I tilfælde af et brud på persondatasikkerheden begået af en person, der udfører ar-bejde for den dataansvarlige, kan den dataansvarlige derfor kun nyde godt af denne fritagelse, såfremt vedkommende beviser, at der ikke er nogen årsagsforbindelse mellem den eventuelle tilsidesættelse af ved-kommendes forpligtelse til at beskytte oplysningerne efter databeskyt-telsesforordningens artikel 5, 24 og 32, og den skade, som den registre-rede har lidt (jf. analogt dom af 14.12.2023, Natsionalna agentsia za pri-hodite, C-340/21, EU:C:2023:986, præmis 72).
52 For at den dataansvarlige kan fritages for sit erstatningsansvar i hen-hold til databeskyttelsesforordningens artikel 82, stk. 3, er det derfor ik-ke tilstrækkeligt, at denne godtgør at have givet instrukser til de perso-ner, der udfører arbejde for vedkommende som omhandlet i denne for-ordnings artikel 29, og at en af de nævnte personer har tilsidesat sin forpligtelse til at følge disse instrukser, således at denne har bidraget til den pågældende skades indtræden.
53 Hvis det blev anerkendt, at den dataansvarlige kunne fritages for sit erstatningsansvar ved blot at påberåbe sig en fejl begået af en person, der udførte arbejde for vedkommende, ville dette nemlig skade den ef-fektive virkning af den ret til erstatning, der er fastsat i databeskyttel-sesforordningens artikel 82, stk. 1, således som den forelæggende ret i det væsentlige har anført, og dette ville ikke være i overensstemmelse med denne forordnings formål, som består i at sikre et højt beskyttel-sesniveau for fysiske personer i forbindelse med behandlingen af deres personoplysninger.
54 Henset til det ovenstående skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 82 skal fortolkes således, at det ikke er tilstrækkeligt til, at den dataansvarlige kan fritages for sit erstat-ningsansvar i henhold til nævnte artikels stk. 3, at vedkommende gør gældende, at den pågældende skade er forårsaget af en fejl begået af en person, der udfører arbejde for den dataansvarlige som omhandlet i denne forordnings artikel 29.”
34
Af EU-Domstolens dom af 20. juni 2024 i sag C-590/22 (PS (Adresse erronée)) fremgår bl.a.:
”32 Domstolen har fastslået, at det ikke alene fremgår af ordlyden af da-tabeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragtning til denne forordning, som opfordrer til at anlægge en bred fortolkning af begrebet ”immateriel skade” som omhandlet i den-ne førstnævnte bestemmelse, men ligeledes af formålet, der består i at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger, som er omhandlet i den nævnte for-ordning, at den frygt, som en registreret nærer for, at dennes personop-lysninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af denne forordning, i sig selv kan udgøre en ”immateriel skade” som omhandlet i denne artikel 82, stk. 1 (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 79-86, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 65).
33 Tabet af kontrol med personoplysninger – selv i et kort tidsrum – kan udgøre en ”immateriel skade” som omhandlet i databeskyttelses-forordningens artikel 82, stk. 1, der giver ret til erstatning, forudsat at den nævnte registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være, idet Domstolen har ud-talt, at den blotte tilsidesættelse af bestemmelserne i denne forordning ikke er tilstrækkelig til at give ret til erstatning på dette grundlag (jf. i denne retning dom af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 66, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 42).
…
35 Den blotte henvisning til en frygt – uden godtgjorte negative konse-kvenser – kan således ikke give anledning til erstatning i henhold til denne bestemmelse.
36 Henset til ovenstående betragtninger skal det tredje spørgsmål be-svares med, a databeskyttelsesforordningens artikel 82, stk. 1, skal for-tolkes således, at en persons frygt for, at vedkommendes personoplys-ninger som følge af en overtrædelse af denne forordning er blevet vide-regivet til tredjemand, uden at det kan godtgøres, at dette faktisk har været tilfældet, er tilstrækkelig til at begrunde en ret til erstatning, for så vidt som denne frygt og de negative konsekvenser af denne er behø-rigt bevist.
…
42 Henset til den kompenserende funktion af den ret til erstatning, der er fastsat i databeskyttelsesforordningens artikel 82, som anført i sjette punktum i 146. betragtning til denne forordning, skal en økonomisk er-statning på grundlag af denne artikel anses for at være »fuld«, hvis den fuldstændigt kompenserer den skade, der konkret er lidt på grund af
35
overtrædelsen af denne forordning, uden at det med henblik på en så-dan ydelse af fuldstændig kompensation er nødvendigt at pålægge be-taling af erstatning med karakter af straf (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med be-handling af personoplysninger), C-300/21, EU:C:2023:370, præmis 57 og 58, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 61).”
Af EU-Domstolens dom af 4. oktober 2024 i sag C-507/23 (Patērētāju tiesību aizsardzības centrs) fremgår bl.a.:
”36 Ligeledes er databeskyttelsesforordningens artikel 82, stk. 1, ikke til hinder for, at en undskyldning kan udgøre den eneste form for erstat-ning eller en erstatning, der ledsager den immaterielle skade, således som det i det foreliggende tilfælde er fastsat i artikel 14 loven af 2005, forudsat at en sådan form for erstatning er i overensstemmelse med ækvivalensprincippet og effektivitetsprincippet, navnlig henset til, at den skal gøre det muligt fuldt ud at erstatte den immaterielle skade, der konkret er lidt som følge af overtrædelsen af denne forordning, hvilket det tilkommer den forelæggende ret at efterprøve under hensyn til om-stændighederne i det enkelte tilfælde.”
Erstatningsansvarslovens § 26
Erstatningsansvarslovens § 26, stk. 1, er sålydende:
” § 26. Den, der er ansvarlig for en retsstridig krænkelse af en andensfri-
hed, fred, ære eller person, skal betale den forurettede godtgørelse for tort.”
Bestemmelsen blev indført ved lov nr. 228 af 23. maj 1984 om erstatningsansvar.
Det fremgår af forarbejderne til loven (Folketingstidende1983-84, 2. samling,
tillæg A, sp. 123), at bestemmelsen – sammen med andre bestemmelser i loven – erstattede § 15 i ikrafttrædelsesloven til straffeloven.
Den sidstnævnte bestemmelse var bl.a. ændret ved lov nr. 89 af 29. marts 1972.
Det fremgår af lovens forarbejder (Folketingstidende1971-72, tillæg A, sp. 552
og 560), at ændringen byggede på Straffelovrådets betænkning nr. 601/1971 om privatlivets fred. I denne betænkning anføres om begrebet ”tort” bl.a. (s. 65):
”´Tort´ er krænkelse af selv-og æresfølelsen, d.v.s. en persons opfattelse af eget værd og omdømme. Krænkelsesformen kan være sigtelser og ringeagtsytringer (injurier), fredskrænkelser, f.eks. brud på brevhem-meligheden, offentlig meddelelse om privatlivet tilhørende forhold eller frihedskrænkelser, herunder kønsfrihedsforbrydelser.”
Erstatningsansvarslovens § 26 er efterfølgende ændret flere gange, bl.a. ved lov nr. 349 af 23. maj 1997. Ved ændringen blev der indsat en ny bestemmelse i stk.
2 (nu stk. 3). Efter denne bestemmelse skal den, der er ansvarlig for enretsstri-
dig krænkelse af en anden – selv om der ikke er lidt tort – betale denforuret-
36
tede godtgørelse, såfremt krænkelsen er begået ved en forbrydelse, der harin-
debåret et særligt groft angreb mod en andens person eller frihed. I lovforsla-
gets almindelige bemærkninger anføres bl.a. (Folketingstidende,1996-97, 1.
samling, tillæg A, s. 3172-3174):
”4. Godtgørelse for ikke økonomisk skade
4.1. Gældende ret
Det følger af erstatningsansvarslovens § 26, at den, der er ansvarlig for en retsstridig krænkelse af en andens frihed, fred, ære eller person, skal betale den forurettede godtgørelse for tort.
Begrebet ”tort” og dermed bestemmelsens rækkevidde er navnligfast-
lagt ved nogle højesteretsdomme. Retstilstanden kan hereftersammen-
fattes på den måde, at godtgørelse for tort selv i alvorlige voldssager kun kan tilkendes, hvis volden er begået under sådanne for ofret særligt
krænkende, ydmygende eller hånende omstændigheder, at de ereg-
nede til at krænke vedkommendesselv-og æresfølelse.
Alvorlig vold eller trusler om vold kan derfor ikke i sig selv begrunde, at der tilkendes ofret en godtgørelse for tort, heller ikke i tilfælde, hvor overgrebet har medført en forståelig og belastende følelse af utryghed, angst og mindreværd.
…
Den gældende retstilstand bygger på princippet om, at godtgørelse for ikke-økonomisk skade kun bør tilkendes, hvor der er et ganske særligt behov herfor, og hvor der endvidere kan opstilles visse objektive krite-rier som f.eks., at der er opstået varig helbredsskade, eller at en forbry-delse er begået på en sådan måde, at der heri ligger en særlig krænkelse af ofrets selvfølelse. Dette princip er bl.a. med til at undgå vilkårlighed i retsanvendelsen.
4.2. Justitsministeriets overvejelser
Psykiske følger som utryghed, angst og lignende kan opstå som følge af
mange typer af forbrydelser og vil have forskellig intensitet bl.a.af-
hængig af offerets individuelle psykiske ressourcer og socialekontakt-
net. F.eks. kan der hos personer, der har været udsat for vold, røveri, indbrudstyveri, hærværk, overtrædelser af polititilhold, eller der måske ”blot” har været vidne til, at andre udsættes for vold, opstå forskellige grader af utryghed eller angst.
En ændring af retstilstanden vedrørende godtgørelse for tort vil derfor kunne få ganske vidtrækkende følger. Samtidig vil selv mindre æn-dringer kunne medføre væsentlige udgifter for det offentlige ikke mindst på grund af reglerne i offererstatningsloven, som indebærer, at staten dækker bl.a. krav på godtgørelse for tort til ofre for overtrædelser af straffeloven.
