欧洲法院:数据盗窃后会造成非物质损失吗?
不幸的是,数据盗窃如今已是司空见惯的现象。根据个人数据的类型,这可能会给数据主体带来严重后果。在最糟糕的情况下,数据窃贼会在互联网上冒充数据主体,并以实际数据主体的利益为代价购买商品。幸运的是,在很多情况下,数据盗窃不会造成(财务)后果,因为窃贼通常“只”窃取大量数据。在这样做时,他们通常不会专门寻求获取个人数据。然而,在这种情况下,数据盗窃本身就严重侵犯了数据主体的隐私,并导致其对自己个人数据的控制权丧失。正是在这一点上,许多受影响方已经根据 GDPR 第 82 (1) 条要求控制者进行赔偿。但在这种情况下,受影响的人真的有权获得赔偿吗?正如 LTO 已经报告的那样,欧洲法院 (ECJ) 已经根据《欧洲联盟运作条约》(TFEU) 第 267 条的初步裁决程序处理了慕尼黑地方法院 (AG)提出的这一问题和其他问题。
慕尼黑地方法院事实
慕尼黑地方法院的首例案件如下:某交易平台的用户在其应用程序于 2020 年遭到黑客攻击后起诉其运营商。在攻击期间,黑客成功窃取了个人数据(例如姓名、出生日期、地址、电子邮件地址、数字身份证副本)以及用户证券账户信息。原告随后根据《第 14 条》要求赔偿(非物质)损失。 82 GDPR。
附言:根据《条例》要求赔偿损失的先决条件。 GDPR 第 82 条第 1 款
根据 GDPR 第 82(1)条规定,任何因违反 GDPR 而遭受物质或非物质损失的人都有权获得赔偿。
这导致必须累积满足以下资格要求:
违反GDPR
根据《艺术》无可免责。第82段3 GDPR
损害
因果关系
索赔的基本前提是数据主体能够证明自己因侵权人违反GDPR而遭受损失。
慕尼黑地方法院在初步裁决程序中提出的问题
慕尼黑地方法院的法官已将以下问题提交给卢森堡欧洲法院的法官,要求他们根据《欧洲联盟运作条约》第 267 条作出初步裁决,即仅因失去对数据的控制权,是否足以依据《通用数据保护条例》提出损害赔偿要求:
“GDPR 第 82 条是否可以解释为,损害赔偿要求金额的评估不考虑任何制裁性质,新西兰商业传真列表 特别是任何威慑作用?
对于非金钱损害赔偿请求的评估,是否必须假定损害赔偿请求也具有补偿功能?
如果非金钱损害赔偿要求不具有补偿功能:在评估因果关系时,是否只有故意或重大过失的数据保护违规行为才具有额外的权重?
为了理解非金钱损害的评估,是否有必要假设一个结构层次或至少一个规则例外层次,其中数据泄露造成的损害经验比与身体伤害相关的损害和痛苦经验更重要?
如果要假定损害,那么,鉴于损害的严重性,国家法院是否可以判决赔偿损失,而这种赔偿在物质方面只是微不足道的,因此在某些情况下可能会被受害方视为或一般只是象征性的?
为了理解非物质损害并评估其后果,是否应假设 GDPR 第 75 条所定义的身份盗窃仅当犯罪分子实际盗用数据主体的身份(即以某种方式冒充数据主体)时才会发生,还是犯罪分子现在拥有可识别数据主体的数据这一事实已经构成此类身份盗窃?
欧洲法院的裁决
关于问题 1 和 2:
首先,欧洲法院在其裁决中认定,GDPR 第 82(1) 条仅起到平衡作用。因此,非金钱损害赔偿应专门用于补偿所遭受的损失,而不是用于满足或惩罚目的。根据欧洲法院的说法,罚款和制裁在 GDPR 第 83 条和第 84 条中有明确的规定。赔偿的唯一目的应当是补偿所遭受的损失。因此可能不会收取罚款附加费。关于损害赔偿金额的确定和评估的决定仍属于国家法院的自由裁量权。
在计算损害赔偿金额时,必须设定金额以完全补偿因违反 GDPR 而遭受的具体损害。因此,GDPR 第 81(1) 条必须被解释为没有考虑严重程度和任何故意性质。
欧洲法院在此再次强调,根据《第 14 条》提出损害赔偿要求。 82(1) 仅当控制者存在过错且不能自我免责时,才存在针对控制者的 GDPR。
关于问题3:
GDPR 第 82(1)条应解释为,违反个人数据保护所造成的损害的严重性不低于人身伤害。
关于问题4:
如果损害不严重,国家法院可以通过判给小额赔偿金来补偿,但前提是该赔偿金能够完全补偿所造成的损害。
然而,欧洲法院在回答这一问题时强调,只有在侵权行为造成损害的情况下才有获得赔偿的权利。仅仅违反 GDPR 并不足以达到此目的。
关于问题5:
根据 2016/679 号条例序言中的第 75 和 85 条规定,该条例第 82(1) 条必须解释为,只有当第三方实际冒充了个人数据被盗影响的个人的身份时,才满足“身份盗窃”的概念,并产生根据该规定获得非物质损害赔偿的权利。但是,根据该规定,对个人数据被盗造成的非物质损失的赔偿不能仅限于证明此类数据被盗随后导致身份盗窃或欺诈的情况。
结论
就赔偿金额而言,这意味着在每一个案中,赔偿金额均基于实际“遭受的(非物质)损害”。因此,根据违规行为的情况,索赔金额可能很小。罚款附加费可能会增加损害赔偿金额,但可能无法计算,因为根据第 31 条的规定,损害赔偿金额不得超过罚款附加费的 1%。 82(1) GDPR 不具有制裁性质。 GDPR 第 83 条和第 84 条对制裁和罚款进行了明确规定。欧洲法院在判决中没有回答具体赔偿金额应如何计算。然而,欧洲法院澄清说,根据第 14 条提出损害赔偿要求时,不必考虑过错程度。 GDPR 第 82(1)条。
然而,需要注意的是,违反 GDPR 所造成的损害并不一定比人身伤害严重。
最终,欧洲法院对 GDPR 第 85 条中提到的“身份盗窃”进行了具体说明。因此,“身份盗窃”仅当窃贼真正冒充了当事人的身份时才会发生。然而,实际上并不需要证明这种盗窃确实导致了身份盗窃或欺诈。
该裁决的结果对于所有受到数据泄露影响的人来说都是令人警醒的,并且它并没有提供任何法律上的明确性。单纯的数据盗窃,即对数据的控制权丧失,并不会引起损害赔偿要求,除非已确定数据被实际滥用。损害——无论是物质的还是非物质的——总是必要的。受影响方必须具体出示什么才能证明非金钱损失也仍不清楚
頁:
[1]