-
1 Inleiding
Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) zijn enkele individuele schendingen van de AVG voorgelegd aan de rechter.1x In deze zaken ging het o.a. om een rectificatie van persoonsgegevens (ABRvS 26 januari 2022, ECLI:NL:RVS:2022:230), onrechtmatige perspublicaties (Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247) en het niet tijdig reageren op een informatieverzoek door betrokkenen (ABRvS 1 april 2020, ECLI:NL:RVS:2020:900). De AVG biedt echter ook de mogelijkheid om een collectieve vordering in te dienen tegen organisaties die (onrechtmatig) persoonsgegevens verwerken.2x Deze mogelijkheid wordt geboden door art. 80 AVG (vertegenwoordiging van betrokkenen). De eerste collectieve acties wegens privacyschendingen zijn al aanhangig in Nederland.3x In Nederland zijn collectieve vorderingen ingesteld tegen o.a. TikTok Technology Limited en Oracle en Salesforce. De aangebrachte dagvaardingen in collectieve acties zijn beschikbaar via het openbare collectieve-actieregister: rechtspraak.nl/Registers/centraal-register-voor-collectieve-vorderingen#6f1c15a9-f3e8-4b9b-ab79-4b3bb766c72f6bc1d2e4-e511-4e04-bf16-8ad720b8f8b360. Uit een eerste uitspraak van de rechtbank Amsterdam blijkt dat er nog veel onduidelijk is.4x Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (TPC/Salesforce en Oracle).
De ontvankelijkheid van (de vorderingen van) de organisaties die een collectieve actie voeren wegens een schending van de AVG wordt veelal betwist door verweerders en heeft geleid tot een nieuwe vraag met betrekking tot het collectief vorderen van een verbodsactie en/of schadevergoeding wegens een inbreuk op het gegevensbeschermingsrecht. Meer specifiek gaat het om de uitleg en interpretatie van art. 80 AVG, dat de vertegenwoordiging van betrokkenen regelt, evenals de vraag hoe dit artikel zich verhoudt tot art. 82 AVG, dat het recht op schadevergoeding regelt.5x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.); Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (TPC/Salesforce en Oracle). Op de vraag of art. 80 AVG in de weg staat aan een collectieve vordering tot schadevergoeding wegens inbreuk op de AVG is geen antwoord te vinden in de parlementaire geschiedenis van de Wet afwikkeling massaschade in collectieve actie (WAMCA) en de Uitvoeringswet AVG (UAVG).6x Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (TPC/Salesforce en Oracle), r.o. 5.19.
Het Hof van Justitie van de Europese Unie (hierna: Hof van Justitie of Hof) wees op 28 april 2022 een arrest waarin een prejudiciële vraag werd beantwoord die van belang is voor het bovenstaande vraagstuk (het Meta-arrest). In deze prejudiciële vraag komt aan de orde of consumentenbelangenorganisaties na de inwerkingtreding van de AVG nog steeds bevoegd zijn om op te treden tegen inbreuken op de AVG, zonder een concrete schending van de rechten van individuele betrokkenen te bewijzen en zonder daartoe de opdracht te hebben gekregen van deze betrokkenen. Het Hof beantwoordt deze vraag bevestigend en komt tot de conclusie dat organisaties die consumentenbelangen behartigen representatieve vorderingen kunnen instellen tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens.7x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 83. Het Hof volgt met zijn uitspraak de conclusie van A-G De la Tour.8x Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband), randnr. 72. De uitspraak biedt handvatten voor de interpretatie van art. 80 AVG en schept een precedent voor consumentenorganisaties die willen opkomen voor betrokkenen wegens een privacyinbreuk.
Deze bijdrage bespreekt (de gevolgen van) het Meta-arrest zoals dat is gewezen door het Hof van Justitie. Daartoe zal eerst kort het kader worden geschetst van het onderliggende vraagstuk (par. 2). Vervolgens zal de achtergrond van het arrest uiteen worden gezet, waarna gekeken zal worden naar het wettelijk kader en de beantwoording van de prejudiciële vraag (par. 3). De ruime interpretatie van het Hof roept vragen op over de verhouding tot de richtlijn representatieve vorderingen.9x Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2022, L 409/1). Daarom zal ook worden ingegaan op deze richtlijn en de vraag of het mogelijk is om collectief schadevergoeding te vorderen wegens inbreuk op de AVG als daarvoor geen opdracht van betrokkenen is verkregen (par. 4). Hierbij zal ook worden gekeken naar de samenhang van het gegevensbeschermingsrecht met het consumentenrecht en het mededingingsrecht (par. 5).
-
2 Context
De verwerkingsverantwoordelijke heeft op grond van de AVG diverse verplichtingen en handhaving van die verplichtingen is essentieel voor een effectieve gegevensbescherming.10x T.F. Walree, De vergoedbare schade bij de onrechtmatige verwerking van persoonsgegevens, WPNR 2017, afl. 7172, p. 921. Handhaving van het gegevensbeschermingsrecht kan zowel publiekrechtelijk als privaatrechtelijk gebeuren. In Nederland geschiedt publiekrechtelijke handhaving door de Autoriteit Persoonsgegevens (AP). Sinds de inwerkingtreding van de AVG is het aantal meldingen van privacyschendingen bij de AP aanzienlijk toegenomen.11x De AP ontving ongeveer 19.000 klachten in 2021. Jaarverslag AP 2021, p. 20. Beschikbaar via autoriteitpersoonsgegevens.nl/nl/jaarverslagen. De Nederlandse toezichthouder kampt echter met structurele onderbezetting wegens budgettaire beperkingen en is daardoor niet altijd in staat adequaat te reageren op individuele klachten.12x Persbericht AP, Miljoenennota: geen verhoging budget AP, 2021, beschikbaar via autoriteitpersoonsgegevens.nl/nl/nieuws/miljoenennota-geen-verhoging-budget-ap. In de literatuur luidt daarom het geluid dat privaatrechtelijke handhaving door een gelaedeerde belangrijk is voor een doeltreffende bescherming van persoonsgegevens.13x E.F.D. Engelhard, Immateriële schade als gevolg van data-inbreuken: het ondergeschoven kindje van de AVG, NTBR 2019/30, afl. 9-10, p. 194; E. O’Dell, Compensation for Breach of the General Data Protection Regulation, Dublin University Law Journal (40) 2017, afl. 1, p. 3; Walree 2017, p. 921.
Ondanks de versterking van de rechten van betrokkenen blijft het lastig voor individuen om hun schending voor te leggen aan de rechter.14x Gelaedeerden zijn met name terughoudend om een rechtszaak aan te spannen tegen een verwerkingsverantwoordelijke wanneer de individuele schade niet opweegt tegen de kosten van het voeren van een rechtszaak. De Europese Commissie, Commission Staff Working Paper Impact Assessment, SEC(2012)72 final, p. 114-115. Hoewel de waarde van persoonsgegevens in het economisch verkeer wordt aangenomen (data zijn immers het nieuwe goud),15x C. Spierings, Het nieuwe goud: betalen met data, MvV 2019, afl. 6, p. 207-214. blijkt het voor individuen vaak lastig om de schade die zij hebben geleden als gevolg van een onrechtmatige verwerking van hun persoonsgegevens te waarderen.16x In dit kader moet worden opgemerkt dat uit rechtspraak van het Hof van Justitie volgt dat een normschending niet per definitie leidt tot schade (HvJ EU 6 november 2012, C-199/11, ECLI:EU:C:2012:684 (Otis e.a.), r.o. 65), en dat schade reëel en zeker geleden moet zijn (HvJ EU 4 april 2017, C-337/15 P, ECLI:EU:C:2017:256 (Europese Ombudsman/Staelen), r.o. 91). Gelaedeerden stuiten tijdens een individuele procedure wegens een schending van hun gegevensbeschermingsrecht veelal op bewijsrechtelijke en financiële obstakels.17x T.F. Walree, Schadevergoeding bij onrechtmatige verwerking van persoonsgegevens (diss. Nijmegen; Onderneming en Recht nr. 126), Deventer: Wolters Kluwer 2021, p. 3 en 9; T.E. van der Linden & T.F. Walree, De collectieve procedure als oplossing voor het privaatrechtelijke handhavingstekort bij een datalek?, AV&S 2018/20, afl. 4, p. 105-113. Bij een schending van het gegevensbeschermingsrecht is het vaak onduidelijk voor gelaedeerden wat de gevolgen zijn, hoe de schade moet worden gekwalificeerd en begroot, en hoe het causaal verband moet worden aangetoond. Ook is er vaak sprake van geringe financiële draagkracht bij gelaedeerden. Dit is problematisch, aangezien de schending van het gegevensbeschermingsrecht in de regel een grote groep personen raakt.18x De Europese Commissie, Commission Staff Working Paper Impact Assessment, SEC(2012)72 final, p. 114-115; Van der Linden & Walree 2018, p. 108.
De bijbehorende vraag is vervolgens op welke manier gelaedeerden effectief hun rechten die volgen uit de AVG kunnen uitoefenen. Een mogelijkheid die de AVG biedt, is het voeren van een collectieve actie wegens schendingen van het gegevensbeschermingsrecht door vertegenwoordiging van de gelaedeerden. De Europese Toezichthouder voor gegevensbescherming – de European Data Protection Supervisor (EDPS) – erkent het belang van dergelijke mechanismen van collectieve (schade)acties bij de handhaving van het gegevensbeschermingsrecht van individuen.19x De Europese Toezichthouder voor gegevensbescherming , de European Data Protection Supervisor (EDPS), ziet erop toe dat alle instellingen en organen van de EU de privacy van de burgers respecteren bij de verwerking van hun persoonsgegevens. De EDPS merkt op dat gelaedeerden niet snel naar de rechter stappen in verband met de hoge kosten, de lange wachttijd en de onzekerheid van een procedure. Deze obstakels kunnen volgens de EDPS (deels) worden weggenomen door middel van een collectieve procedure. Advies van de Europese Toezichthouder voor gegevensbescherming, Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie (PbEU 2011, C 181/01), randnrs. 95-97. Hoewel de eerste collectieve acties zijn begonnen in Europa, blijkt er tot op heden nog veel onduidelijkheid te bestaan.