Der har imidlertid været rejst kritik af den meget begrænsede adgang til at yde torterstatning. Der er samtidig grænsetilfælde, f.eks. særligt
37
grove voldsforbrydelser, jf. de ovennævnte eksempler, hvor det kan fo-rekomme rimeligt, at der åbnes en adgang til, at ofre i videre omfang end i dag kan tilbydes en økonomisk godtgørelse for den angst og psy-kiske belastning, der har været forbundet med at være offer for forbry-delsen.
Med henblik på at tilvejebringe en begrænset øget mulighed for attil-
kende en godtgørelse for ikke-økonomisk skade ved særlig grove for-
brydelser foreslås det, at der indsættes et nyt stk. 2 ierstatningsansvars-
lovens § 26.
Den nye bestemmelse skal omfatte særlige grænsetilfælde, hvor der hidtil ikke er ydet godtgørelse for tort i medfør af stk. 1.
Efter Justitsministeriets opfattelse er det navnlig i forbindelse med kri-
minalitet rettet mod en andens frihed eller person, at det kanfore-
komme rimeligt, at der åbnes mulighed for i videre omfang end hidtil at yde en godtgørelse også for ikke-økonomisk skade. Godtgørelse skal
ydes i de grænsetilfælde, hvor forbrydelsen ikke direkte har væreteg-
net til at krænke ofrets selv-eller æresfølelse, og hvor der derfor ikke
ydes godtgørelse for tort, men hvor forbrydelsen desuagtet er af enså-
dan karakter, at den generelt set er egnet til at skabe meget betydelig angst og længerevarende psykiske belastninger for offeret.
Det er derfor en betingelse efter den foreslåede bestemmelse, at kræn-
kelsen er sket ved en forbrydelse, der har indebåret et særligt groftan-
greb mod en andens frihed eller person.
Der foreslås ikke en udvidelse af adgangen til at tilkende godtgørelse for ikke-økonomisk skade i forbindelse med angreb mod en persons fred eller ære i øvrigt.”
Af lovforslagets specielle bemærkninger til ændringslovens § 3 anføres bl.a. Folketingstidende, 1996-97, 1. samling, tillæg A, s. 3182) :
”Til § 3
Erstatningsansvarsloven
Bestemmelsens stk. 1 svarer til den nugældende regel i erstatnings-ansvarslovens § 26, 1. pkt., og forslaget indebærer ikke ændringer i rækkevidden af denne bestemmelse.
I stk. 2 foreslås en udvidet adgang til at yde godtgørelse for ikke-økonomisk skade i forbindelse med forbrydelser.
…
Bestemmelsens kerneområde vil være straffelovsovertrædelser i form af særligt grov vold eller frihedsberøvelse. Bestemmelsen kan således om-fatte forbrydelser, hvor vold indgår i gerningsindholdet, herunder både forhold, der udelukkende består i vold, og f.eks. røveri, voldtægt og drabsforsøg.
38
Kravet om forholdets grovhed indebærer, at der skal være tale om en forbrydelse, der har medført alvorlig utryghed og angst hos ofret, og som også generelt set er egnet til at skabe betydelig frygt og bekym-ring.”
Ved lov nr. 463 af 7. juni 2001 blev der i erstatningsansvarslovens § 26, stk. 2, indsat en særlig bestemmelse, som – i tilfælde, hvor der foreligger tort som nævnt i stk. 1 – havde til formål at forhøje niveauet for godtgørelse i forbindelse med overtrædelse af straffelovens kapitel 23 og 24 om forbrydelser i familiefor-hold og seksualforbrydelser. I lovforslagets almindelige bemærkninger anføres bl.a. (Folketingstidende 2000-01, tillæg A, lovforslag L 143, s. 3521):
”4.1.9. Tortgodtgørelse
Efter erstatningsansvarslovens § 26, stk. 1, skal den, der er ansvarlig for
en retsstridig krænkelse af en andens frihed, fred, ære eller person,be-
tale den forurettede godtgørelse for tort. ”Tort” er navnlig en krænkelse
af selv-og æresfølelsen, dvs. en persons opfattelse af eget værd ogom-
dømme. …”
Erstatningsansvarslovens § 26 er ændret ved lov nr. 1719 af 27. december 2018. Ændringen – der trådte i kraft den 1. januar 2019 – havde til formål at forhøje niveauet for godtgørelse for tort i forbindelse med overtrædelse af en række bestemmelser i straffelovens kapitel 27 om freds-og ærekrænkelser. I lovforsla-
gets almindelige bemærkninger anføres bl.a. (Folketingstidende2018-19, 1.
samling, tillæg A, lovforslag L 20, s. 38):
”2.14.1. Gældende ret
…
2.14.1.2. Erstatningsansvarslovens § 26 indeholder regler omtort-og
krænkelsesgodtgørelse. Det følger af erstatningsansvarslovens § 26, stk. 1, at der kan tilkendes tortgodtgørelse, såfremt der er sket en retsstridig krænkelse af en persons frihed, fred, ære eller person. Erstatnings-ansvarslovens § 26, stk. 1, er en videreførelse af den dagældende regel i §
15, stk. 1, i ikrafttrædelsesloven til straffeloven, jf. herved § 2 i lov nr. 89 af 29. marts 1972. Efter den dagældende § 15, stk. 2, i ikrafttrædelseslo-ven skulle godtgørelsens størrelse fastsættes under hensyn til krænkel-
sens grovhed, handlingens beskaffenhed og omstændighederne iøv-
rigt.
Ikrafttrædelseslovens § 15, stk. 2, blev ikke medtaget i erstatnings-ansvarsloven, men det fremgår af lovforslaget, at der ikke er tilsigtet no-
gen ændring med hensyn til udmåling af godtgørelsen. Godtgørelsen skal således fortsat fastsættes under hensyn til krænkelsens grovhed, handlingens beskaffenhed og omstændighederne i øvrigt, jf. lovforslag
nr. L 7 af 6. februar 1984 om erstatningsansvar, Folketingstidende1983-
84 (2. samling), tillæg A, sp. 123.
For at der kan tilkendes en tortgodtgørelse efter erstatningsansvarslo-vens § 26, stk. 1, skal der foreligge en retsstridig krænkelse. For at en krænkelse er retsstridig, skal der foreligge en culpøs krænkelse af en vis
39
grovhed.”
Erstatningsansvarslovens § 26 er senest ændret ved lov nr. 895 af 21. juni 2022 om ændring af lov erstatningsansvar og lov om erstatning fra staten til ofre for forbrydelser (Udvidelse af området for ydelse af krænkelsesgodtgørelse og for-enkling af renteberegningen i offererstatningssager). I lovforslagets almindelige bemærkninger anføres bl.a. (Folketingstidende 2021-22, 1. samling, tillæg A, lovforslag L 184, s. 4-5):
”2.1. Fastsættelse af ordning for tortgodtgørelse ved digitale seksuelle krænkelser
2.1.1. Gældende ret
…
2.1.1.1. Tort- og krænkelsesgodtgørelse efter erstatningsansvarslovens § 26
…
Det er den tort, der er lidt, som tortgodtgørelse skal kompensere for. Ved ”tort” forstås i almindelighed en krænkelse, der er egnet til at på-virke skadelidtes selv- og æresfølelse, dvs. en persons opfattelse af eget værd og omdømme. Det er således den ydmygelse, skadelidte har væ-ret udsat for, der bestemmer, om vedkommende har krav på tortgodt-gørelse. Hvis krænkelsen ikke har været egnet til at påvirke skadelidtes selv- og æresfølelse, vil der med andre ord ikke være grundlag for at blive tilkendt tortgodtgørelse, idet krænkelsen dermed ikke er omfattet af bestemmelsens anvendelsesområde.
Eksempler fra retspraksis på typetilfælde, der berettiger til tortgodtgø-relse er bl.a. frihedsberøvelse, krænkelse af privatlivets fred, voldtægt eller andre seksuelle krænkelser.
Erstatningsansvarslovens § 26 overlader domstolene et vidt skøn ved udmålingen af tortgodtgørelse. Niveauerne for tortgodtgørelse er såle-des ikke reguleret i selve erstatningsansvarsloven, men der er tilkende-givelser i bemærkningerne til erstatningsansvarslovens § 26 herom. …”
Den Europæiske Menneskerettighedskonvention
Artikel 8 i Den Europæiske Menneskerettighedskonvention er sålydende:
Stk. 1. Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance.
Stk. 2. Ingen offentlig myndighed må gøre indgreb i udøvelsen af denne ret, medmindre det sker i overensstemmelse med loven og er nødven-digt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at fore-bygge uro eller forbrydelse, for at beskytte sundheden eller sædelighe-den eller for at beskytte andres rettigheder og friheder.
40
Af Menneskerettighedsdomstolens dom af 15. april 2014 i sagen Radu mod Moldova (50073/07) fremgår bl.a.:
“I. THE CIRCUMSTANCES OF THE CASE
5. The applicant was born in 1969 and lives in Chişinău. At the time of the events she was thirty-four years old and married. She was a lecturer at the Police Academy.
6. It appears from the case-file materials that at the time of the events the relationship between the applicant and her superiors at the Police Academy were tense and that there had been a set of employment-related civil proceedings between them.
7. On an unspecified date in 2003 the applicant underwent artificial in-semination at a fertility clinic and became pregnant with twins. On 3 August 2003 she was seen by a doctor from the No. 7 Centre for Fami-ly Doctors (“the CFD)” , an institution belonging to the Ministry of Health, who ordered her hospitalisation on account of an increased risk of miscarriage. The applicant was hospitalised between 4 and 20 Au-gust 2003 and was later closely supervised by a doctor from the CFD. It would appear that the applicant’s absence from work during her hospi-talisation was certified by a sick note referring to her pregnancy and an increased risk of miscarriage as the reasons for her absence.
