Højesterets dom i sagen mod Gladsaxe Kommune om databrud – Lavt til loftet for erstatning efter GDPR, men højt til loftet for bevisbyrden
Contacts
Partner
Danmark
Jeg er partner og leder af vores kompetente og dedikerede danske persondatateam, som rådgiver om databeskyttelsesret og e-privacy.
Senior Associate
Danmark
Jeg er senioradvokat I vores danske persondatataretsteam, hvor jeg rådgiver om databeskyttelsesret og e-privacy.
Sagens baggrund
Den 19. december 2025 afsagde Højesteret sin første dom om erstatning efter GDPR artikel 82. Efter GDPR artikel 82 har enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af GDPR, ret til erstatning for den forvoldte skade fra dataansvarlige eller databehandlere.
Højesterets dom angik fire borgere, der havde anlagt søgsmål mod Gladsaxe Kommune efter et databrud i november 2018, hvor en bærbar computer med et regneark indeholdende personoplysninger om ca. 20.000 borgere blev stjålet fra kommunens rådhus. Regnearket indeholdt navn, CPR-nummer, adresse, bopælskommune samt i kodelignende form oplysninger om sociale ydelser.
Betingelserne for at få erstatning efter GDPR artikel 82
Erstatning efter GDPR artikel 82 er underlagt særskilte betingelser, der adskiller sig fra dansk erstatningsrets almindelige betingelser. De tre betingelser for at kunne få tilkendt erstatning efter GDPR artikel 82 er:
- Der skal foreligge en materiel eller immateriel "skade",
- Den dataansvarlige eller databehandleren skal have overtrådt GDPR, og
- Der skal være årsagssammenhæng mellem skaden og overtrædelsen.
EU-Domstolen har i sin praksis om GDPR artikel 82 fastslået, at der ikke eksisterer en bagatelgrænse for den lidte skade. Negative følelser, herunder fx frygt eller utilfredshed ved tab af kontrol over personoplysninger, kan udgøre en "skade" efter artikel 82. Det påhviler dog den registrerede at bevise, at sådanne negative følelser og konsekvenser er lidt.
Højesterets vurdering i sagen mod Gladsaxe Kommune
Højesteret vurderede, at der ikke forelå oplysninger om, at regnearket på den stjålne bærbare computer var kommet til uvedkommende tredjemands kendskab, eller at oplysningerne var blevet misbrugt. Frygten og de negative følelser, som borgerne forklarede, de havde lidt – herunder at føle sig chokerede, bange og krænkede – kunne ikke anses for velbegrundede henset til regnearkets karakter og omstændighederne ved tyveriet.
Borgerne havde i øvrigt ikke fremlagt beviser, der støttede, at de havde lidt skade i form af negative følelser og negative konsekvenser heraf. På den baggrund frifandt Højesteret Gladsaxe Kommune.
Bevisbyrden er kæphesten for erstatning efter artikel 82
Selvom der anlægges en bred fortolkning af hvad der udgør "immateriel skade" efter GDPR artikel 82, stilles der strenge krav til den registreredes bevisbyrde. Egne forklaringer om negative følelser er i udgangspunktet i sig selv ikke tilstrækkelige; der kræves nærmere, kvalificerede beviser for de negative følelser og konsekvenser, der påstås lidt, og at årsagssammenhængen mellem disse og den dataansvarliges eller databehandlerens overtrædelse af GDPR er tilstrækkeligt bevist.
Det skal understreges, at blot fordi der ikke statueres et erstatningsansvar efter GDPR artikel 82, skal dataansvarlige og databehandlere selvfølgelig fortsat overholde GDPR i sin helhed, herunder bl.a. ved at etablere et passende niveau af behandlingssikkerhed i henhold til GDPR artikel 32.
Kontakt os for rådgivning om, hvordan denne dom påvirker din organisation.