Enkele punten waarop onduidelijkheid bestaat, zijn in Nederland aan de orde in een geschil tussen de stichting The Privacy Collective en softwarebedrijven Salesforce en Oracle, waarbij eisers en gedaagden een andere uitleg geven aan art. 80 AVG. De vragen (1) wat voor organisatie als vertegenwoordigende entiteit op grond van art. 80 AVG kwalificeert, en (2) of deze schade kan vorderen namens betrokkenen zonder opdracht bleven echter onbeantwoord omdat de procedure in eerste aanleg vroegtijdig werd beëindigd op grond van de niet-ontvankelijkheid van de stichting. Hoewel de rechter niet toekwam aan een inhoudelijke beoordeling van het geschil, achtte de rechter het van belang om het geschilpunt met betrekking tot de interpretatie van art. 80 AVG en de verhouding daarvan met de WAMCA te signaleren.20x Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (TPC/Salesforce en Oracle), r.o. 5.19-5.26. The Privacy Collective heeft hoger beroep ingesteld tegen de uitspraak.21x Appeldagvaarding stichting The Privacy Collective 28 maart 2022 tegen Oracle en Salesforce.
Het recente Meta-arrest van het Hof van Justitie gaat in op de interpretatie van art. 80 AVG en biedt een kader voor collectieve acties wegens schendingen van het gegevensbeschermingsrecht.
-
3 Het Meta-arrest
3.1 Achtergrond en prejudiciële vragen
Het Meta-arrest is gewezen naar aanleiding van een prejudiciële vraag die is gesteld in het kader van een geschil tussen een Duitse federale vereniging van consumentenbeschermingsorganisaties – het Bundesverband der Verbraucherzentralen und Verbraucherverbände (hierna: het Bundesverband) – en het in Ierland gevestigde Meta Platforms Ireland Limited (hierna: Meta). Meta is een online social media platform, dat voorheen de naam Facebook droeg. Meta is verantwoordelijk voor de verwerking van persoonsgegevens van betrokkenen in de Europese Unie. Facebook Germany GmbH – een in Duitsland gevestigde zustervennootschap – houdt zich bezig met de verkoop van Facebookadvertentieruimte in Duitsland.
Op het platform van Facebook bevindt zich een appcentrum waar gratis spellen van derden worden aangeboden aan gebruikers van Facebook. Bij het aanklikken van ‘Speel nu’ wordt een melding getoond aan de gebruiker dat bij het gebruik van de app de leverancier van het spel de mogelijkheid krijgt om persoonsgegevens te ontvangen. Ook wordt vermeld dat deze leverancier het recht heeft om namens de gebruiker berichten te plaatsen, zoals de in dat spel behaalde score. Door de app te gebruiken gaat de gebruiker akkoord met de algemene voorwaarden en het gegevensbeschermingsbeleid.22x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 34.
Het Bundesverband achtte deze handelswijze in strijd met de regels inzake het mededingingsrecht en het consumentenrecht. Volgens het Bundesverband zijn de meldingen oneerlijk, met name vanwege de niet-naleving van de vereisten van de Duitse gegevensbeschermingswet (het Bundesdatenschutzgesetz) inzake het verkrijgen van een geldige toestemming van de gebruiker. Ook is het Bundesverband van mening dat het kunnen plaatsen van berichten in naam van de gebruiker een algemene voorwaarde is die de gebruiker ten onrechte benadeelt. Het Bundesverband stelde daarom een verbodsactie in tegen Meta, zonder daarvoor een opdracht van de gelaedeerden te hebben gekregen en zonder enige specifieke gegevensverwerkingsinbreuk vast te stellen op de rechten van betrokkenen.23x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 36.
Ten tijde van het onderhavige geschil was de Databeschermingsrichtlijn – de voorganger van de AVG – van toepassing.24x Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281/31). Uit deze richtlijn volgde dat het Duitse nationale recht van toepassing moest worden verklaard op het onderhavige geschil.25x Art. 4 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281/31). Hoewel de Databeschermingsrichtlijn geen regeling bevatte voor collectieve acties, belette de richtlijn niet dat een consumentenbelangenorganisatie een representatieve vordering kon instellen op grond van de Duitse nationale wet.26x Het Hof van Justitie had al eerder geoordeeld dat de bepalingen van Richtlijn 95/46 zich niet verzetten tegen deze Duitse nationale regeling. HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (Fashion ID). Het Bundesverband baseerde zijn procesbevoegdheid daarom op § 4 van de Duitse wet betreffende verbodsacties bij inbreuken op het consumentenrecht of andere inbreuken (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen). Op grond van deze wet kwalificeert het Bundesverband als beroepsgerechtigde entiteit die kan opkomen voor de belangen van consumenten middels een verbodsactie.
De verbodsactie werd in eerste aanleg en hoger beroep toegewezen.27x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 37. Meta heeft daarop een beroep tot Revision ingesteld bij het Bundesgerichtshof (BGH). Het BGH stelt vervolgens prejudiciële vragen aan het Hof van Justitie. Het BGH acht de vordering van het Bundesverband inhoudelijk gegrond, maar vraagt zich af of de consumentenorganisatie wel ontvankelijk is in verband met de inwerkingtreding van de AVG en het nieuwe art. 80 AVG, dat vertegenwoordiging van betrokkenen regelt.
Art. 80 AVG biedt twee mogelijkheden voor de vertegenwoordiging van betrokkenen. Volgens lid 1 heeft een betrokkene het recht een orgaan, organisatie of vereniging zonder winstoogmerk opdracht te geven namens hem de in art. 77, 78, 79 en 82 AVG bedoelde rechten uit te oefenen.28x Art. 77 AVG (‘Recht om een klacht in te dienen bij een toezichthoudende autoriteit’); art. 78 AVG (‘Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit’); art. 79 AVG (‘Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker’); art. 82 AVG (‘Recht op schadevergoeding en aansprakelijkheid’). Lid 2 stelt dat lidstaten kunnen bepalen dat een organisatie over het recht kan beschikken om onafhankelijk van de opdracht van betrokkenen in die lidstaat een klacht in te dienen bij de overeenkomstig art. 77 AVG bevoegde toezichthoudende autoriteit en de in art. 78 en 79 AVG bedoelde rechten uit te oefenen.29x Hoewel art. 80 lid 2 AVG niet was omgezet in de Duitse wetgeving, kon het Bundesverband zijn grondslag baseren op § 4 van de Duitse wet betreffende verbodsacties bij inbreuken op het consumentenrecht of andere inbreuken. HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 35. In tegenstelling tot lid 1 noemt lid 2 het recht op schadevergoeding niet.
Volgens de verwijzende rechter is het niet uit te sluiten dat het Bundesverband zijn bevoegdheid door de inwerkingtreding van de AVG heeft verloren.30x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 39. Art. 80 lid 2 AVG bevat namelijk geen regeling waaraan een consumentenbelangenorganisatie procesbevoegdheid kan ontlenen voor het voeren van een collectieve actie die strekt tot de objectieve handhaving van het gegevensbeschermingsrecht. Lid 2 vereist immers dat de rechten van een betrokkene uit hoofde van de AVG zijn geschonden als gevolg van een specifieke verwerking. Meer concreet gaat het om de vraag of art. 80 lid 2 AVG zich verzet tegen een nationale regeling die het toestaat dat een consumentenbelangenorganisatie – zonder opdracht van de betrokkenen en los van de vraag of er sprake is van enige schending van concrete rechten van betrokkenen – in rechte optreedt tegen de vermeende dader van een inbreuk op het gegevensbeschermingsrecht op grond van het mededingings- en consumentenrecht.
3.2 Arrest
Bij de beantwoording van de prejudiciële vragen bevestigt het Hof van Justitie allereerst dat een consumentenbelangenorganisatie die een doelstelling van algemeen belang nastreeft, beschouwd kan worden als actief op het gebied van de bescherming van de rechten en vrijheden van de betrokkenen in verband met de bescherming van hun persoonsgegevens.31x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 64-65. Het Bundesverband valt als algemeen-belangorganisatie onder dit begrip. Het heeft tot doel de rechten en vrijheden van de betrokkenen in hun hoedanigheid van consument te waarborgen. De verwezenlijking van een dergelijk doel kan verband houden met de bescherming van hun persoonsgegevens. Het Duitse recht mag daarom op grond van art. 80 lid 2 AVG bepalen dat het Bundesverband zonder opdracht van betrokkenen een vordering kan instellen wegens een schending van de AVG. Door de ruime interpretatie van het organisatiebegrip kunnen consumentenbeschermingsorganisaties die primair gericht zijn op het beschermen van consumenten en op een eerlijke mededinging, ook opkomen voor betrokkenen in het kader van de AVG.
Volgens art. 80 lid 1 AVG kan een organisatie het recht uit deze bepaling uitoefenen als zij van mening is dat de rechten van betrokkenen zijn geschonden als gevolg van een onrechtmatige verwerking van hun gegevens. Het Hof van Justitie oordeelt dat van een dergelijke organisatie niet kan worden verlangd dat zij, gelet op de definitie van een betrokkene, voor het instellen van een representatieve vordering in de zin van art. 80 lid 2 AVG de personen die specifiek worden geraakt door een onrechtmatige verwerking van gegevens vooraf individueel identificeert.32x Art. 4 punt 1 AVG definieert een betrokkene immers als ‘de geïdentificeerde of identificeerbare natuurlijk persoon op wie de verwerkte en/of de te verwerken persoonsgegevens betrekking hebben’. HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 68-69. In die omstandigheden kan het voor de mogelijkheid om een representatieve vordering in te stellen volstaan om een categorie of groep van personen die door een dergelijke verwerking worden getroffen, aan te wijzen.33x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 69.
Het instellen van een representatieve vordering op grond van art. 80 lid 2 AVG is volgens het Hof van Justitie evenmin afhankelijk van een concrete schending van de rechten die een individu aan de AVG ontleent. Het is enkel vereist dat de betrokken organisatie van mening is dat de rechten van een betrokkene zijn geschonden als gevolg van een onrechtmatige verwerking van diens persoonsgegevens. Hieruit blijkt volgens het Hof dat voor de procesbevoegdheid van een dergelijke organisatie volstaat dat zij aanvoert dat de betrokken gegevensverwerking afbreuk kan doen aan de rechten die geïdentificeerde of identificeerbare natuurlijke personen aan die verordening ontlenen, zonder dat zij het bewijs hoeft te leveren dat de betrokkene in een bepaalde situatie reële schade heeft geleden doordat zijn rechten zijn geschonden.34x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 72. Tot slot benadrukt het Hof het doel van de AVG, dat eruit bestaat dat de verordening een doeltreffende bescherming van de fundamentele rechten en vrijheden van natuurlijke personen dient te waarborgen en met name een hoog niveau van bescherming van het recht van eenieder op bescherming van zijn of haar persoonsgegevens dient te bieden.35x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 73-75.