8. On 5 November 2003 the President of the Police Academy requested information from the CFD in connection with the applicant’s medical leave in August 2003. In particular, he asked who had ordered her hos-pitalisation, when she had been hospitalised, what had been the initial and final diagnoses, and what treatment she had received.
9. In a letter dated 7 November 2003 the CFD informed the applicant’s employer that the applicant had been hospitalised between 4 and 20 August 2003 on account of an increased risk of miscarriage. The letter also stated that this was the applicant’s first pregnancy and that she was carrying twins; that the pregnancy had resulted from artificial in-semination and that the applicant had hepatitis B. The letter further mentioned that the applicant had obstetrical complications and that she had a negative blood type. A copy of the applicant’s medical file from the hospital where she had been hospitalised, containing a detailed de-scription of all the medical procedures she had undergone and of all the medical analyses, was annexed to the letter.
10. On an unspecified date the applicant suffered a miscarriage. Ac-cording to the medical report, one of the factors which had led to the miscarriage was the stress to which she had been subjected.
…
2. The Court’s assessment
41
27. It is undisputed between the parties, and the Court agrees, that the disclosure by the CFD to the applicant’s employer of such sensitive de-tails about the applicant’s pregnancy, her state of health and the treat-ment received constituted an interference with her right to private life. An interference will contravene Article 8 unless it is “in accordance with the law” , pursues one or more of the legitimate aims referred to in paragraph 2 of that Article, and furthermore is “necessary in a demo-cratic society” in order to achieve the aim.
…
31. In fact, the Court notes that all the relevant domestic and interna-tional law cited above expressly prohibits disclosure of such informa-tion to the point that it even constitutes a criminal offence. There are ex-ceptions to the rule of nondisclosure; however, none of them seems to be applicable to the applicant’s situation. Indeed, the Government did not show that any such exception was applicable. It follows that the in-terference complained of was not “in accordance with the law” within the meaning of Article 8. Accordingly, there is no need to examine whether the interference pursued a legitimate aim or was “necessary in a democratic society” .
32. The Court therefore finds that there has been a violation of Article 8 of the Convention in respect of the applicant’s right to respect for her private life. In view of this conclusion it also holds that no separate is-sue arises under Article 6 of the Convention.
…
A. Damage
…
36. Having regard to the violation found above, the Court considers that an award of just satisfaction for non-pecuniary damage is justified in this case. Making its assessment on an equitable basis, the Court awards the applicant EUR 4,500.”
Anbringender
Sagsøger 1 og Sagsøger 2 har i det væsentlige proce-deret i overensstemmelse med deres påstandsdokument af 27. maj 2025, hvoraf fremgår (ekstrakthenvisninger udeladt):
”III. ANBRINGENDER
A. Overordnet
Det gøres gældende, at det har haft konkret betydning for begge sagsø-gere, at personoplysningerne uretmæssigt blev videregivet til Vidne 1. Sagsøgte (Kommune) har erkendt, at der var tale om en uret-mæssig videregivelse i april 2019, herunder med anmodninger om slet-ning og med artikel 33-anmeldelse til Datatilsynet. Sikkerhedsbruddet angående helbredsmæssige personoplysninger har haft betydelige kon-sekvenser for sagsøgerne. Herudover gøres det gældende, at sagsøger-nes påstand skal tages til følge allerede ved konstateringen af helbreds-
42
oplysningens karakter og indhold. Videre gøres det gældende, at vide-regivelsen af helbredsoplysningen er af krænkende karakter for sagsø-gerne, hvorfor Sagsøgte (Kommune) skal svare erstatning/godtgørelse, hvor ansvarsgrundlaget er culpaansvar med omvendt bevisbyrde. Sagsøgerne bestrider kommunens angivelse af, at der var tale om et ”hændeligt uheld” , hvilket ingen dækning har i faktum, jf. herved kommunens forpligtelser under lovgivning og egne regelsæt, hvor kommunen havde god tid til at vurdere aktindsigt m.v. fra 16. april 2019 og fremefter.
Sagsøgerne gør gældende, at Databeskyttelsesforordningen og Databe-skyttelsesloven skal fortolkes i overensstemmelse EUs Charter om Grundlæggende Rettigheder, EU-Domstolens praksis, Den Europæiske Menneskeretskonvention, samt Menneskeretsdomstolens praksis.
Det gøres gældende, at Databeskyttelsesforordningen artikel 82 (Data-beskyttelsesloven § 40) tilsikrer begge sagsøgerne en godtgørelse, hvor sagens direkte betydning og alvor begrunder, at begge tilkendes på-standsbeløbet på kr. 55.000 fra kommunen. Sagsøgernes rettigheder i medfør af Databeskyttelsesforordningen artikel 82 kan ikke fortolkes indskrænkende, hvor de kan støtte ret direkte på bestemmelsen som EU-borgere.
B. Databeskyttelsesforordningen – krænkelse
i. Betingelser og bevisbyrde
Retstilstanden ses dækkende beskrevet af professor Henrik Udsen (UfR 2024B, side 95 ff, …), herunder angivelse af at et erstatningskrav efter artikel 82 i Databeskyttelsesforordningen følger af de tre kumulative be-tingelser om, at der skal:
1) foreligge en overtrædelse af Databeskyttelsesforordningen, 2) være lidt en skade, og
3) være årsagssammenhæng mellem overtrædelsen og skaden.
Den dataansvarlige, her Sagsøgte (Kommune), skal kunne bevise, at kommunen ikke er skyld i den begivenhed, der er årsag til skaden. Til-svarende ses beskrevet af Korfits Nielsen og Lotterup (2. udgave, 2025)
…, bl.a. med reference til VB-dommen C-340/21 af 14. december 2023 præmis 69-72, herunder at fritagelse for civilretligt erstatningsansvar ”således være strengt begrænset til de omstændigheder, hvor den data-ansvarlige kan påvise, at skaden ikke kan tilregnes den pågældende” , jf.
… (præmis 70). Det fremgår endvidere tydeligt af praksis, at der ikke gælder en bagatelgrænse i artikel 82-sager, hvorved bemærkes, at Sagsøger 1's og Sagsøger 2's sag utvivlsomt befinder sig udenfor feltet for bagateldiskussionen i retspraksis og litteratur.
Det bemærkes, at Sagsøger 2s fagforeningsmæssige tilknytningsforhold fremgår af betalingsoversigten, og at fagforeningsmæssigt tilknytnings-forhold er en særlig kategori af personoplysninger, omfattet af Databe-skyttelsesforordningen artikel 9 (følsom personoplysning), hvorfor vi-deregivelse af denne personoplysning tillige udgør et sikkerhedsbrud.
43
Det er ubestridt, at der kan tilkendes erstatning for ikke-økonomisk skade, og det gøres gældende, at Sagsøgte (Kommune) har et præsump-tionsansvar, jf. forordningens artikel 82, stk. 3-6, hvorfor kommunen skal løfte bevisbyrden for, at der ikke foreligger uagtsomhed. Der hen-vises til ”Databeskyttelsesforordningen og databeskyttelsesloven med kommentarer” , Korfits Nielsen og Lotterup (2025, …):
”Ud fra den foreliggende praksis må det imidlertid nok antages, at den dataansvarlige (eller databehandleren) skal kunne bevise, at vedkommende ikke er skyld i den begivenhed – den pågældendes (eventuelle) tilsidesættelse af forordningen – der er årsag til skaden, jf. artikel 82, stk. 3. Domstolen har fastslået, at der med stk. 3 (og indirekte erstatningsbetingelse nr. 3) er tale om en culpaordning med omvendt bevisbyrde, jf. præmis 99 og 103 i dom af 21. decem-ber 2023 i sag C-667/21, ZQ.”
Der henvises tillige til Sophia Hassel (2024, …), bl.a. følgende: ”Fear de-riving from loss of control over personal data from an infringement of GDPR is sufficient to give raise to non-material damage.” med henvis-ning til C-340/21 præmis 80, ….
ii. Skadesbegrebet
Databeskyttelsesforordningen indeholder ingen definition af skadesbe-grebet, men præambelbetragtning 146, der knytter sig til art. 82, fastslår, at skadesbegrebet bør fortolkes bredt (hvilket EU-Domstolen også har bekræftet i sin praksis, jf. C-300/21, præmis 46):
"Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade, som en person måtte lide som følge af behandling, der overtræder denne forordning. […] Begrebet "skade" bør fortolkes bredt i lyset af rets-praksis ved Domstolen, således at det fuldt ud afspejler formålene for den-ne forordning. […] Registrerede bør have fuld erstatning for den skade som de har lidt"
EU-Domstolen har gentagne gange bekræftet, at der ikke gælder en al-vorstærskel i forhold til skadesbegrebet i art. 82, jf. f.eks. sag C-340/21, præmis 78, sag C-456/22, præmis 16 samt sag C-687/21, præmis 59.
Professor Henrik Udsen anfører tillige i sin artikel U.2024B.95, at "… begrebet ikke-økonomisk (immateriel) skade i art. 82 dækker over et psykisk ubehag, som den registrerede påføres ved den ulovlige behand-ling af den pågældendes personoplysninger," …
I EU-Domstolens første dom om art. 82, C-300/21 af 4. maj 2023 fastslog Domstolen, at ”skadesbegrebet er et EU-retligt begreb, og at der ikke er rum for nationale fortolkninger af begrebet” , jf. tillige U.2024B.95, …
l sag C-456/22 anfører EU-Domstolen således, at skaden ikke skal ligge over en vis "bagatelgrænse” , jf. præmis 18 og at en skade kan kræves erstattet, "uanset hvor lille den måtte være", jf. præmis 22.
I U.2024B.95 konkluderes det, at ”Enhver (ubetydelig) psykisk gene ud-gør formentlig en skade, der giver ret til erstatning” og ”Hvis nogle
44
former for psykisk ubehag ligger under tærsklen for, hvad der udgør en skade i art. 82’s forstand, har man i realiteten indført den bagatelgræn-se, som EU-Domstolen så klart har afvist.” , …
Videre har EU-Domstolen ”med henvisning til præambelbetragtning 146 understreget, at skadesbegrebet skal fortolkes bredt, hvilket isoleret set peger i retning af, at skadesbegrebet også bør omfatte det reelle psy-kiske ubehag, en registreret oplever, selvom dette skyldes en særlig psykisk skrøbelighed.” , jf. U.2024B.95, …
Det gøres herefter gældende, at sagsøgerne har godtgjort at have lidt en skade i forordningens forstand, der tydeligt ”adskiller sig fra den blotte tilstedeværelse af bestemmelserne i” Databeskyttelsesforordningen, jf. herved C-456/22 (VX og AT), …
Det gøres gældende, at hændelsen i forbindelse med Sagsøgte (Kommune)s besvarelse af aktindsigtsanmodningen til Vidne 1 er do-kumenteret, at de oplysninger om sagsøgerne, som Vidne 1 afgiver eller har afgivet til brug for sagsbehandlingen i Familieretshu-set, stammer fra sikkerhedsbruddet i aktindsigtsbesvarelsen. Hertil kommer Vidne 1's dokumenterede anvendelse af oplysnin-ger, som led i argumentationen/pressionen mod Sagsøger 2.
Til støtte herfor henvises til e-mail af 19. juni 2019 fra Vidne 1 til Familieretshuset, hvor det fremgår, at ”Sagsøger 2's’ kone Sagsøger 1 . Dette har Sagsøger 2 oplyst i sin ansøgning til Sagsøgte (Kommune) om efterskole-ophold for Person 1.” (…). Oplysningen fra databruddet fremgår direk-te, ligesom det eksplicit fremgår, hvor oplysningen kommer fra. Endvi-dere henvises til mødenotatet for familieretlig udredning dateret 26. ju-ni 2019, hvor Familieretshuset under punktet ”Vidne 1's syn på sam-arbejdet om barnet” blandt andet er citeret for følgende: ”Vidne 1 for-tæller, at bopælen skal forblive hos hende. Person 2 har sine venner og omgangskreds hos mor. Vidne 1 har også en bekymring i forhold til .” , … Hertil kommer …, med mail af 3. marts 2021 fra Vidne 1, hvor der i en mail omkring Person 2's bopæl og samvær anføres, at det har haft betydning for Vidne 1, hvorvidt der er ”.”
Det gøres særskilt gældende, at den kontinuerlige anvendelse af oplys-ningerne skal tillægges betydning, herunder Vidne 1's fortsat-te anvendelse, der fandt sted første gang umiddelbart efter databruddet i juni 2019, er fortsat senest dokumenteret imarts 2021 og således vil fortsætte.
Der er derfor direkte årsagssammenhæng mellem Sagsøgte (Kommune)s besvarelse af aktindsigtsanmodningen til Vidne 1 og den al-vorlige og væsentlige gene, krænkelse og ulempe, som databruddet har haft med konkret påvirkning af sagsøgerne, både individuelt og kon-kret i forbindelse med familiesagen.
C. Erstatningsansvarsloven
45
Sagsøgerne finder, at Erstatningsansvarsloven, herunder § 26, alt andet lige sikrer dem i mindre omfang end den EU-traktatfæstede ret til be-skyttelse af personlige oplysninger, som fastsat i Databeskyttelsesfor-ordningen. Sagsøgerne gør dog tillige gældende, at betingelserne for tilkendelse af tort er opfyldte, henset til væsentligheden af kommunens sikkerhedsbrud, herunder væsentligheden af, at borgerne kan have til-lid til kommunens håndtering af stærkt personfølsomme oplysninger som i denne sag. Sagsøgte henviser til U.2020.1879H (Se & Hør-sagen,
…), hvortil bemærkes, at Højesteret fremhævede, at der i nævnte sag ikke indgik personfølsomme oplysninger, der var egnede til at påvirke selv- og æresfølelse, hvilket derimod er tilfældet i nærværende sag. Sagsøgerne henviser eksempelvis til, at Højesteret i U.2020.1615H tilkendte kr. 20.000 for en stor psykisk belastning, hvor tv-overvågningen af en ansat havde den fornødne grovhed. Endvidere bemærkes, at godtgørelsen for tort i en række sagstyper angående be-skyttelse af selv- og æresfølelse, herunder privatlivsbeskyttelse, blev forhøjet via lovgivning per 1. januar 2019 med forøgelse med en faktor tre.
D. EMRK artikel 8
Sagsøgerne gør gældende, at EMRK artikel 8 tillige er overtrådt i deres sag. Det udgør et indgreb i et berørt individs ret til et privatliv, når en myndighed overfører personlige og følsomme oplysninger om en pri-vatperson til en anden. EMD anser særligt beskyttelsen af personlige oplysninger, ”herunder i særdeleshed helbredsoplysninger, som helt central for individets ret til et privatliv” , jf. Den Europæiske Menneske-rettighedskonvention for praktikere (Jon Kjølbro, 6. udgave, 2023) …
Helbredsoplysninger om private nyder en stærk beskyttelse, hvorfor det er afgørende, at ”indsamling, behandling og videregivelse af oplys-ninger om helbred opfylder kravet om legalitet, herunder med hensyn til hvornår, under hvilke betingelser, og til hvilket dette kræver under-retning af eller samtykke fra den eller de berørte personer.” Sagsøgerne henviser til EMDs officielle guide om databeskyttelse fra februar 2025, herunder at kommunens sikkerhedsbrud angående Sagsøger 1 an-går ”highly intimate or sensitive data” , … ”Information on an individu-al’s mental health constitutes highly sensitive data” med henvisninger til EMDs praksis, … ”constitutes a key element of private life” , … Sagsøgerne gør tillige gældende, at familielivet, som er særskilt beskyt-tet af artikel 8, også er krænket grundet kommunens retsbruds indvirk-ning på familielivet, herunder med Person 2.
Angående EMRK henviser sagsøgerne endvidere til dommene Radu v. Moldova og Biancardi v. Italy som eksempler, jf. i øvrigt EMDs guide, herunder noterer sagsøgerne godtgørelsesbetaling af henholdsvis Euro 4.500 (EMD) og Euro 5.000 (Italiens højesteret) i de to sager, jf. tillige den norske dom af 7. februar 2024, som sagsøgtes advokatfirma omtaler i et GDPR-nyhedsbrev, hvor databruddet førte til en artikel 82- godtgø-relse på NOK 90.000.
Sagsøgerne noterer, at landsrettens dom af 15. november 2024 (B-19616/2021, …) hovedforhandles i Højesteret i december 2025, hvorfor
46
dommen ikke er endelig.
Sagsøgerne henviser til appellanternes synspunkter i nævnte dom, og udtrykker tvivl om dommen indeholder en tilstrækkelig beskyttelse af borgerne under EU-retten, hvorved sagsøgerne i øvrigt bemærker, at der ses en del punkter af retlig relevans, hvor Sagsøgte (Kommune)-sagen adskiller sig fra Kommune 3-sagen, herunder angående alvor, konsekvenser og den berørte personkreds.”
Sagsøgte (Kommune) har i de væsentlige procederet i overensstemmelse med sit påstandsdokument af 27. maj 2025, hvoraf fremgår (bilagshenvisninger ude-ladt):
”3. Anbringender
Det gøres overordnet gældende, at Sagsøgte (Kommune) dels ikke har vi-deregivet de økonomiske beregningsskemaer, lønseddel, betalingsover-sigt mv., …, og sagsøger 1’s cpr. nr., dels at videregivelsen af de oplys-ninger …, som ubestridt er udleveret til Vidne 1 som svar på hendes aktindsigtsanmodning, ikke var uretmæssig.
Videregivelsen af oplysningerne til Vidne 1 kan allerede der-for ikke udløse tortgodtgørelse efter erstatningsansvarslovens § 26 og/eller erstatning for ikke-økonomisk skade, jf. databeskyttelsesfor-ordningens artikel 82.
Sagsøgerne har for det først ikke godtgjort, at Sagsøgte (Kommune) har udleveret de økonomiske bilag, som sagsøger 2 har fremlagt for Sagsøgte (Kommune) i forbindelse med ansøgningen om støtte til et efterskoleop-hold …, eller sagsøger 1’s cpr.nr. som påstået af sagsøgerne, jf. oplys-ningerne i … samt sagsøgernes manglende besvarelse af Sagsøgte (Kommune)s opfordring …
Det fremgår derimod af Sagsøgte (Kommune)s aktindsigtsbesvarelse til Vidne 1 af 22. april 2019 …, at de økonomiske beregnings-skemaer, lønseddel, pantebrev, betalingsoversigt mv., … netop ikke blev medtaget i dokumentsamlingen til Vidne 1, jf. …, der ud-gjorde hele besvarelsen af aktindsigten.
Det er i denne sammenhæng uden betydning, at der i referatet fra Øko-nomiudvalgsmødet angives at være udleveret økonomiske oplysninger, eller at der i indberetningen til Datatilsynet (…) angives at være udleve-ret oplysninger om økonomiske forhold. Det afgørende er, at de øko-nomiske bilag, som påstås at være udleveret, faktisk ikke blev udleveret til Vidne 1 som led i besvarelsen af aktindsigtsanmodningen,
….
Af samme årsag har Sagsøgte (Kommune) ikke ” uberettiget” videregivet oplysningerne, og allerede derfor skal Sagsøgte (Kommune) frifindes for så vidt angår sagsøgernes påstand om godtgørelse for videregivelsen af de pågældende økonomiske oplysninger.
47
Det gøres gældende, at Sagsøgte (Kommune) hverken har handlet forsæt-
ligt eller uagtsomt i forhold til udleveringen af dehelbredsmæssige op-
lysninger om sagsøger 1 … samt afgørelsen vedrørende sagsøger 2’s ansøgning om økonomisk støtte til betaling af efterskoleophold af 27. marts 2019, hvori beregningen af sagsøger 1’s månedlige overskud på Beløb fremgår ….