Het Hof van Justitie oordeelt daarbij dat verenigingen die consumentenbelangen behartigen en representatieve vorderingen instellen er ongetwijfeld aan bijdragen dat de rechten van betrokkenen worden beschermd en een hoog beschermingsniveau wordt geboden. Ook overweegt het Hof dat een representatieve vordering doeltreffender kan zijn, voor zover daarmee een groot aantal gegevensbeschermingsschendingen kan worden voorkomen. Dit in tegenstelling tot een individu dat een beroep instelt wegens een schending van zijn of haar recht, waarbij hij of zij moet concretiseren welke rechten zijn geschonden. Het Hof volgt hiermee de conclusie van A-G De la Tour, waarin hij overweegt dat een verbodsactie die wordt ingesteld door een vereniging die consumentenbelangen behartigt er ontegensprekelijk aan bijdraagt dat de effectieve toepassing van de rechten die door de AVG worden beschermd, wordt verzekerd.36x Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband), randnr. 77.
Deze ruime interpretatie door het Hof van Justitie van art. 80 AVG schept een precedent voor consumentenorganisaties die willen opkomen voor gelaedeerden van schendingen van het gegevensbeschermingsrecht. Rechtszaken kunnen breder worden ingestoken, nu is geoordeeld dat consumentenbelangenorganisaties die een algemeen belang nastreven een collectieve actie kunnen voeren tegen schendingen van de AVG via een beroep op de schending van consumentenrechten.37x De vraag of een belangenorganisatie die gegevensbescherming niet heeft opgenomen als doelstelling in haar statuten kan kwalificeren als een vertegenwoordigende organisatie op grond van art. 80 AVG, moet mijns inziens bevestigend worden beantwoord. Hoewel deze bredere insteek om collectieve acties te voeren wegens een schending van de AVG – indien lidstaten hierin voorzien – nieuwe mogelijkheden biedt, klinkt in de literatuur een tegengeluid dat deze ruimere mogelijkheid om een collectieve actie te voeren wegens AVG-schendingen zonder opdracht onwenselijk is, omdat dit waarschijnlijk zal leiden tot verdere fragmentatie van AVG-handhavingsmechanismen in Europa.38x G. Potjewijd e.a., Mass Damage Claims for GDPR Infringements: A Multi-Jurisdictional Perspective, Mass Claims 2021, afl. 1, p. 22. Yakovleva stelt hierover dat – hoewel zij de conclusie van het Hof van Justitie een logische en positieve ontwikkeling acht – er wel een prijskaartje hangt aan deze bredere mogelijkheden. Zo zullen representatieve acties hierdoor niet in gelijke mate beschikbaar zijn voor alle betrokkenen in Europa, terwijl de AVG juist zou moeten leiden tot meer harmonisatie. S. Yakovleva, annotatie bij HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322, Mass Claims 2022/1, p. 54-55 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.). In tegenstelling tot handhaving door gegevensbeschermingstoezichthouders – waar gestreefd wordt naar een coherente interpretatie en handhaving van de AVG – geschiedt privaatrechtelijke handhaving immers veelal via de (niet-geharmoniseerde) civiele regels van het nationale recht.39x In dit kader moet worden opgemerkt dat art. 80 lid 2 AVG in het algemeen weinig belang hecht aan het voorkomen van fragmentatie en het beogen van harmonisatie. De verordening bevat immers meer dan 60 openingsclausules, waaronder die in art. 80 lid 2 AVG. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 145. Hoewel het toestaan van collectieve acties zonder opdracht wellicht leidt tot fragmentatie, is het alternatief (het nergens kunnen voeren van een collectieve actie wegens een AVG-inbreuk) mijns inziens nog onwenselijker.
Het gevaar bestaat volgens bepaalde auteurs dat het huidige regime van privaatrechtelijke handhaving het publiekrechtelijke regime uiteindelijk (op ontoelaatbare wijze) zal vervangen.40x Potjewijd e.a. 2021, p. 6. Hierbij moet worden opgemerkt dat de AVG in twee (gelijke) handhavingsmogelijkheden voorziet, waarbij beide mechanismen elkaar aanvullen. Daarbij heeft de AVG met haar komst de privaatrechtelijke handhaving willen versterken door art. 80 AVG in het leven te roepen. Potjewijd en collega’s verwijzen daarbij naar een conclusie van A-G Bobek, waarin de vraag wordt gesteld of de meeste gegevensbeschermingszaken door particuliere procespartijen aanhangig zullen worden gemaakt bij nationale rechterlijke instanties, zodat de daartoe opgerichte nationale toezichthouders volledig worden ontweken omdat zij nog steeds bezig zijn samen te werken en hun standpunten af te stemmen.41x Potjewijd e.a. 2021, p. 6 met verwijzing naar concl. A-G M. Bobek, ECLI:EU:C:2021:5, bij HvJ EU 15 juni 2021, C-645/19 (Facebook Ireland Limited/Gegevensbeschermingautoriteit), randnr. 127. Mijns inziens wordt hiermee voorbijgegaan aan het gegeven dat publiekrechtelijke handhaving onder de huidige omstandigheden geen volledig adequate mogelijkheid biedt om het gegevensbeschermingsrecht te handhaven. De Nederlandse (maar bijvoorbeeld ook de Ierse) toezichthouder kampt immers met structurele onderbezetting.42x Persbericht AP, Miljoenennota: geen verhoging budget AP, 2021, beschikbaar via autoriteitpersoonsgegevens.nl/nl/nieuws/miljoenennota-geen-verhoging-budget-ap; G. González Fuster e.a., The Right to Lodge a Data Protection Complaint: OK, But Then What? An Empirical Study of Current Practices under the GDPR, Access Now, juni 2022, p. 27. Ondanks de structurele onderbezetting van de toezichthouders blijft het aantal meldingen van privacyschendingen bij de AP toenemen, zelfs nu is gebleken dat toezichthouders (op dit moment) niet in staat zijn om adequaat te reageren op de individuele klachten.43x De AP ontving ongeveer 19.000 klachten in 2021. Jaarverslag AP 2021, p. 20. Beschikbaar via autoriteitpersoonsgegevens.nl/nl/jaarverslagen. Onder deze omstandigheden is het mijns inziens begrijpelijk dat rechtzoekenden (hedendaags) de privaatrechtelijke weg naar de rechter bewandelen. De AVG voorziet immers in twee gelijke handhavingsmechanismen waarbij beide mogelijkheden elkaar aanvullen.44x D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 145 met verwijzing naar HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629, r.o. 60 en concl. A-G M. Bobek, ECLI:EU:C:2019:629, bij HvJ EU 29 juli 2019, C-40/17, randnrs. 43-44. Het privaatrechtelijke stelsel vult in die zin het publiekrechtelijke stelsel aan waar dat stelsel (op dit moment) tekortschiet.45x Bovendien heeft de AVG met de komst van art. 80 AVG de privaatrechtelijke handhaving willen versterken.
-
4 Verhouding tot de richtlijn representatieve vorderingen
4.1 Inleiding
Een interessante vraag die opkomt is hoe het Meta-arrest zich verhoudt tot de richtlijn representatieve vorderingen.46x Richtlijn 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2020, L 409/1). De richtlijn moet voor 25 december 2022 in de lidstaten in wetgeving worden omgezet en vanaf 25 juni 2023 in de lidstaten worden toegepast. Deze richtlijn beoogt consumenten in de Europese Unie een effectieve mogelijkheid te bieden om vorderingen in te kunnen stellen tegen bedrijven vanwege onrechtmatige praktijken.47x De richtlijn representatieve vorderingen verplicht lidstaten te voorzien in minstens één regime voor collectieve acties voor de schending van EU-consumentenrecht. De vorderingen moeten in ieder geval kunnen strekken tot stakingsmaatregelen en herstelmaatregelen (zoals schadevergoeding, reparatie, vervanging, prijsvermindering of terugbetaling). Art. 7 lid 4 Richtlijn 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2020, L 409/1). Lidstaten dienen daarom te voorzien in de mogelijkheid om representatieve acties in te stellen door een consumentenbelangenorganisatie die strekken tot bescherming van collectieve belangen van consumenten.48x In dit kader moet worden opgemerkt dat bevoegde instanties volgens de richtlijn representatieve vorderingen moeten voldoen aan strengere vereisten dan de vereisten die volgen uit de bepaling in art. 80 AVG. A. Pato, GDPR Collective Litigation against Facebook, Verfassungsblog 2022. Hierbij moet het mogelijk zijn om schadevergoeding te vorderen.49x Art. 9 Richtlijn 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2020, L 409/1). Het gegevensbeschermingsrecht (AVG) wordt expliciet vermeld in de bijlage van de richtlijn als onderwerp van een representatieve vordering.50x Annex I Richtlijn 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2020, L 409/1).
Het Hof van Justitie oordeelt in het Meta-arrest dat diverse elementen uit de richtlijn representatieve vorderingen bevestigen dat art. 80 AVG niet in de weg staat aan het instellen van aanvullende representatieve vorderingen inzake consumentenbescherming.51x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 81. Het Hof gaat verder niet in op deze elementen en de verhouding hiervan met art. 80 AVG. Dit kan te maken hebben met de reikwijdte van de prejudiciële vragen die in deze zaak waren voorgelegd – de richtlijn was immers niet van toepassing in het hoofdgeding en de omzettingstermijn was nog niet verstreken –, maar ook met de prejudiciële vragen die op 12 mei 2021 door het Oberste Gerichtshof in Oostenrijk zijn gesteld over de interpretatie van art. 82 AVG.52x De prejudiciële vragen gaan over de vragen of (1) een inbreuk op de AVG volstaat voor de toekenning van schadevergoeding overeenkomstig art. 82 AVG, (2) er voor de berekening van schadevergoeding naast de beginselen van doeltreffendheid en gelijkwaardigheid andere Unierechtelijke bepalingen bestaan, en (3) de opvatting dat de toekenning van immateriële schade veronderstelt dat er sprake is van een effect of gevolg van de schending dat op zijn minst van enig belang is en verder gaat dan de door de inbreuk ontstane ergernis, verenigbaar is met het Unierecht. Verzoek om een prejudiciële beslissing ingediend door het Oberste Gerichtshof (Oostenrijk) op 12 mei 2021 – UI/Österreichische Post AG, C-300/21 (PbEU 2021). Mogelijk wil het Hof niet vooruitlopen op het oordeel in deze zaak en laat het de verhouding tussen de richtlijn representatieve vorderingen en de AVG daarom onbesproken in het Meta-arrest.