Sagsøgte (Kommune) har truffet passende tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af borgernes personoplysnin-ger, herunder også i forbindelse med kommunens besvarelse af aktind-sigtsanmodning, jf. kommunens It-sikkerhedspolitik af 23. februar 2011
….
Af It-sikkerhedspolitikkens side 4 fremgår bl.a., at Sagsøgte (Kommune) vedligeholder, understøtter og fastholder vidensniveauet hos alle med-arbejderne for at understøtte sikker behandling af informationer i Sagsøgte (Kommune)s it-systemer, samt at lt-sikkerhedspolitikken for Sagsøgte (Kommune) er baseret på bl.a. efterlevelse af den anerkendte standard i DS484:2005 henholdsvis ISO27001, som statslige myndigheder er for-pligtet til at følge.
Kommunens overordnede It-sikkerhedspolitik … står ikke alene, og Sagsøgte (Kommune) har truffet flere foranstaltninger med henblik på at efterleve kravene til et passende niveau for tekniske og organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 32. Det be-mærkes, at en nærmere redegørelse herfor potentielt vil kompromittere sikkerhedsniveauet hos Sagsøgte (Kommune), hvorfor en sådan redegø-relse er undladt i denne sag.
At Sagsøgte (Kommune) har iværksat passende tekniske og organisatori-ske foranstaltninger, understøttes i øvrigt ved det forhold, at der blandt de dokumenter, der blev udleveret i forbindelse med aktindsigtsan-modningens besvarelse, ikke blev udleveret bilag vedrørende den øko-nomiske beregning, …. Dette understøtter også, at de øvrige oplysnin-ger om sagsøger 1’s helbredsforhold og sagsøger 2’s månedlige over-skud på Beløb alene blev videregivet som følge af et hændeligt uheld.
Datatilsynets afgørelse af 21. oktober 2020 … understøtter da også, at der ikke var noget at udsætte på Sagsøgte (Kommune)s generelle sikker-hedspolitik eller på de konkrete procedurer, som førte til den konkrete hændelse.
Det fremgår af afgørelsen, at Datatilsynet ” […] ikke foretager sig yderlige-re” i sagen vedrørende Sagsøgte (Kommune)s anmeldelse af bruddet på persondatasikkerheden, som blev indberettet til Datatilsynet af Sagsøgte (Kommune) den 20. juni 2019 straks efter, at Sagsøgte (Kommune) blev be-kendt med videregivelsen til Vidne 1 …. Datatilsynet har dermed ikke fundet anledning til at udtale kritik af Sagsøgte (Kommune)s håndtering af sikkerhedsbruddet, herunder den behandling af perso-noplysninger der gav anledning til bruddet.
48
Datatilsynets afgørelse må dermed tages til indtægt for, at også den kompetente myndighed har anset hændelsen i denne sag for et hænde-ligt uheld, som hverken kan karakteriseres som forsætligt eller uagtsomt af den dataansvarlige.
Datatilsynets offentliggjorte statistik over anmeldte brud på personda-tasikkerheden i perioden maj 2018 til februar 2021 (med undtagelse af perioden uge 1 - uge 16 i 2020, hvor Datatilsynet ikke offentliggjorde statistik over brud på persondatasikkerheden) … understøtter desuden, at sådanne hændelige uheld sker, uden at det har været intentionen el-ler er udtryk for uagtsomhed hos den person, som beklageligvis har ud-leveret oplysningerne.
Ifølge statistikken blev der anmeldt 15.061 sikkerhedsbrud i perioden fra maj 2018 til februar 2021. 5.272 af disse sikkerhedsbrud vedrørte brud på det kommunale område, og mellem 60 og 70% af anmeldelser-ne i perioden vedrørte sikkerhedsbrud, hvor personoplysninger blev sendt til forkerte modtagere, dvs. sikkerhedsbrud, som svarer til det, der er pågået i nærværende sag ….
Der er således tale om et ”helt almindeligt” hændeligt uheld, som sker dagligt i alle landets kommuner, jf. det betydelige antal sikkerhedsbrud, som er anmeldt i perioden siden maj 2018 ….
På baggrund af ovenstående gøres det således gældende, at sikkerheds-foranstaltningerne var ” passende” , jf. databeskyttelsesforordningens ar-
tikel 32, og at videregivelsen må betragtes som ethændeligt uheld, som
ikke i sig selv medfører at forordningen ikke er overholdt, jf. BL -sagen (C-687/21), præmis 45.
Der er heller ikke sket en erstatningspådragende og/eller godtgørelses-relevant tilsidesættelse af forvaltningslovens §§ 15b eller 27, og ger-ningsindholdet i straffelovens § 152 er ikke realiseret.
Det gøres endvidere gældende, at uheldet ikke kan kvalificeres som en hændelse af den grovhed, som kræves efter erstatningsansvarslovens § 26, herunder da den utilsigtede videregivelse alene er udtryk for en en-keltstående menneskelig fejl og ikke et hos Sagsøgte (Kommune) util-strækkeligt sikkerhedsniveau eller utilstrækkelige procedurer for be-svarelse af aktindsigtsanmodninger.
Hertil kommer, at Sagsøgte (Kommune) straks efter at være blevet be-kendt med, at Sagsøgte (Kommune) havde videregivet oplysninger til Vidne 1, anmeldte begge hændelser som et sikkerhedsbrud til Datatilsynet … i overensstemmelse med artikel 33 i databeskyttelses-forordningen.
Kommunen orienterede desuden den 24. juni 2019 Familieretshuset om, at de omtvistede oplysninger … uretmæssigt var tilgået Vidne 1, hvorfor kommunen udtrykkeligt bad Familieretshuset om ik-ke at medtage disse oplysninger i sagsbehandlingen i bopælssagen ved-rørende fællesbarnet …. Samme dag bad Kommunen desuden Vidne 1 om straks at slette oplysningerne ….
49
Eftersom Sagsøgte (Kommune) alene hæfter for sine medarbejders hand-linger og undladelser, dersom den konkrete medarbejder har handlet forsætligt eller uagtsomt, jf. DL 3-19-2, foreligger der således ikke en handling, som Sagsøgte (Kommune) hæfter for.
Det gøres i sammenhængen gældende, at der ville blive fastsat en ufor-holdsmæssigt streng ansvarsnorm for kommunale medarbejderes håndtering af oplysninger, såfremt det i denne sag statueres, at medar-bejderen hos Sagsøgte (Kommune) har handlet på en sådan måde, at der er sket en krænkelse efter erstatningsansvarslovens § 26 eller databe-skyttelsesforordningens artikel 82. Dette vil i givet fald have helt uover-skuelige konsekvenser for kommunerne og kommunale sagsbehandler-ne.
På baggrund af ovenstående er sagsøgerne ikke berettiget til godtgørel-se for tort i medfør af erstatningsansvarslovens § 26, stk. 1, og/eller er-statning for ikke-økonomisk skade i henhold til artikel 82 i databeskyt-telsesforordningen.
Dersom landsretten finder, at videregivelsen af oplysningerne var ube-rettiget, gøres det overordnet gældende, at sagsøgerne ikke er berettiget til erstatning for ikke-økonomisk skade af den karakter, der er påstået i denne sag, i henhold til artikel 82 i databeskyttelsesforordningen, jf. af-snit 0 nedenfor, og/eller godtgørelse for tort i medfør af erstatnings-ansvarslovens § 26, stk. 1, jf. afsnit 0 nedenfor.
3.2 Databeskyttelsesforordningens artikel 82
Det gøres gældende, at sagsøgerne har bevisbyrden for at have lidt en skade, der kan erstattes efter databeskyttelsesforordningen (afsnit 0), samt at videregivelsen af personoplysningerne er en nødvendig og til-strækkelig betingelse for den eventuelle skades indtræden (afsnit 0).
Denne bevisbyrde er ikke løftet.
3.2.1 Skadesbegrebet
Det gøres gældende, at videregivelsen af oplysningerne i sig selv ikke udløser nogen erstatning databeskyttelsesforordningens artikel 82, stk.
1, idet overtrædelsen skal have medført enfaktisk immateriel skade, jf.
Österreichische Post -sagen (C-300/21) præmis 42 og AT -sagen (C- C-
590/22), præmis 27. Bevisbyrden herfor påhviler sagsøgerne, jf.VB -
sagen (C-340/21), præmis 86 og BL -sagen (C-687/21), præmis 60 og præmis 68.
Det gøres gældende, at sagsøgerneikke har løftet denne bevisbyrde.
Sagsøgerne har således ikke dokumenteret, at videregivelsen uretmæs-sigt har påvirket udfaldet af sagen i Familieretshuset eller i øvrigt har indebåret en krænkelse samt et ikke-økonomisk tab som hævdet.
50
I anden række gøres det gældende, at sagsøgerne ikke har dokumente-ret, at omfanget af den påståede skade er godtgørelses-/” erstatnings” -udløsende.
Sagsøgernes egne forklaringer om deres oplevelser og følelser i forbin-
delse med videregivelsen af personoplysningerne udgørikke et til-
strækkeligt bevis for, at der er lidt en skade, der er omfattet af artikel 82,
idet sagsøgerne skal godtgøre, at overtrædelsen har medførtfaktiske ne-
gative konsekvenser, jf. herved generaladvokatens forslag til afgørelse i VB -sagen (C-340/21), betragtning nr. 74 og 78, AT -sagen (C-590/22), præmis 27 og 35 samt BL -sagen (C-687/21), præmis 67 og 68.
Der må således foreligge en anden, nærmere konkretiseret dokumenta-tion for, at dette ud fra objektive betragtninger er tilfældet, jf. herved
Generaladvokatens forslag til afgørelse iScalable Capital -sagen (C-182/22
og C-189/22), betragtning nr. 24.
Sagsøgte (Kommune) gør i denne sammenhæng gældende, at sagsøgerne ikke har dokumenteret, at oplysningerne om, at sagsøger 1 ” […] er .” (…), og at sagsøger 2 har et månedligt overskud ” […] på Beløb” (…), overhovedet indgår i samværssagen ved Familieretshuset om Vidne 1's og sagsøger 2’s fællesbarn, som påstået af sagsøgerne.
Mødereferatet fra Familieretshuset af 25. juni 2019 … vedrører et møde, hvor alene sagsøger 2 – og ikke Vidne 1 – deltog, hvorfor mø-
dereferatet er helt uden betydningfor sagen. De i sagen omhandlende
oplysninger er da heller ikke beskrevet i referatet, hvorfor bilaget i alle tilfælde viser, at oplysningerne om sagsøgerne aldrig er tilgået Familie-retshuset, eller at Familieretshuset i hvert fald ikke har tillagt oplysnin-gen nogen betydning.
Af mødenotatet fra Familieretshuset af 26. juni 2019 … fremgår det gan-ske vidst bl.a., at "Vidne 1 har også en bekymring i forhold til Sagsøger 2's ikke været om-
talt i de dokumenter, som har været genstand foraktindsigt, … Udsag-
net om "Sagsøger 2's " fremgår ikke at skulle være fremkommet som følge af oplysningerne i aktindsigten, men kan ligeså vel være et udslag af Vidne 1's "egne" indtryk.
Heller ikke Retten i Næstveds indkaldelse til retsmøde af 14. januar 2021 …, Retten i Næstveds retsbog af 2. februar 2021 … eller Retten i Næstveds retsbog af 10. marts 2021 … dokumenterer, at Vidne 1 skulle have anvendt de oplysninger, der fremgår af …, hvorfor også disse bilag er uden betydning for sagen.
For så vidt angår mailen fra Vidne 1 til sagsøger [mail af 3. marts 2021]…, fremgår det ikke, at Vidne 1 har anvendt net-op de oplysninger, der fremgik af …. Mailen viser heller ikke, at Vidne 1's kendskab til oplysninger om sagsøger 1 's helbredsoplys-ninger stammer fra Sagsøgte (Kommune)s besvarelse af Vidne 1's aktindsigtsanmodning …. Mailen, der alene er sendt til sagsøger
51
2, viser ikke, at oplysningerne er anvendt til skade for sagsøgerne i samværssagen ved Familieretshuset. I øvrigt er den fremlagte mail stærkt beskåret/redigeret, hvorfor den ikke bør tillægges bevismæssig vægt.
Det må have formodningen for sig, at når en offentlig myndighed (Fa-milieretshuset) får udtrykkeligt besked fra en anden offentlig myndig-hed (Sagsøgte (Kommune)) om, at nogle oplysninger uberettiget er tilgået Vidne 1, og at de ikke skal eller bør medtages i Familierets-husets sagsbehandling af samværssagen af fællesbarnet …, så vil Fami-lieretshuset netop ikke bruge disse oplysninger i forbindelse med sags-behandlingen, dersom de bliver bekendt med de pågældende oplysnin-ger.
Sagsøgerne har således ikke godtgjort, at personoplysningerne i det he-le taget er blevet tillagt vægt i forhold til sagsøger 2’s sag ved Familie-retshuset.
Det gøres endvidere gældende, at sagsøger 1 ikke har godtgjort, at vi-deregivelsen af helbredsoplysninger konkret har haft betydning for sagsøger 1, herunder da bopælssagen omhandler sagsøger 2 og Vidne 1's fællesbarn.
En afgørelse vedrørende sagsøger 2’s og Vidne 1's barn, hvor sagsøger 1 ikke er part, har således ingen betydning for sagsøger 1 i re-lation til spørgsmålet om godtgørelse, hvorfor udleveringen af oplys-ningerne om sagsøger 1 allerede af den grund ikke kan være sket til skade for sagsøger 1 i forhold til sagen ved Familieretshuset.
Men hertil kommer, at oplysninger om sagsøger 1's helbred formod-ningsvist ingen betydning har for den familieretlige udredning i for-hold til sagsøger 2 og Vidne 1's fællesbarn. Det fremgår såle-des af forældreansvarslovens § 4, at der i forhold til "barnets bedste"navnlig er fokus på at "medvirke til at sikre barnets trivsel og beskytte barnet mod vold eller anden behandling, der udsætter barnet for skade eller fare". Sagsøgte (Kommune) har intet grundlag for at tro, at sagsøger 1's helbred som oplyst om i denne sag skulle modvirke dette.
Sagsøger 2's personlige økonomiske oplysninger har tilsvarende for-modningsvist heller ingen betydning for udfaldet af sagen i Familie-retshuset, jf. forældreansvarslovens §§ 1 og 4. Sagsøgte (Kommune) har her tilsvarende intet grundlag for at tro, at sagsøger 2's økonomiske forhold som oplyst i sagen skulle modvirke barnets trivsel, herunder navnlig idet hans økonomi udviser et overskud ….
Hvorvidt oplysningerne om sagsøger 1's helbred er blevet tillagt betyd-ning i forhold til sagsøger 2's sag ved Familieretshuset – som de for-modningsvist ikke er, jf. ovenfor om sagsøger 1 's forhold – er i forhold til spørgsmålet om godtgørelse uden betydning, idet sagsøger 2 – i hvert fald i godtgørelses-/erstatningsmæssigt henseende – ikke er be-skyttet mod udlevering af sagsøger 1 's oplysninger.
52
Men hertil kommer, at hvis de udleverede oplysninger er blevet an-vendt og tillagt betydning af Familieretshuset, må det lægges til grund, at dette er sket sagligt ud fra hensynet til barnets bedste samt ret til triv-sel og beskyttelse, jf. forældreansvarslovens §§ 1 og 4. Noget sådant kan ikke anses for at udgøre en ”skade” , da sagsøgerne – herunder sagsøger 2 – blot opnår den retsstilling, som de faktiske forhold tilsiger.
Det gøres i sammenhængen gældende, at enrent hypotetisk risiko for
misbrug fra Vidne 1's side – og efter sagsøgernes subjektive
opfattelse – ikke kan give anledning til erstatning, jf. hervedBL -sagen
(C-687/21), præmis 68.
Selvom sagsøgerne således subjektivt har følt sig krænket over videregi-velsen af oplysningerne, indebærer det ikke, at sagsøgerne er berettiget til godtgørelse/” erstatning” , idet sagsøgerne heller ikke herved har be-vist, at de har lidt en faktisk immateriel skade, jf. herved AT -sagen (C-590/22), præmis 27 og 35 og Østre Landsrets dom af 15. november 2024 (BS-19616/2021-OLR) trykt i den offentlige domsdatabase (16069/22).
…
På baggrund af ovenstående er det således bl.a. ikke dokumenteret, at videregivelsen af personoplysningerne til Vidne 1 har skadet sagsøgerne, herunder sagsøgernes omdømme eller sociale liv. Derud-over er det ikke dokumenteret, at videregivelsen har haft nogen negati-ve konsekvenser for sagsøgernes fysiske eller psykiske helbred udover sagsøgernes egne subjektive opfattelser og tanker herom.
Det er heller ikke godtgjort, at der på anden måde skulle være sket en skade, der berettiger til godtgørelse, herunder i forhold til sagsøger 2’s samværssag ved Familieretshuset.
Videregivelsen har derfor ikke påført sagsøgerne en skade i databeskyt-telsesforordningens artikel 82, stk. 1’s forstand, hvorfor Sagsøgte (Kommune) også af denne årsag skal frifindes.
3.2.2 Årsagsforbindelse
Såfremt landsretten måtte finde, at sagsøgerne har lidt en skade efter databeskyttelsesforordningens artikel 82, stk. 1, gøres det gældende, at Sagsøgte (Kommune) ikke er skyld i den begivenhed, der medførte ska-den.
Det gøres gældende, at sagsøgerne overhovedet ikke har godtgjort, at
Vidne 1 har anvendtnetop de oplysninger, der fremgår af …
til skade for sagsøgerne i sagen ved Familieretshuset. Dermed er det heller ikke godtgjort, at det eventuelle brud på databeskyttelsesreglerne har medført en skade eller nærliggende risiko for skade for sagsøgerne, herunder i forhold til omdømme eller andre økonomiske eller sociale konsekvenser mv. af en vis kvalificeret karakter.
Det er således ikke givet, at de oplysninger om sagsøgerne, som Vidne 1 forudsætningsvist afgiver eller har afgivet til brug for be-handlingen i Familieretshuset, overhovedet stammer fra Sagsøgte (Kommune)s
53
besvarelse af aktindsigtsanmodningen. Det er med andre ord ikke påvist, at Vidne 1 ikke allerede var bekendt med op-lysningerne om sagsøgerne, og at Sagsøgte (Kommune)s videregivelse af oplysningerne således er årsag til den eventuelle skade.
Det gøres i den sammenhæng gældende, at Vidne 1 har ret til at gøre brug af de oplysninger, hun allerede i forvejen er bekendt med, og at hun i den forbindelse frit kan give udtryk for sine subjektive vur-deringer af sagsøgerne i forbindelse med sagen ved Familieretshuset. Oplysninger, som er tilgået Vidne 1 før og efter Sagsøgte (Kommune)s besvarelse af aktindsigtsanmodningen, er med andre ord uden betydning for denne sag.
I øvrigt har afgørelsen af 12. april 2024 om førtidspension … ikke be-tydning i forhold til godtgørelse i denne sag, herunder da sagsøger 1 overhovedet ikke har påvist en sammenhæng mellem tilkendelse af før-tidspension og Sagsøgte (Kommune)s videregivelse af helbredsoplysnin-ger om sagsøger 1.
På baggrund af ovenstående er det således ikke dokumenteret, at vide-
regivelsen af personoplysningerne i sig selv er ennødvendig og tilstræk-
kelig betingelse for den eventuelle skades indtræden.