De verhouding tussen art. 80 AVG en de richtlijn representatieve vorderingen is van belang voor de vraag of het mogelijk is om zonder opdracht collectief schadevergoeding te vorderen wegens een schending van het gegevensbeschermingsrecht. Er zijn zowel argumenten voor een bevestigende als argumenten voor een ontkennende beantwoording van deze vraag. Deze verschillende argumenten zullen in de navolgende paragrafen worden besproken.
4.2 Uitleg art. 80 lid 2 AVG en het recht op schadevergoeding
Art. 80 lid 2 AVG noemt het recht op schadevergoeding niet. Verdedigd kan worden dat lidstaten om die reden niet mogen regelen dat consumentenorganisaties zonder opdracht van betrokkenen schadevergoeding kunnen vorderen voor een schending van de AVG. Een verordening heeft immers rechtstreekse werking en harmoniseert daarmee de regels voor de bescherming van persoonsgegevens. Naar haar aard geeft een verordening lidstaten dan ook weinig (interpretatie)vrijheid, tenzij de verordening dit expliciet toestaat.53x Potjewijd e.a. 2021, p. 7.
Beargumenteerd kan echter ook worden dat hoewel art. 80 lid 2 AVG niet expliciet verwijst naar het recht op schadevergoeding, de Europese wetgever dit wel impliciet heeft bedoeld en de ratio van het Meta-arrest met betrekking tot de ruime uitleg van art. 80 AVG doorgetrokken kan worden naar dit vraagstuk. Zoals reeds besproken, kunnen lidstaten ingevolge art. 80 lid 2 AVG bepalen dat organisaties ook zonder opdracht van de betrokkene de rechten van de betrokkene uit art. 77, 78 en 79 AVG kunnen uitoefenen. De Nederlandse wetgever heeft art. 80 AVG omgezet in art. 37 UAVG.54x Als geoordeeld wordt dat art. 80 lid 2 AVG representatieve schadevergoedingsacties zonder opdracht van betrokkenen voor AVG-schendingen onmogelijk maakt, moeten de WAMCA en art. 37 UAVG in zoverre wegens strijd met art. 80 lid 2 AVG buiten toepassing worden gelaten. De rechten van art. 78 en 79 AVG hebben immers betrekking op het bieden van een doeltreffende voorziening wegens schending van de rechten onder de AVG. Betoogd kan worden dat dit de mogelijkheid tot het vorderen van schadevergoeding omvat.55x Barbiers en Walree noemen in dat kader dat de volle of effectieve werking van de AVG een argument is voor de stelling dat art. 80 lid 2 AVG ook het recht op schadevergoeding omvat, en dat dit argument ook in de context van het mededingingsrecht veel gewicht in de schaal legt (vgl. HvJ EU 6 oktober 2021, C-882/19, ECLI:EU:C:2021:800 (Sumal), r.o. 33-37). Daarbij wordt gesteld dat het niet duidelijk is dat dit argument doorslaggevend is, aangezien de Uniewetgever bij het aannemen van de AVG ook waarde hechtte aan het voorkomen van een claimcultuur voor AVG-schendingen. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 144-145.
4.3 Uitleg overweging 142 preambule AVG
Een toelichting op de vertegenwoordiging van betrokkenen wordt gegeven in overweging 142 AVG. Deze overweging stelt (in de Engelse versie) dat:
‘A Member State may provide for such a body, organisation or association to have the right to lodge a complaint in that Member State, independently of a data subject’s mandate, and the right to an effective judicial remedy where it has reasons to consider that the rights of a data subject have been infringed as a result of the processing of personal data which infringes this Regulation. That body, organisation or association may not be allowed to claim compensation on a data subject’s behalf independently of the data subject’s mandate.’56x De huidige Engelse versie van overweging 142 AVG kan op twee manieren worden geïnterpreteerd. Enerzijds kan worden gesteld dat het mogelijk moet zijn voor een consumentenorganisatie om een dergelijke actie in te stellen. Anderzijds kan worden beargumenteerd dat het consumentenorganisaties niet is toegestaan dit te doen.
Verschillende taalversies van overweging 142 AVG leiden tot verschillende interpretaties van de bevoegdheden van lidstaten op grond van art. 80 lid 2 AVG.57x Verschillende taalversies van het Unierecht zijn gelijkelijk authentiek. De uitlegging van een Unierechtelijke bepaling vereist dan ook een vergelijking van de verschillende taalversies. HvJ EU 6 oktober 2021, C-561/19, ECLI:EU:C:2021:799 (Consorzio), r.o. 42-44 en HvJ EU 6 oktober 1982, C-283/81, ECLI:EU:C:1982:335 (Cilfit e.a.), r.o. 18. Net als de Italiaanse versie stelt overweging 142 van de Nederlandse versie dat voor organisaties kan worden bepaald dat zij niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de opdracht van betrokkenen om. De Nederlandse wetgever stelt dan ook in zijn memorie van toelichting dat het lidstaten vrijstaat om te regelen dat in een collectieve actie schadevergoeding kan worden gevorderd zonder opdracht van een gelaedeerde. De wetgever concludeert dat het recht om collectief schadevergoeding te vorderen onder een doeltreffende voorziening valt.58x Kamerstukken II 2021/22, 36034, nr. 3, p. 9 (MvT). Uit het feit dat de AVG is opgenomen in de bijlage van de richtlijn representatieve vorderingen leidt de Nederlandse wetgever af dat de bepalingen over het kunnen vorderen van schadevergoeding in de richtlijn ook van toepassing zijn op schendingen van de AVG. Aangezien in Nederland sinds 1 januari 2020 de WAMCA in werking is getreden, en daarom al de mogelijkheid bestaat om collectief schadevergoeding te vorderen, stelt de Nederlandse wetgever hierover in de memorie van toelichting dat voor Nederland de plaatsing van de AVG in de bijlage van de richtlijn een verduidelijking is waaruit blijkt dat het ook voor schendingen van de AVG mogelijk is om collectief schadevergoeding te vorderen.59x Kamerstukken II 2021/22, 36034, nr. 3, p. 9 (MvT).
De Franse en Duitse versie van overweging 142 AVG stellen echter dat voor organisaties niet kan worden bepaald dat zij het recht hebben om namens een betrokkene een vergoeding te eisen buiten de opdracht van een betrokkene om. Door deze verschillende taalversies zullen wetgevers in verschillende lidstaten verschillende bevoegdheden (kunnen) aannemen en zal – tot het Hof van Justitie duidelijkheid verschaft – op dit punt niet de beoogde harmonisatie worden bereikt.
In dit kader moet worden opgemerkt dat een eerdere versie (van art. 80 AVG) tijdens het wetgevingsproces expliciet stelde dat een organisatie niet het recht heeft om schadevergoeding te vorderen zonder opdracht.60x Deze versie luidt als volgt: ‘This body, organisation or association does not have the right to claim compensation on a data subject’s behalf.’ Note nr. 9398/15, file 2012/0011 (COD), 1 juni 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-9398-2015-INIT/en/pdf. Nederland had in een vroeg stadium voorgesteld om dit verbod (weliswaar voor acties met opdracht) te introduceren vanwege het belang van het tegengaan van een Amerikaanse claimcultuur.61x Barbiers en Walree merken hierover op dat er mogelijk sprake was van een compromis tussen de Raad en het Europees Parlement, waaruit zou volgen dat het vorderen van schadevergoeding alleen mogelijk zou zijn met opdracht. Zij stellen echter ook dat dit belang verder niet volgt uit de bepalingen of de overweging van de AVG. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 144-145. In een voetnoot merkt Nederland hierover op dat dit verbod opgenomen kon worden in een overweging. Er kan dan ook worden beargumenteerd dat overweging 142 AVG, gelet op de wetsgeschiedenis en de overwegingen die hebben gegolden bij de totstandkoming van de AVG, zo uitgelegd moet worden dat het niet mogelijk is om schadevergoeding te vorderen zonder opdracht.
Elke bepaling van Unierecht moet echter in haar context worden geplaatst en uitgelegd worden in het licht van dit recht in zijn geheel, zijn doelstellingen én zijn ontwikkelingsstand op het ogenblik waarop de betrokken bepaling moet worden toegepast.62x HvJ EU 6 oktober 1982, C-283/81, ECLI:EU:C:1982:335 (Cilfit e.a.), r.o. 20 en HvJ EU 28 juli 2016, C-379/15, ECLI:EU:C:2016:603 (Association France Nature Environnement), r.o. 49. Wanneer wordt gekeken naar de ontwikkelingsstand, kan gezegd worden dat de Uniewetgever (in ieder geval tegenwoordig) van mening is dat het collectief vorderen van schadevergoeding zonder opdracht wegens een AVG-inbreuk wél mogelijk moet zijn. De AVG wordt immers expliciet genoemd in de richtlijn als onderwerp van een representatieve vordering. Daarbij volgt uit overweging 13 van deze richtlijn dat het toepassingsgebied van de richtlijn recht moet doen aan recente ontwikkelingen op het gebied van consumentenbescherming. Hierbij wordt expliciet benoemd dat het voor een hoog niveau van consumentenbescherming nodig is dat gebieden als gegevensbescherming, naast het algemene consumentenrecht, onder deze richtlijn vallen. De laatste zin stelt bovendien dat er meer behoefte is aan een efficiëntere handhaving van de gegevensbescherming.
Overweging 43 van de richtlijn representatieve vorderingen bepaalt dat lidstaten voor representatieve vorderingen met het oog op herstelmaatregelen – waaronder schadevergoeding – moeten voorzien in een opt-in- of een opt-outmechanisme, of een combinatie van de twee. In een opt-inmechanisme moeten consumenten worden verplicht uitdrukkelijk te kennen te geven dat zij door de bevoegde instantie vertegenwoordigd willen worden in het kader van de representatieve vordering met het oog op herstelmaatregelen. In een opt-outmechanisme moeten consumenten worden verplicht uitdrukkelijk te kennen te geven dat zij niet door de bevoegde instantie vertegenwoordigd willen worden in het kader van de representatieve vordering met het oog op herstelmaatregelen.63x Nederland kent met het WAMCA-regime een opt-outmechanisme (voor Nederlandse gedupeerden), waarbij de wetgever strenge kwaliteitseisen heeft gesteld aan de belangenbehartiger op het gebied van financiën en besturing. Ook de Nederlandse wetgever heeft kennelijk bedoeld dat er voor een schadevergoedingsactie wegens een inbreuk op de AVG geen opdracht nodig is. De WAMCA voorziet immers in een regime waarbij er geen onderscheid wordt gemaakt tussen rechtsgebieden. Zie in dit kader M. Samsom, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, JA 2022/47, p. 496.
In art. 80 lid 2 AVG wordt het recht op schadevergoeding niet genoemd, maar het artikel sluit dit recht ook niet expliciet uit. De vraag resteert dan ook hoe overweging 142 AVG – dat lijkt te stellen dat het toentertijd de bedoeling was van de Uniewetgever dat het collectief vorderen van schadevergoeding zonder opdracht niet mogelijk was – en de huidige ontwikkelingsstand – waaruit lijkt te volgen dat de Uniewetgever inmiddels van mening is dat dit wel moet kunnen – zich tot elkaar verhouden.
4.4 Twee grondslagen
Als wordt uitgegaan van een restrictieve uitleg van art. 80 AVG – waarbij het niet mogelijk is om zonder opdracht collectief schadevergoeding te vorderen op grond van de AVG – en zowel de AVG als de (geïmplementeerde) richtlijn representatieve vorderingen een grondslag biedt voor acties van consumentenorganisaties, ontstaat een tegenstrijdigheid tussen de AVG en de richtlijn representatieve vorderingen. Immers, dan zullen de bepalingen uit de richtlijn representatieve vorderingen, die laten zien dat het gegevensbeschermingsrecht een mogelijk onderwerp kan zijn van een representatieve vordering waarvoor collectieve schadevergoeding mogelijk is, haaks staan op de bepaling uit de AVG.
In dit kader is relevant dat overweging 15 van de richtlijn representatieve vorderingen stelt dat de richtlijn de bedoelde bepalingen van Unierecht die genoemd worden in bijlage 1 – waaronder de AVG – onverlet moet laten en de in die wetten vervatte definities niet mag wijzigen of uitbreiden. Dit wordt ook opgemerkt door het Hof in het Meta-arrest.64x HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 82. Bij een actie op grond van de (geïmplementeerde) richtlijn representatieve vorderingen zal de bevoegdheid tot het collectief vorderen van schadevergoeding zonder opdracht moeten blijken uit de bepalingen van de AVG. De richtlijn representatieve vorderingen stuurt immers ‘slechts’ aan op een procesrechtelijk instrument en laat het materiële recht ongemoeid.65x In dit kader wordt door Potjewijd e.a. gesteld dat opt-outclaims voor schadevergoedingsacties voor schendingen van de AVG niet mogelijk zijn, gelet op art. 9 lid 1 van de richtlijn representatieve vorderingen. Dit artikel luidt: ‘Een herstelmaatregel verplicht de handelaar om betrokken consumenten remedies te bieden zoals compensatie, reparatie, vervanging, prijsvermindering, contractbeëindiging of terugbetaling van de betaalde prijs, al naargelang dat passend en op grond van het Unierecht of het nationale recht mogelijk is.’ Potjewijd e.a. 2021, p. 7. Barbiers en Walree stellen hierover dat dit artikel ook zo gelezen kan worden dat de verwijzing naar Unierecht en nationaal recht enkel betrekking heeft op het materiële recht en niet (ook) op specifieke procedures. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 144-145.
Als art. 80 lid 2 AVG restrictief wordt uitgelegd, zal de richtlijn representatieve vorderingen haar relevantie verliezen bij schendingen van het gegevensbeschermingsrecht. Het zal dan niet mogelijk zijn voor consumentenorganisaties die geen opdracht hebben verkregen, om collectief schadevergoeding te vorderen wegens een inbreuk op de AVG.
In de literatuur is reeds betoogd dat bij een restrictieve uitleg van art. 80 lid 2 AVG niet direct uitgesloten kan worden dat schadevergoedingsvorderingen over gegevensbescherming in een WAMCA-procedure aan de orde kunnen worden gesteld.66x D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 144-145. Samsom stelt hierover in zijn annotatie dat de uitoefening van het recht op schadevergoeding door een belangenorganisatie zonder opdracht van een betrokkene buiten de voorwaarden en grenzen van art. 80 lid 2 AVG valt. Collectieve schadevergoedingsacties zouden volgens hem echter wel mogelijk moeten zijn op grond van art. 80 lid 1 AVG. M. Samsom, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, JA 2022/47, p. 496-497. In dit kader wordt het argument genoemd dat het begrip ‘opdracht’ in art. 80 AVG kan betekenen:
een volmacht en/of last;
een uitgebrachte opt-inverklaring van een betrokkene; en/of67x Indien wordt geoordeeld dat voor het opdrachtbegrip een opt-inmechanisme volstaat, dan zal dit niet rijmen met het Nederlandse rechtssysteem. Het WAMCA-regime voorziet immers (in beginsel) in een opt-outmechanisme voor Nederlanders en een opt-inmechanisme voor buitenlanders.
de keuze van een betrokkene tijdens een WAMCA-procedure om een opt-outverklaring niet uit te brengen.68x Een vierde denkbare optie kan het gebruik van een cessiemodel zijn, waarbij betrokkenen hun vordering cederen aan een consumentenbelangenorganisatie. Hiertegen kan wel worden gesteld dat een gecedeerde vordering niet langer de rechten en bescherming geniet van het consumentenrecht.
Hoewel de AVG dit opdrachtbegrip niet uitlegt, lijkt een restrictieve uitleg van art. 80 lid 2 AVG te impliceren dat hiermee de eerste en/of tweede opvatting worden bedoeld.69x De Nederlandse wetgever spreekt in dit kader over volmachten. Kamerstukken II 2021/22, 36034, nr. 3, p. 9 (MvT). Hierbij moet worden opgemerkt dat een systeem van lastgeving, volmacht en cessie – volgens het huidige Nederlandse systeem – geen collectieve actie in wezenlijke zin is. Bovendien verwacht ik dat het voeren van procedures wegens een schending van de AVG op basis van een cessie, lastgeving of volmacht zal leiden tot een onevenredig zware administratieve last, waardoor consumentenbelangenorganisaties minder bereid zullen zijn om een dergelijke collectieve actie te voeren. Het begrip opdracht (in de Engelse versie ‘mandate’) veronderstelt immers een bepaald bewustzijn en de vraag kan dan ook gesteld worden of dit het geval is bij een opt-outmechanisme.70x In dit kader kan worden opgemerkt dat art. 9 lid 2 van de richtlijn representatieve vorderingen een mogelijkheid lijkt te scheppen voor consumenten om hun wens om al dan niet vertegenwoordigd te worden door een consumentenorganisatie zowel uitdrukkelijk als stilzwijgend te kennen te kunnen geven. Potjewijd e.a. 2021, p. 7.
Indien wordt geoordeeld dat art. 80 lid 2 AVG restrictief uitgelegd moet worden, resteert de vraag of dan nog gesproken kan worden van een hoog niveau van gegevensbescherming en een effectieve bescherming van de rechten van betrokkenen. Zoals reeds kort besproken, stuiten gelaedeerden tijdens een individuele procedure wegens een schending van hun gegevensbeschermingsrecht veelal op bewijsrechtelijke en financiële obstakels.71x Walree 2021, p. 3 en 9. Van der Linden en Walree geven het voorbeeld van informatieasymmetrie tussen een betrokkene en een verwerkingsverantwoordelijke bij het aantonen van een schending van de beveiligingsplicht. Het verwerken van de persoonsgegevens vindt immers plaats achter gesloten deuren. Ook is het voor de gemiddelde betrokkene lastig om te achterhalen of de maatregelen van een verwerkingsverantwoordelijke passend waren, aangezien een betrokkene niet dezelfde kennis en deskundigheid heeft als een verwerkingsverantwoordelijke. Van der Linden & Walree 2018, p. 107. Door de hoge mate van informatieasymmetrie tussen gelaedeerden en de verwerkingsverantwoordelijke is het bij een schending van de AVG vaak onduidelijk voor gelaedeerden wat de gevolgen zijn, hoe de schade moet worden gekwalificeerd en begroot, en hoe het causaal verband moet worden aangetoond.72x Van der Linden & Walree 2018, p. 107. Gelaedeerden zijn afhankelijk van de informatie die zij kunnen ontvangen van de verwerkingsverantwoordelijke op grond van (1) de informatieplicht die volgt uit art. 12-14 AVG, (2) het inzagerecht dat volgt uit art. 15 AVG, en (3) de meldingsplicht bij een datalek die volgt uit art. 34 AVG. Ook is er vaak sprake van geringe financiële draagkracht bij gelaedeerden, waarbij de kosten voor een procedure vaak niet of nauwelijks opwegen tegen de baten.73x Van der Linden & Walree 2018, p. 108. Door de globalisering en de digitalisering bestaat een groter risico dat een steeds omvangrijker aantal consumenten schade ondervindt van dezelfde onrechtmatige praktijk.74x Preambule overweging 1 Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2022, L 409/1). Obstakels in het kader van een schending van het gegevensbeschermingsrecht zijn dan ook problematisch, omdat een dergelijke schending vaak een grote groep personen raakt. Meer in zijn algemeenheid veronderstelt het geven van een opdracht dat betrokkenen op de hoogte zijn van hun rechten, zij slachtoffer zijn van een inbreuk, en de tijd en middelen hebben om bewijs te verzamelen en een consumentenorganisatie een opdracht te geven. Door consumentenorganisaties in staat te stellen te handelen zonder opdracht, zouden de AVG-rechten van alle betrokkenen worden gehandhaafd, in plaats van slechts de rechten van een goed geïnformeerde minderheid met de tijd, inzet en middelen om de zaak proactief op te lossen.
De AVG beschermt de grondrechten en fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.75x Art. 1 lid 2 AVG. Gelet op het doel van de AVG en de financiële en bewijsrechtelijke obstakels voor het voeren van een individuele procedure kan dan ook worden beargumenteerd dat indien het niet mogelijk is om schadevergoeding te vorderen in een collectieve actie zonder opdracht, de rechten van gelaedeerden niet effectief beschermd worden.