3.3 Erstatningsansvarslovens § 26
Sagsøgte (Kommune) gør gældende, at besvarelsen af aktindsigtsanmod-ningen ... ikke har medført en ”skade” eller på anden vis en krænkelse, der berettiger til godtgørelse for tort eller anden godtgørelse, jf. erstat-ningsansvarslovens § 26.
Det er sagsøgerne, der har bevisbyrden for, at der foreligger en retsstri-dig krænkelse af sagsøgernes frihed, fred, ære eller person, og at der i
den forbindelse er tale om en culpøs krænkelse af en vis grovhed,samt
at krænkelsen angår sagsøgernes selv- og æresfølelse, dvs. sagsøgernes opfattelse af eget værd om omdømme, jf. Højesterets dom af 11. marts 2010 gengivet i UfR 2020.1879 H.
Det er derfor også sagsøgerne, som skal dokumentere,at der ved besva-
relsen af aktindsigtsanmodningen er udleveret de økonomiske bilag, som sagsøger 2 har fremlagt for Sagsøgte (Kommune) i forbindelse med
ansøgningen om støtte til efterskoleophold … og sagsøger 1’s cpr.nr.,at
disse oplysninger og de øvrige personoplysninger om sagsøgerne (…)
forsætligt eller uagtsomt er videregivet til Vidne 1,at oplys-
ningerne – som en direkte følge af Sagsøgte (Kommune)s besvarelse af aktindsigtsanmodningen … – er anvendt under møderne i Familierets-huset, herunder på en sådan måde, at sagen har fået et materielt forkert udfald til skade for sagsøgerne, jf. herved UfR 2017.98 H, og at dette har medført en særlig grov krænkelse af sagsøgerne.
Denne bevisbyrde er ikke løftet.
Der henvises i øvrigt til det anførte i afsnit 0, som gøres tilsvarende gældende i forhold til erstatningsansvarslovens § 26, stk. 1.
54
3.4 Opgørelse af kravet
Såfremt landsretten måtte finde, at sagsøgerne er berettiget til godtgø-relse efter databeskyttelsesforordningens artikel 82 (og/eller erstat-ningsansvarslovens § 26, stk. 1), gøres det gældende, at sagsøgerne ale-ne er berettiget til en yderst begrænset godtgørelse.
En godtgørelse bør fastsættes efter den hidtidige praksis efter erstat-ningsansvarslovens § 26 og det herved etablerede godtgørelsesniveau, jf. herved Österreichische Post -sagen (C-300/21), præmis 59 og AT -sagen (C-590/22), præmis 40.
Databeskyttelsesforordningens regler regulerer således ikke størrelsen af erstatningen/godtgørelsen, og det er op til den enkelte medlemsstat at fastsætte de kriterier, der gør det muligt at fastsætte størrelsen af denne erstatning, forudsat at dette sker under overholdelse af de EU-
retlige principper om ækvivalens og effektivitet, jf. fxGP-sagen (C-
741/21), præmis 58 og 63, og Österreichische Post-sagen (C-300/21), præ-mis 54.
Det påståede krav på samlet … kr. er for højt, herunder henset til karak-teren af Sagsøgte (Kommune)s handling og betydningen heraf for sagsø-gerne samt til almindelig praksis vedrørende erstatningsansvarslovens § 26, stk. 1.
Hvis landsretten finder, at sagsøgerne har lidt en skade, gøres det såle-des gældende, at skaden ikke kan karakteriseres som ”alvorlig” , hvor-for størrelsen af erstatningen/godtgørelsen bør være beskeden og/eller ” ubetydelig” , jf. Scalable Capital -sagen (C-182/22 og C-189/22), præmis 45 og A -sagen (C-507/23), præmis 35. I sidstnævnte dom anførte EU-Domstolen endda, at (præmis 37):
” […] databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en undskyldning på grundlag af denne bestemmelse kan anses for at udgøre en
passende erstatning for immateriel skade, heriblandt når det er umuligt at genoprette den situation, der forelå, før skaden indtraf, forudsat at denne er-statning gør det muligt fuldstændigt at kompensere for den skade, som den re-gistrerede har lidt ” ….
Hvis sagsøgerne får medhold i det påståede krav, vil en person, der ud-sættes for ulovlig behandling af personoplysninger, stilles bedre end en person, der har været udsat for vold, men hvor dette ikke udgør tort (som vold sjældent gør) eller en særlig grov og forsætlig voldsforbry-delse, jf. erstatningslovens § 26 og fx TfK2016.602V. Dette perspektiv ta-ler for, at der uden for særligt grove tilfælde bør tilkendes et yderst be-grænset beløb.
Det må desuden – hvis der tilkendes godtgørelse – tages i betragtning, hvor mange sagsskridt offentlige myndigheder tager, som potentielt kan blive erstatningsudløsende, og hvor stor en økonomisk byrde det kan risikere at medføre for myndighederne og dermed i sidste ende borgerne selv.
55
Hvis landsretten måtte finde, at sagsøgerne er berettiget til godtgørelse efter både databeskyttelsesforordningens artikel 82 (og eventuelt er-statningsansvarslovens § 26, stk. 1), gøres det endvidere gældende, at der ikke kan opnås godtgørelse efter begge regelsæt samtidigt, idet godtgørelsen blot skal have en kompenserende funktion og ikke karakter af straf, jf. AT -sagen (C-590/22), præmis 42. EU-Domstolen tilsiger såle-des ikke, at skadelidte skal kunne opnå godtgørelse efter begge regelsæt, når skadelidte er kompenseret efter det ene regelsæt.
Sagsøgte (Kommune) gør derfor gældende, at godtgørelse efter databe-skyttelsesforordningens artikel 82 i alle tilfælde ikke kan lægges oveni en eventuel godtgørelse efter erstatningsansvarslovens § 26, stk. 1, idet sagsøgerne i givet fald ellers bliver kompenseret for mere end den ska-de, som sagsøgerne led i anledning af videregivelsen af personoplys-ningerne, jf. herved Højesterets dom af 12. august 2020 gengivet i UfR 2020.3922 H.
Dersom det modsatte er tilfældet, vil godtgørelsessager som den fore-liggende stille skadelidte gunstigere end skadelidte i andre godtgørel-sessager, alene fordi der er indført et parallelt godtgørelsesregelsæt i databeskyttelsesforordningens artikel 82. Et sådan ”sanktionssystem” kan ikke være udtryk for gældende ret, jf. ovenfor.
3. 5 Om EMRK artikel 8
Sagsøgte (Kommune) gør afslutningsvist gældende, at EMRK, artikel 8, ikke er blevet krænket.
Sagsøgte (Kommune) har en forpligtelse til at besvare aktindsigtsanmod-ninger, jf. bl.a. databeskyttelsesforordningens artikel 6, stk. 1, litra e. Det er således ikke korrekt, at Sagsøgte (Kommune) ikke har haft tilstrækkelig hjemmel bag sin behandling af personoplysninger i forbindelse med be-svarelsen af aktindsigtsanmodningen, og at EMRK, artikel 8, derfor er overtrådt, som anført af sagsøgerne.
At der i forbindelse med besvarelsen af aktindsigtsanmodningen, er sket et beklageligt og hændeligt uheld hos en medarbejder, er ikke et udtryk for, at Sagsøgte (Kommune) ikke har opfyldt kravet om behand-lingshjemmel. Den hændelse, som er sket i forbindelse med aktind-sigtsanmodningen, er endog defineret i databeskyttelsesforordningens artikel 4, nr. 12 ("brud på persondatasikkerheden"), hvilket førte til, at Sagsøgte (Kommune) i overensstemmelse med databeskyttelsesforord-ningens artikel 33 anmeldte hændelsen som et sikkerhedsbrud….
Sagsøgte (Kommune) gør gældende, at hvis sagsøgernes anbringende vedrørende EMRK, artikel 8, tages til følge, vil ethvert sikkerhedsbrud hos en offentlig myndighed udgøre en overtrædelse af bestemmelsen, hvilket hverken kan eller bør være gældende ret.
Hvis landsretten finder, at EMRK er blevet krænket, gøres det endvide-re gældende, at blot statueringen af en krænkelse af EMRK er tilstræk-
56
kelig til at give appellanterne oprejsning. I givet fald skal der også ske frifindelse
Subsidiært gøres det gældende, at sagsøgerne alene er berettiget til en yderst begrænset godtgørelse, idet Sagsøgte (Kommune) henviser til an-bringenderne ovenfor i afsnit 0.”
Landsrettens begrundelse og resultat
Sagen angår, om Sagsøger 1 og Sagsøger 2 har ret til erstatning for immateriel skade i medfør af databeskyttelseslovens § 40, jf. for-ordning nr. 2016/679 af 27. april 2016 (databeskyttelsesforordningen) artikel 82, stk. 1, godtgørelse for krænkelse af Den Europæiske Menneskerettighedskon-ventions artikel 8 og/eller godtgørelse i medfør af erstatningsansvarslovens § 26 i anledning af, at Sagsøgte (Kommune) ved aktindsigt videregav oplysninger om Sagsøger 2 og Sagsøger 1 til Sagsøger 2's tidligere ægtefælle, Vidne 1.
Omfanget af aktindsigten
Den sag, som Sagsøgte (Kommune) den 22. april 2019 meddelte Vidne 1 aktindsigt i, angår Sagsøger 2's ansøgning om økonomisk støt-te til et efterskoleophold for sit og Vidne 1's ene fællesbarn, Person 1.
Parterne er enige om, at Vidne 1 ved den meddelte aktindsigt fik ud-leveret Sagsøger 2's mail af 12. februar 2019 indeholdende en an-søgning om økonomisk støtte til Person 1's efterskoleophold og kommunens afgørelse af 27. marts 2019 om ikke at yde økonomisk støtte.
Af Sagsøger 2's ansøgning fremgår bl.a., at ”Min kone er blevet . Så vores økonomi hænger i laser grundet manglen-de indtægt.” Af kommunens afgørelse fremgår bl.a., at ”Afgørelsen er truffet på baggrund af fremsendte økonomiske oplysninger, hvor beregning viser et over-skud på Beløb” .