Deze redenering sluit aan bij het doel van de richtlijn representatieve vorderingen. Deze stelt dat een representatieve vordering een doeltreffende en efficiënte manier biedt om de collectieve belangen van consumenten te beschermen.76x Preambule overweging 9 Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2022, L 409/1). De richtlijn draagt bij aan het bereiken van een hoog niveau van consumentenbescherming en zorgt ervoor dat de obstakels worden weggewerkt waarmee consumenten in geval van individuele vorderingen te maken krijgen.77x Preambule overweging 9 van de richtlijn representatieve vorderingen noemt obstakels in verband met de onzekerheid over de rechten van consumenten en in verband met de beschikbare procedurele mechanismen, psychologische barrières om actie te ondernemen en de negatieve balans tussen de verwachte kosten van de individuele vorderingen en de baten van die vorderingen. Het procedurele mechanisme waarin de richtlijn voorziet, bevordert dan ook het consumentenvertrouwen en stelt consumenten in staat om hun rechten uit te oefenen.
-
5 Samenhang gegevensbeschermingsrecht, consumentenrecht en mededingingsrecht
Interessant is ook de conclusie van A-G De la Tour bij het Meta-arrest.78x Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband). Hij merkt op dat een overlap kan bestaan tussen art. 80 lid 2 AVG en de richtlijn representatieve vorderingen, wanneer een betrokkene in de zin van de AVG tevens een consument in de zin van de richtlijn representatieve vorderingen is.79x Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband), randnr. 84. Volgens de A-G wijst dit erop dat het recht op de bescherming van persoonsgegevens complementair is en samenhangt met andere rechtsgebieden, zoals het consumentenrecht en het mededingingsrecht. De A-G stelt hierbij dat de Uniewetgever die tendens bij de vaststelling van de richtlijn representatieve vorderingen nog verder heeft doorgetrokken door de bescherming van de collectieve belangen van de consument nadrukkelijk te verbinden aan de naleving van de AVG. Hoewel de A-G de richtlijn representatieve vorderingen noemt in verband met de mogelijkheid om stakingsmaatregelen te verkrijgen, kan worden beargumenteerd dat deze tendens ook geldt voor de schadevergoedingsactie.
Het gegevensbeschermingsrecht is immers een rechtsgebied dat zich – met name voor de komst van de AVG – door het karakter van de Databeschermingsrichtlijn heeft ontwikkeld in andere rechtsgebieden.80x Een richtlijn is immers een rechtshandeling die een bepaald doel vastlegt dat alle EU-landen moeten bereiken. Lidstaten hebben hier de vrijheid om eigen wetgeving vast te stellen om dat doel te bereiken. Ook na de inwerkingtreding van de AVG blijven deze verschillende rechtsgebieden op elkaar inwerken.81x In Duitsland is bijv. een sterk verband te zien tussen het mededingingsrecht en het gegevensbeschermingsrecht. Zie in dit kader o.a. Besluit van het Bundeskartellamt van 6 februari 2019 inzake Facebook (B6-22/16). Zo oordeelde de Duitse mededingingsautoriteit – het Bundeskartellamt – dat de algemene voorwaarden van Facebook het gegevensbeschermingsrecht schonden en dat deze schending een misbruik van machtspositie onder het mededingingsrecht opleverde.82x Besluit van het Bundeskartellamt van 6 februari 2019 inzake Facebook (B6-22/16), p. 46. Het privacyrecht staat dan ook niet op zichzelf, maar is veelal verweven met andere rechtsgebieden. In Nederland is het reeds mogelijk om in deze rechtsgebieden, zoals het consumentenrecht en mededingingsrecht, collectief schadevergoeding te vorderen zonder opdracht van de gelaedeerden. Ook in veel andere lidstaten is of wordt dit mogelijk door de komst van de richtlijn representatieve vorderingen. Gelet op de interactie tussen deze rechtsgebieden en het gegevensbeschermingsrecht, ligt het voor de hand om de processuele mogelijkheden bij een schending van het gegevensbeschermingsrecht gelijk te stellen aan de mogelijkheden in het consumenten- en mededingingsrecht.
Als het echter niet mogelijk is om collectief schadevergoeding te vorderen zonder opdracht wegens een schending van het gegevensbeschermingsrecht op grond van de AVG, wordt het argument genoemd dat een consumentenbelangenorganisatie dit wel kan doen op grond van een andere norm, maar voor hetzelfde feitencomplex.83x Barbiers en Walree noemen hier als voorbeeld de maatschappelijke zorgvuldigheidsnorm, een wanprestatie ex art. 6:74 BW of schendingen van het consumenten- of mededingingsrecht. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 146. De richtlijn representatieve vorderingen doet immers geen afbreuk aan andere (materiële/processuele) rechtsbescherming.84x D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 146. Ook de AVG doet geen afbreuk aan andere rechtsbescherming: deze verordening vindt haar rechtsgrondslag immers in art. 16 Verdrag betreffende de werking van de Europese Unie (VWEU) (het recht op de bescherming van persoonsgegevens). Deze grondslag verzet zich tegen de aanname
‘dat de Uniewetgever met de vaststelling van de AVG alle mogelijke vertakkingen zou hebben bestreken die de bescherming van persoonsgegevens kan hebben op andere gebieden, met name betreffende het arbeidsrecht, het mededingingsrecht of het consumentenrecht, door de lidstaten het recht te ontzeggen om op meer of minder autonome wijze, naargelang het al dan niet een bij het Unierecht geregeld gebied betreft, specifieke voorschriften op die gebieden vast te stellen’.85x Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband), randnr. 72.
De beoogde harmonisatie die volgt uit de AVG is daarom beperkt tot de specifieke elementen die worden geregeld in deze verordening. Het staat lidstaten dan ook vrij om andere wetgeving vast te stellen, voor zover deze geen afbreuk doet aan de AVG. Mijns inziens moet een consumentenbelangenorganisatie dan ook schadevergoeding kunnen vorderen op grond van een andere norm voor hetzelfde feitencomplex.
-
6 Conclusie
Het Meta-arrest biedt handvatten voor de interpretatie van art. 80 lid 2 AVG, dat de vertegenwoordiging van betrokkenen regelt, en schept een precedent voor consumentenorganisaties die willen opkomen voor betrokkenen wegens een privacyinbreuk.
Het Hof van Justitie heeft geoordeeld dat een vereniging die consumentenbelangen behartigt onder art. 80 AVG kan vallen als zij een doelstelling van algemeen belang nastreeft. Het nationale recht mag bepalen dat een consumentenorganisatie zonder opdracht van betrokkenen in rechte optreedt tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens wegens een schending van de AVG. Voor het voeren van een collectieve actie is het bovendien voldoende om een categorie of groep betrokkenen aan te wijzen. Het is niet vereist dat de individuele betrokkenen vooraf geïdentificeerd worden. Voor het aannemen van procesbevoegdheid is het voldoende dat een consumentenorganisatie stelt dat de betrokken gegevensverwerking inbreuk kan maken op de privacyrechten van betrokkenen. Tot slot oordeelt het Hof dat art. 80 lid 2 AVG zich er niet tegen verzet dat consumentenorganisaties een collectieve actie kunnen voeren in verband met schendingen van de AVG via een beroep op de schending van consumentenrecht. Het arrest bevestigt hoe het gegevensbeschermingsrecht verweven is met andere rechtsgebieden, zoals het consumentenrecht en het mededingingsrecht.
De vraag of het mogelijk is om zonder opdracht collectief schadevergoeding te vorderen wegens een schending van het gegevensbeschermingsrecht blijft echter onbeantwoord. Er zijn zowel argumenten voor een bevestigende als argumenten voor een ontkennende beantwoording van deze vraag. Ook de verhouding van de AVG tot de richtlijn representatieve vorderingen blijft onduidelijk.
Uiteindelijk is het aan het Hof van Justitie om te oordelen over de reikwijdte van art. 80 lid 2 AVG.86x Verzoek om een prejudiciële beslissing ingediend door het Oberste Gerichtshof (Oostenrijk) op 12 mei 2021 – UI/Österreichische Post AG, C-300/21 (PbEU 2021). Het ligt in de lijn der verwachting dat hier in de nabije toekomst meer duidelijkheid over komt vanwege de prejudiciële vragen over de interpretatie van art. 80 lid 2 en 82 AVG, die op 12 mei 2021 door het Oberste Gerichtshof in Oostenrijk zijn gesteld.
Gelet op het Meta-arrest, het doel van de AVG, de richtlijn representatieve vorderingen en de samenhang van het gegevensbeschermingsrecht met het consumentenrecht en het mededingingsrecht, zou de vraag of het mogelijk is om collectief schadevergoeding te vorderen zonder opdracht wegens een schending van het gegevensbeschermingsrecht mijns inziens bevestigend moeten worden beantwoord.
-
1 In deze zaken ging het o.a. om een rectificatie van persoonsgegevens (ABRvS 26 januari 2022, ECLI:NL:RVS:2022:230), onrechtmatige perspublicaties (Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247) en het niet tijdig reageren op een informatieverzoek door betrokkenen (ABRvS 1 april 2020, ECLI:NL:RVS:2020:900).
-
2 Deze mogelijkheid wordt geboden door art. 80 AVG (vertegenwoordiging van betrokkenen).
-
3 In Nederland zijn collectieve vorderingen ingesteld tegen o.a. TikTok Technology Limited en Oracle en Salesforce. De aangebrachte dagvaardingen in collectieve acties zijn beschikbaar via het openbare collectieve-actieregister: rechtspraak.nl/Registers/centraal-register-voor-collectieve-vorderingen#6f1c15a9-f3e8-4b9b-ab79-4b3bb766c72f6bc1d2e4-e511-4e04-bf16-8ad720b8f8b360.
-
4 Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (TPC/Salesforce en Oracle).
-
5 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.); Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (TPC/Salesforce en Oracle).
-
6 Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (TPC/Salesforce en Oracle), r.o. 5.19.
-
7 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 83.
-
8 Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband), randnr. 72.
-
9 Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2022, L 409/1).
-
10 T.F. Walree, De vergoedbare schade bij de onrechtmatige verwerking van persoonsgegevens, WPNR 2017, afl. 7172, p. 921.