Parterne er uenige om, hvorvidt Vidne 1 ved den meddelte aktind-sigt tillige fik udleveret Sagsøger 1's cpr-nummer og de dokumen-ter, som Sagsøger 2 indleverede i forbindelse med ansøgningen om økonomisk støtte til Person 1's efterskoleophold.
Sagsøger 1's cpr-nummer fremgår ikke af den meddelte aktindsigt. Det fremgår endvidere af den fremlagte aktindsigtsbesvarelse, at de dokumen-ter om familiens økonomi, som Sagsøger 2 indleverede i forbindel-se med ansøgningen, herunder lønseddel og betalingsoversigter, var undtaget fra den dokumentsamling, der blev meddelt aktindsigt i. Vidne 2, der som
57
sagsbehandler i Sagsøgte (Kommune) behandlede aktindsigtsanmodningen, har i overensstemmelse hermed forklaret, at disse dokumenter ikke blev udleveret til Vidne 1, hvilket Vidne 1 under sin forklaring har bekræf-tet.
Landsretten finder det på denne baggrund ikke godtgjort, at Sagsøgte (Kommune) ved aktindsigten udleverede Sagsøger 1's cpr-nummer eller den til ansøgningen underliggende økonomiske dokumentation til Vidne 1.
Sagen angår herefter alene, om Sagsøger 1 og Sagsøger 2 har ret til erstatning for immateriel skade som følge af, at der ved ak-tindsigten blev udleveret oplysninger om, at , og at Sagsøger 2's økonomiske overskud var Beløb.
Betingelserne for at opnå erstatning efter databeskyttelsesforordningen
Det fremgår af EU-Domstolens praksis, senest dom af 4. oktober 2024 i sag C-
58
59
Uanset at helbredsoplysningen angår Sagsøger 1, er Sagsøger 2 efter ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, ikke afskåret fra at fremsætte krav om erstatning i anledning af overtræ -delsen af forordningen, men det er som anført en betingelse for at opnå erstat -ning, at han godtgør at have lidt en skade som følge af overtrædelsen.
Videregivelsen af den omhandlede helbredsoplysning kan ikke antages at have haft betydning for Familieretshusets behandling af bopælstvisten mellem Vidne 1 og Sagsøger 2, og der er ikke alene efter Sagsøger 2's forklaring grundlag for at fastslå, at videregivelsen af hel-bredsoplysningen førte til, at han trak sin anmodning om ændring af Person 2's bopæl tilbage. Herefter, og da det forhold, at han efter sin forklaring har været påvirket af Sagsøger 1's reaktion på videregi-velsen af oplysningen om , ikke i sig selv findes at udgø-re en immateriel skade, finder landsretten, at Sagsøger 2 ikke har godtgjort at have lidt en skade i databeskyttelsesforordningens forstand.
Videregivelse af den økonomiske oplysning om Sagsøger 2
Sagsøger 2 har gjort gældende, at han har lidt immateriel skade som følge af, at Sagsøgte (Kommune) i forbindelse med aktindsigten til Vidne 1 udleverede en kommunal afgørelse indeholdende en oplysning om, at en beregning på baggrund af hans økonomiske oplysninger viste et overskud på Beløb.
Vidne 1 har ved den omhandlede aktindsigt fået adgang til en øko-nomisk oplysning om Sagsøger 2 og dermed til en personoplys-ning som omhandlet i forordningens artikel 4, nr. 1. Da videregivelsen heraf ubestridt ikke har været nødvendig af hensyn til kommunens opfyldelse af pligten til at give Vidne 1 aktindsigt, er der tale om en overtrædelse af forordningens artikel 6, stk. 1.
Efter karakteren af den oplysning, der er videregivet, og da oplysningen ikke blev anvendt af Vidne 1 i bopælstvisten vedrørende Person 2 eller på anden måde er anvendt af uvedkommende tredje-mand, findes Sagsøger 2 ikke at have lidt en immateriel skade i forordningens forstand ved kommunens videregivelse af den økonomiske op-lysning om ham.
60
Erstatningsansvar
Databeskyttelsesforordningen artikel 82, stk. 1, bestemmer, at enhver, der har lidt materiel eller immateriel skade som følge af en overtrædelse af forordnin-gen, har ret til erstatning fra den dataansvarlige eller databehandleren. Af arti-kel 82, stk. 3, følger, at en dataansvarlig eller databehandler er fritaget for er-statningsansvar, hvis det bevises, at den pågældende ikke er skyld i den begi-venhed, der medførte skaden.
Sagsøgte (Kommune) har som hovedsynspunkt gjort gældende, at udleveringen af oplysningerne dels var et hændeligt uheld, dels et udtryk for en enkeltståen-de menneskelig fejl, og at udleveringen af oplysningerne derfor ikke kan tilreg-nes kommunen som forsætlig eller uagtsom.
EU-Domstolen har ved dom af 11. april 2024 i sag C-741/21 (juris), præmis 49 fastslået, at en dataansvarlig ikke kan frigøre sig for sit ansvar i henhold til da-tabeskyttelsesforordningens artikel 82, stk. 3, blot ved at påberåbe sig, at en per-son, der udfører arbejde for vedkommende, har udvist uagtsomhed eller for-sømmelse. Af dommens præmis 52 fremgår videre, at det ikke er tilstrækkeligt, for at den dataansvarlige kan fritages for sit erstatningsansvar i henhold til da-tabeskyttelsesforordningens artikel 82, stk. 3, at den dataansvarlige godtgør at have givet instrukser til de personer, der udfører arbejde for vedkommende, og at en af de nævnte personer har tilsidesat sin forpligtelse til at følge disse in-strukser, således at denne har bidraget til den pågældende skades indtræden.
På denne baggrund finder landsretten det ikke godtgjort, at Sagsøgte (Kommune) ikke var skyld i den begivenhed, der medførte skaden for Sagsøger 1, jf. databeskyttelsesforordningens artikel 82, stk. 3.
Erstatningsudmåling
Databeskyttelsesforordningen indeholder ikke bestemmelser, der har til formål at fastlægge reglerne om fastsættelse af den erstatning, som kan kræves efter artikel 82, når en overtrædelse af forordningen har forvoldt skade.
EU-Domstolen har ved dom af 25. januar 2024 i sag C-687/21 (MediaMarktSa-turn), præmis 55, udtalt, at databeskyttelsesforordningens artikel 82 ikke kræ-ver, at der med henblik på erstatning for en skade på grundlag af denne be-
61
stemmelse tages hensyn til graden af grovheden af den dataansvarliges over-trædelse.
Det fremgår af EU-Domstolens dom af 4. maj 2023 i sag C-300/21 (Österreichis-che Post), præmis 54, at det tilkommer hver enkelt medlemsstat i sin retsorden at fastsætte reglerne for sager til sikring af beskyttelsen af borgernes rettigheder i henhold til artikel 82, og navnlig at fastsætte de kriterier, der giver mulighed for at bestemme omfanget af den erstatning, der skal betales i denne forbindel-se, idet principperne om ækvivalens og effektivitet skal overholdes.
Endvidere har EU-Domstolen ved dom af 30. juni 2024 i de forenede sager C-182/22 og C-189/22 (Scalable Capital), præmis 44 og 45, fastslået, at uanset at databeskyttelsesforordningens artikel 82 ikke indeholder en bagatelgrænse for skader, er det ikke udelukket, at nationale domstole kan tilkende en meget lav erstatning, forudsat at denne erstatning fuldt ud kompenserer den pågældende skade. Af dommens præmis 46 fremgår, at nationale domstole i tilfælde af ska-der, der ikke kan betegnes som grove, kan kompensere skaden ved at tilkende den registrerede en ubetydelig erstatning.
Endelig fremgår det af EU-Domstolens dom af 4. oktober 2024 i sag C-507/23 (A
62
Ingen af de foreliggende databrud findes at være af en sådan grovhed, at der i medfør af erstatningsansvarslovens § 26, stk. 1, er grundlag for at tilkende Sagsøger 1 og Sagsøger 2 godtgørelse for tort.
Konklusion og sagsomkostninger
Efter det ovenfor anførte skal Sagsøgte (Kommune) til Sagsøger 1 betale 2.500 kr. med procesrente fra den 30. august 2019.
I øvrigt frifindes Sagsøgte (Kommune).
Landsretten finder under hensyn til sagens principielle karakter, og da Sagsøger 1 har fået medhold i det for sagen væsentlige spørgsmål, om hun i databeskyttelsesforordningens forstand har lidt en skade som følge af da-tabruddet, at Sagsøgte (Kommune) skal betale sagsomkostninger til Sagsøger 1. Sagsomkostningerne fastsættes til 50.750 kr., hvoraf 50.000 kr. er til dækning af Sagsøger 1's udgifter til advokatbistand inkl. moms, og 750 kr. er til dækning af retsafgift af det vundne beløb.
Efter udfaldet af sagen mellem Sagsøger 2 og Sagsøgte (Kommune) og uanset sagens principielle karakter skal Sagsøger 2 betale sagsomkostninger til Sagsøgte (Kommune). Sagsomkostningerne fastsættes til 50.000 kr. til dækning af Sagsøgte (Kommune)s udgifter til advokatbistand inkl. moms.
THI KENDES FOR RET:
Sagsøgte (Kommune) skal inden 14 dage til Sagsøger 1 betale 2.500 kr. med procesrente fra den 30. august 2019 og sagsomkostninger med 50.750 kr. Sagsomkostningerne forrentes efter rentelovens § 8 a.
I øvrigt frifindes Sagsøgte (Kommune).
I sagsomkostninger til Sagsøgte (Kommune) skal Sagsøger 2 inden 14 dage betale 50.000 kr. Beløbet forrentes efter rentelovens § 8 a.
Publiceret til portalen d. 21-08-2025 kl. 11:44
Modtagere: Advokat (H) Jacob Caroc Claus Schall Holberg