-
11 De AP ontving ongeveer 19.000 klachten in 2021. Jaarverslag AP 2021, p. 20. Beschikbaar via autoriteitpersoonsgegevens.nl/nl/jaarverslagen.
-
12 Persbericht AP, Miljoenennota: geen verhoging budget AP, 2021, beschikbaar via autoriteitpersoonsgegevens.nl/nl/nieuws/miljoenennota-geen-verhoging-budget-ap.
-
13 E.F.D. Engelhard, Immateriële schade als gevolg van data-inbreuken: het ondergeschoven kindje van de AVG, NTBR 2019/30, afl. 9-10, p. 194; E. O’Dell, Compensation for Breach of the General Data Protection Regulation, Dublin University Law Journal (40) 2017, afl. 1, p. 3; Walree 2017, p. 921.
-
14 Gelaedeerden zijn met name terughoudend om een rechtszaak aan te spannen tegen een verwerkingsverantwoordelijke wanneer de individuele schade niet opweegt tegen de kosten van het voeren van een rechtszaak. De Europese Commissie, Commission Staff Working Paper Impact Assessment, SEC(2012)72 final, p. 114-115.
-
15 C. Spierings, Het nieuwe goud: betalen met data, MvV 2019, afl. 6, p. 207-214.
-
16 In dit kader moet worden opgemerkt dat uit rechtspraak van het Hof van Justitie volgt dat een normschending niet per definitie leidt tot schade (HvJ EU 6 november 2012, C-199/11, ECLI:EU:C:2012:684 (Otis e.a.), r.o. 65), en dat schade reëel en zeker geleden moet zijn (HvJ EU 4 april 2017, C-337/15 P, ECLI:EU:C:2017:256 (Europese Ombudsman/Staelen), r.o. 91).
-
17 T.F. Walree, Schadevergoeding bij onrechtmatige verwerking van persoonsgegevens (diss. Nijmegen; Onderneming en Recht nr. 126), Deventer: Wolters Kluwer 2021, p. 3 en 9; T.E. van der Linden & T.F. Walree, De collectieve procedure als oplossing voor het privaatrechtelijke handhavingstekort bij een datalek?, AV&S 2018/20, afl. 4, p. 105-113.
-
18 De Europese Commissie, Commission Staff Working Paper Impact Assessment, SEC(2012)72 final, p. 114-115; Van der Linden & Walree 2018, p. 108.
-
19 De Europese Toezichthouder voor gegevensbescherming , de European Data Protection Supervisor (EDPS), ziet erop toe dat alle instellingen en organen van de EU de privacy van de burgers respecteren bij de verwerking van hun persoonsgegevens. De EDPS merkt op dat gelaedeerden niet snel naar de rechter stappen in verband met de hoge kosten, de lange wachttijd en de onzekerheid van een procedure. Deze obstakels kunnen volgens de EDPS (deels) worden weggenomen door middel van een collectieve procedure. Advies van de Europese Toezichthouder voor gegevensbescherming, Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie (PbEU 2011, C 181/01), randnrs. 95-97.
-
20 Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (TPC/Salesforce en Oracle), r.o. 5.19-5.26.
-
21 Appeldagvaarding stichting The Privacy Collective 28 maart 2022 tegen Oracle en Salesforce.
-
22 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 34.
-
23 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 36.
-
24 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281/31).
-
25 Art. 4 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281/31).
-
26 Het Hof van Justitie had al eerder geoordeeld dat de bepalingen van Richtlijn 95/46 zich niet verzetten tegen deze Duitse nationale regeling. HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (Fashion ID).
-
27 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 37.
-
28 Art. 77 AVG (‘Recht om een klacht in te dienen bij een toezichthoudende autoriteit’); art. 78 AVG (‘Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit’); art. 79 AVG (‘Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker’); art. 82 AVG (‘Recht op schadevergoeding en aansprakelijkheid’).
-
29 Hoewel art. 80 lid 2 AVG niet was omgezet in de Duitse wetgeving, kon het Bundesverband zijn grondslag baseren op § 4 van de Duitse wet betreffende verbodsacties bij inbreuken op het consumentenrecht of andere inbreuken. HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 35.
-
30 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 39.
-
31 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 64-65.
-
32 Art. 4 punt 1 AVG definieert een betrokkene immers als ‘de geïdentificeerde of identificeerbare natuurlijk persoon op wie de verwerkte en/of de te verwerken persoonsgegevens betrekking hebben’. HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 68-69.
-
33 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 69.
-
34 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 72.
-
35 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 73-75.
-
36 Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband), randnr. 77.
-
37 De vraag of een belangenorganisatie die gegevensbescherming niet heeft opgenomen als doelstelling in haar statuten kan kwalificeren als een vertegenwoordigende organisatie op grond van art. 80 AVG, moet mijns inziens bevestigend worden beantwoord.
-
38 G. Potjewijd e.a., Mass Damage Claims for GDPR Infringements: A Multi-Jurisdictional Perspective, Mass Claims 2021, afl. 1, p. 22. Yakovleva stelt hierover dat – hoewel zij de conclusie van het Hof van Justitie een logische en positieve ontwikkeling acht – er wel een prijskaartje hangt aan deze bredere mogelijkheden. Zo zullen representatieve acties hierdoor niet in gelijke mate beschikbaar zijn voor alle betrokkenen in Europa, terwijl de AVG juist zou moeten leiden tot meer harmonisatie. S. Yakovleva, annotatie bij HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322, Mass Claims 2022/1, p. 54-55 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.).
-
39 In dit kader moet worden opgemerkt dat art. 80 lid 2 AVG in het algemeen weinig belang hecht aan het voorkomen van fragmentatie en het beogen van harmonisatie. De verordening bevat immers meer dan 60 openingsclausules, waaronder die in art. 80 lid 2 AVG. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 145. Hoewel het toestaan van collectieve acties zonder opdracht wellicht leidt tot fragmentatie, is het alternatief (het nergens kunnen voeren van een collectieve actie wegens een AVG-inbreuk) mijns inziens nog onwenselijker.
-
40 Potjewijd e.a. 2021, p. 6. Hierbij moet worden opgemerkt dat de AVG in twee (gelijke) handhavingsmogelijkheden voorziet, waarbij beide mechanismen elkaar aanvullen. Daarbij heeft de AVG met haar komst de privaatrechtelijke handhaving willen versterken door art. 80 AVG in het leven te roepen.
-
41 Potjewijd e.a. 2021, p. 6 met verwijzing naar concl. A-G M. Bobek, ECLI:EU:C:2021:5, bij HvJ EU 15 juni 2021, C-645/19 (Facebook Ireland Limited/Gegevensbeschermingautoriteit), randnr. 127.
-
42 Persbericht AP, Miljoenennota: geen verhoging budget AP, 2021, beschikbaar via autoriteitpersoonsgegevens.nl/nl/nieuws/miljoenennota-geen-verhoging-budget-ap; G. González Fuster e.a., The Right to Lodge a Data Protection Complaint: OK, But Then What? An Empirical Study of Current Practices under the GDPR, Access Now, juni 2022, p. 27.
-
43 De AP ontving ongeveer 19.000 klachten in 2021. Jaarverslag AP 2021, p. 20. Beschikbaar via autoriteitpersoonsgegevens.nl/nl/jaarverslagen.
-
44 D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 145 met verwijzing naar HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629, r.o. 60 en concl. A-G M. Bobek, ECLI:EU:C:2019:629, bij HvJ EU 29 juli 2019, C-40/17, randnrs. 43-44.
-
45 Bovendien heeft de AVG met de komst van art. 80 AVG de privaatrechtelijke handhaving willen versterken.
-
46 Richtlijn 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2020, L 409/1). De richtlijn moet voor 25 december 2022 in de lidstaten in wetgeving worden omgezet en vanaf 25 juni 2023 in de lidstaten worden toegepast.
-
47 De richtlijn representatieve vorderingen verplicht lidstaten te voorzien in minstens één regime voor collectieve acties voor de schending van EU-consumentenrecht. De vorderingen moeten in ieder geval kunnen strekken tot stakingsmaatregelen en herstelmaatregelen (zoals schadevergoeding, reparatie, vervanging, prijsvermindering of terugbetaling). Art. 7 lid 4 Richtlijn 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2020, L 409/1).
-
48 In dit kader moet worden opgemerkt dat bevoegde instanties volgens de richtlijn representatieve vorderingen moeten voldoen aan strengere vereisten dan de vereisten die volgen uit de bepaling in art. 80 AVG. A. Pato, GDPR Collective Litigation against Facebook, Verfassungsblog 2022.
-
49 Art. 9 Richtlijn 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2020, L 409/1).
-
50 Annex I Richtlijn 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2020, L 409/1).
-
51 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 81.
-
52 De prejudiciële vragen gaan over de vragen of (1) een inbreuk op de AVG volstaat voor de toekenning van schadevergoeding overeenkomstig art. 82 AVG, (2) er voor de berekening van schadevergoeding naast de beginselen van doeltreffendheid en gelijkwaardigheid andere Unierechtelijke bepalingen bestaan, en (3) de opvatting dat de toekenning van immateriële schade veronderstelt dat er sprake is van een effect of gevolg van de schending dat op zijn minst van enig belang is en verder gaat dan de door de inbreuk ontstane ergernis, verenigbaar is met het Unierecht. Verzoek om een prejudiciële beslissing ingediend door het Oberste Gerichtshof (Oostenrijk) op 12 mei 2021 – UI/Österreichische Post AG, C-300/21 (PbEU 2021).
-
53 Potjewijd e.a. 2021, p. 7.
-
54 Als geoordeeld wordt dat art. 80 lid 2 AVG representatieve schadevergoedingsacties zonder opdracht van betrokkenen voor AVG-schendingen onmogelijk maakt, moeten de WAMCA en art. 37 UAVG in zoverre wegens strijd met art. 80 lid 2 AVG buiten toepassing worden gelaten.
-
55 Barbiers en Walree noemen in dat kader dat de volle of effectieve werking van de AVG een argument is voor de stelling dat art. 80 lid 2 AVG ook het recht op schadevergoeding omvat, en dat dit argument ook in de context van het mededingingsrecht veel gewicht in de schaal legt (vgl. HvJ EU 6 oktober 2021, C-882/19, ECLI:EU:C:2021:800 (Sumal), r.o. 33-37). Daarbij wordt gesteld dat het niet duidelijk is dat dit argument doorslaggevend is, aangezien de Uniewetgever bij het aannemen van de AVG ook waarde hechtte aan het voorkomen van een claimcultuur voor AVG-schendingen. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 144-145.
-
56 De huidige Engelse versie van overweging 142 AVG kan op twee manieren worden geïnterpreteerd. Enerzijds kan worden gesteld dat het mogelijk moet zijn voor een consumentenorganisatie om een dergelijke actie in te stellen. Anderzijds kan worden beargumenteerd dat het consumentenorganisaties niet is toegestaan dit te doen.
-
57 Verschillende taalversies van het Unierecht zijn gelijkelijk authentiek. De uitlegging van een Unierechtelijke bepaling vereist dan ook een vergelijking van de verschillende taalversies. HvJ EU 6 oktober 2021, C-561/19, ECLI:EU:C:2021:799 (Consorzio), r.o. 42-44 en HvJ EU 6 oktober 1982, C-283/81, ECLI:EU:C:1982:335 (Cilfit e.a.), r.o. 18.
-
58 Kamerstukken II 2021/22, 36034, nr. 3, p. 9 (MvT).
-
59 Kamerstukken II 2021/22, 36034, nr. 3, p. 9 (MvT).
-
60 Deze versie luidt als volgt: ‘This body, organisation or association does not have the right to claim compensation on a data subject’s behalf.’ Note nr. 9398/15, file 2012/0011 (COD), 1 juni 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-9398-2015-INIT/en/pdf.
-
61 Barbiers en Walree merken hierover op dat er mogelijk sprake was van een compromis tussen de Raad en het Europees Parlement, waaruit zou volgen dat het vorderen van schadevergoeding alleen mogelijk zou zijn met opdracht. Zij stellen echter ook dat dit belang verder niet volgt uit de bepalingen of de overweging van de AVG. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 144-145.
-
62 HvJ EU 6 oktober 1982, C-283/81, ECLI:EU:C:1982:335 (Cilfit e.a.), r.o. 20 en HvJ EU 28 juli 2016, C-379/15, ECLI:EU:C:2016:603 (Association France Nature Environnement), r.o. 49.
-
63 Nederland kent met het WAMCA-regime een opt-outmechanisme (voor Nederlandse gedupeerden), waarbij de wetgever strenge kwaliteitseisen heeft gesteld aan de belangenbehartiger op het gebied van financiën en besturing. Ook de Nederlandse wetgever heeft kennelijk bedoeld dat er voor een schadevergoedingsactie wegens een inbreuk op de AVG geen opdracht nodig is. De WAMCA voorziet immers in een regime waarbij er geen onderscheid wordt gemaakt tussen rechtsgebieden. Zie in dit kader M. Samsom, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, JA 2022/47, p. 496.
-
64 HvJ EU 28 april 2022, C-319/20, ECLI:EU:C:2022:322 (Meta Platforms Ireland Limited/Verbraucherzentrale Bundesverband e.V.), r.o. 82.
-
65 In dit kader wordt door Potjewijd e.a. gesteld dat opt-outclaims voor schadevergoedingsacties voor schendingen van de AVG niet mogelijk zijn, gelet op art. 9 lid 1 van de richtlijn representatieve vorderingen. Dit artikel luidt: ‘Een herstelmaatregel verplicht de handelaar om betrokken consumenten remedies te bieden zoals compensatie, reparatie, vervanging, prijsvermindering, contractbeëindiging of terugbetaling van de betaalde prijs, al naargelang dat passend en op grond van het Unierecht of het nationale recht mogelijk is.’ Potjewijd e.a. 2021, p. 7. Barbiers en Walree stellen hierover dat dit artikel ook zo gelezen kan worden dat de verwijzing naar Unierecht en nationaal recht enkel betrekking heeft op het materiële recht en niet (ook) op specifieke procedures. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 144-145.
-
66 D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 144-145. Samsom stelt hierover in zijn annotatie dat de uitoefening van het recht op schadevergoeding door een belangenorganisatie zonder opdracht van een betrokkene buiten de voorwaarden en grenzen van art. 80 lid 2 AVG valt. Collectieve schadevergoedingsacties zouden volgens hem echter wel mogelijk moeten zijn op grond van art. 80 lid 1 AVG. M. Samsom, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, JA 2022/47, p. 496-497.
-
67 Indien wordt geoordeeld dat voor het opdrachtbegrip een opt-inmechanisme volstaat, dan zal dit niet rijmen met het Nederlandse rechtssysteem. Het WAMCA-regime voorziet immers (in beginsel) in een opt-outmechanisme voor Nederlanders en een opt-inmechanisme voor buitenlanders.
-
68 Een vierde denkbare optie kan het gebruik van een cessiemodel zijn, waarbij betrokkenen hun vordering cederen aan een consumentenbelangenorganisatie. Hiertegen kan wel worden gesteld dat een gecedeerde vordering niet langer de rechten en bescherming geniet van het consumentenrecht.
-
69 De Nederlandse wetgever spreekt in dit kader over volmachten. Kamerstukken II 2021/22, 36034, nr. 3, p. 9 (MvT). Hierbij moet worden opgemerkt dat een systeem van lastgeving, volmacht en cessie – volgens het huidige Nederlandse systeem – geen collectieve actie in wezenlijke zin is. Bovendien verwacht ik dat het voeren van procedures wegens een schending van de AVG op basis van een cessie, lastgeving of volmacht zal leiden tot een onevenredig zware administratieve last, waardoor consumentenbelangenorganisaties minder bereid zullen zijn om een dergelijke collectieve actie te voeren.
-
70 In dit kader kan worden opgemerkt dat art. 9 lid 2 van de richtlijn representatieve vorderingen een mogelijkheid lijkt te scheppen voor consumenten om hun wens om al dan niet vertegenwoordigd te worden door een consumentenorganisatie zowel uitdrukkelijk als stilzwijgend te kennen te kunnen geven. Potjewijd e.a. 2021, p. 7.
-
71 Walree 2021, p. 3 en 9. Van der Linden en Walree geven het voorbeeld van informatieasymmetrie tussen een betrokkene en een verwerkingsverantwoordelijke bij het aantonen van een schending van de beveiligingsplicht. Het verwerken van de persoonsgegevens vindt immers plaats achter gesloten deuren. Ook is het voor de gemiddelde betrokkene lastig om te achterhalen of de maatregelen van een verwerkingsverantwoordelijke passend waren, aangezien een betrokkene niet dezelfde kennis en deskundigheid heeft als een verwerkingsverantwoordelijke. Van der Linden & Walree 2018, p. 107.
-
72 Van der Linden & Walree 2018, p. 107.
-
73 Van der Linden & Walree 2018, p. 108.
-
74 Preambule overweging 1 Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2022, L 409/1).
-
75 Art. 1 lid 2 AVG.
-
76 Preambule overweging 9 Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PbEU 2022, L 409/1).
-
77 Preambule overweging 9 van de richtlijn representatieve vorderingen noemt obstakels in verband met de onzekerheid over de rechten van consumenten en in verband met de beschikbare procedurele mechanismen, psychologische barrières om actie te ondernemen en de negatieve balans tussen de verwachte kosten van de individuele vorderingen en de baten van die vorderingen.
-
78 Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband).
-
79 Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband), randnr. 84.
-
80 Een richtlijn is immers een rechtshandeling die een bepaald doel vastlegt dat alle EU-landen moeten bereiken. Lidstaten hebben hier de vrijheid om eigen wetgeving vast te stellen om dat doel te bereiken.
-
81 In Duitsland is bijv. een sterk verband te zien tussen het mededingingsrecht en het gegevensbeschermingsrecht. Zie in dit kader o.a. Besluit van het Bundeskartellamt van 6 februari 2019 inzake Facebook (B6-22/16).
-
82 Besluit van het Bundeskartellamt van 6 februari 2019 inzake Facebook (B6-22/16), p. 46.
-
83 Barbiers en Walree noemen hier als voorbeeld de maatschappelijke zorgvuldigheidsnorm, een wanprestatie ex art. 6:74 BW of schendingen van het consumenten- of mededingingsrecht. D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 146.
-
84 D.L. Barbiers en T.F. Walree, annotatie bij Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647, Computerrecht 2022/55, p. 146.
-
85 Concl. A-G J.R. de la Tour, ECLI:EU:C:2022:322, bij HvJ EU 2 december 2021, C-319/20 (Meta Platforms Ireland Limited/Bundesverband), randnr. 72.
-
86 Verzoek om een prejudiciële beslissing ingediend door het Oberste Gerichtshof (Oostenrijk) op 12 mei 2021 – UI/Österreichische Post AG, C-300/21 (PbEU 2021).
DOI: 10.5553/MvV/157457672022032009001
Maandblad voor Vermogensrecht |
|
Artikel | Collectieve acties wegens inbreuk op de Algemene verordening gegevensbescherming |
Trefwoorden | consumentenbelangenorganisatie, AVG, HvJ, Meta, schadevergoeding |
Auteurs | Mr. M. Gülcür |
DOI | 10.5553/MvV/157457672022032009001 |
Toon PDF Toon volledige grootte Samenvatting Auteursinformatie Statistiek Citeerwijze Citaties (2) |
Dit artikel is keer geraadpleegd. |
Dit artikel is 0 keer gedownload. |
Aanbevolen citeerwijze bij dit artikel
Mr. M. Gülcür, 'Collectieve acties wegens inbreuk op de Algemene verordening gegevensbescherming', MvV 2022, p. 289-299
Mr. M. Gülcür, 'Collectieve acties wegens inbreuk op de Algemene verordening gegevensbescherming', MvV 2022, p. 289-299
Op 28 april 2022 wees het Hof van Justitie van de Europese Unie het Meta-arrest. Dit arrest biedt handvatten voor de interpretatie van art. 80 AVG, dat de vertegenwoordiging van betrokkenen regelt. Deze bijdrage bespreekt (de gevolgen van) dit arrest en de verhouding ervan tot de richtlijn representatieve vorderingen. |
Dit artikel wordt geciteerd in
- Prof. mr. A. Berlee, "Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens" (Maandblad voor Vermogensrecht, aflevering 1 2023)
- Mr. D. Knibbeler, Mr. S. Been en Mr. A.J. Haasjes, "Collectieve schadevergoedingsacties onder de AVG" (Maandblad voor Vermogensrecht, aflevering 11 2023)