In hoeverre leent de WAMCA-procedure zich voor massaschadeclaims op grond van de AVG?
Binnen de massaschadepraktijk speelt al langer de vraag in hoeverre het mogelijk is om middels een WAMCA-procedure schadevergoeding te vorderen voor een vermeende inbreuk op de AVG. Welke aanknopingspunten zijn er in regelgeving, jurisprudentie en literatuur?
Achtergrond
Het Hof van Justitie van de Europese Unie (het HvJ EU of hof) heeft op 4 mei 2023 arrest gewezen in de zaak Österreichische Post. In dit arrest heeft het HvJ EU meer duidelijkheid verschaft over het schadebegrip in de Algemene Verordening Gegevensbescherming (de AVG): zie ook de blog die hierover geschreven is door onze collega’s Frederiek Fernhout en Minke Reijneveld. De hoofdvraag waar het hof zich over heeft gebogen, is of een inbreuk op de AVG als zodanig volstaat voor de toekenning van schadevergoeding, zonder dat hoeft komen vast te staan dat daadwerkelijk schade is geleden. Geconcludeerd is dat een schending van de AVG niet zonder meer recht geeft op schadevergoeding: vereist is dat schade wordt geleden.
Dit zal een opluchting zijn voor alle ondernemingen die te maken hebben met schadeclaims op grond van de AVG, zeker met het oog op de Wet afwikkeling massaschade in collectieve actie (de WAMCA). Immers, als het HvJ EU had geoordeeld dat een inbreuk op de AVG zonder meer leidt tot een recht op schadevergoeding, dan zou de drempel om een schadevergoedingsprocedure aanhangig te maken aanzienlijk zijn verlaagd. Het aantal massaschadeclaims zou dan waarschijnlijk fors zijn gestegen.
Ook na Österreichische Post blijft het echter de vraag of de AVG zich überhaupt leent voor dergelijke massaclaims. Het is nog altijd niet uitgemaakt of een massaschadeclaim op grond van de AVG kan worden ingesteld op opt-out basis, dus zonder dat de personen wier privacy is geschonden, zelf opdracht hebben gegeven tot het vorderen van deze schadevergoeding. Artikel 80 lid 1 AVG bepaalt dat organisaties vergoeding kunnen vorderen van schade die een persoon heeft geleden door een AVG-inbreuk namens en in opdracht van die persoon.
In Nederland zijn inmiddels meerdere collectieve acties ingesteld op basis van de WAMCA (artikel 3:305a BW), en dus op opt-out basis. Zij vorderen miljarden euro's aan schadevergoedingen vanwege vermeende inbreuken op de AVG. Deze procedures zijn aangespannen door claimstichtingen tegen het social media platform TikTok, evenals tegen softwareondernemingen Oracle en Salesforce (overigens is in maart 2023 ook de Nederlandse Staat gedagvaard). De bevoegde rechters hebben in geen van voornoemde procedures al een beslissing genomen over de vraag of de AVG zich leent voor massaschadeclaims op basis van de WAMCA.
In deze blog zullen wij daarom aan de hand van verschillende bronnen uiteenzetten in hoeverre er ruimte lijkt te bestaan om massaschadeclaims in te dienen op grond van een vermeende inbreuk op de AVG, zoals in de WAMCA is bepaald, op opt-out basis.
AVG-massaschadeclaim: mogelijk zonder opdracht?
De WAMCA is op 1 januari 2020 inwerking getreden met als doel: het mogelijk maken om schadevergoeding te vorderen in een collectieve actie. De belangenbehartiger doet dit ten behoeve van personen die schade stellen te hebben geleden, maar niet namens of in opdracht van hen. Een volmacht of opdracht is niet vereist. Het is de vraag hoe dit zich verhoudt tot de relevante bepaling in de AVG. Artikel 80 lid 1 AVG bepaalt namelijk: "De betrokkene heeft het recht een […] organisatie […] opdracht te geven […] namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet."
Dat werpt de vraag op of schadevergoeding op grond van artikel 80 lid 1 AVG wel mogelijk is via een WAMCA-procedure. De meningen hierover verschillen. Zo signaleerde de Rechtbank Amsterdam in haar uitspraak uit 2021 in de procedure tegen softwareondernemingen Oracle en Salesforce dat onduidelijk is hoe de WAMCA en de AVG zich tot elkaar verhouden. In rechtsoverweging 5.19 staat hierover: “In de parlementaire geschiedenis van de WAMCA, de Uitvoeringswet AVG (UAVG) en de literatuur is tot op heden niet ingegaan op de vraag of artikel 80 AVG in de weg staat aan een collectieve vordering tot schadevergoeding wegens schending van de AVG.” Er zijn wel aanwijzingen dat AVG-schendingen zich niet lenen voor WAMCA-procedures. Deze zetten wij hieronder uiteen.
- Allereerst bepaalt artikel 80 lid 2 AVG dat lidstaten mogen bepalen dat organisaties, ook wanneer zij niet gemachtigd zijn, specifieke rechten kunnen uitoefenen in het kader van de AVG. Het recht op schadevergoeding wordt daar nu echter juist niet genoemd. Dit voedt de gedachte dat de AVG (bewust) geen specifieke grondslag biedt tot het instellen van een schadevergoedingsprocedure op opt-out basis.
- Daarbij komt dat in overweging 142 van de AVG mogelijk een vertaalfout is opgenomen (onze collega Nynke Brouwer schreef hier een editorial over in Computerrecht 2022/49). De huidige Nederlandse vertaling is namelijk: "Voor [dergelijke organisaties] kan worden bepaald dat zij niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om."
Echter, wanneer de Nederlandse vertaling wordt vergeleken met de tekst in andere talen, dan lijkt het erop dat er zou moeten staan: “Voor [dergelijke organisaties] (...) kan niet worden bepaald dat zij (…) het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om.”
- Tot slot kan worden gesteld dat het toelaten van massaschadeclaims wegens AVG-schendingen in strijd is met het Unierecht, omdat de Europese Raad nu juist een commerciële claimcultuur in de context van gegevensbescherming heeft willen voorkomen.
Tegelijkertijd zijn er concrete indicaties dat het wél mogelijk is om schadevergoeding op opt-out basis te vorderen bij vermeende inbreuken op de AVG.
- Allereerst is het doel van de Uniewetgever geweest om de AVG een brede bescherming te laten bieden van persoonsgegevens. Het ligt daarom voor de hand om ook de mogelijkheid van private handhaving breed te houden.
- Verder is hier de Richtlijn representatieve vorderingen relevant. Die richtlijn dwingt lidstaten om collectieve acties tot schadevergoeding mogelijk te maken voor consumenten. Bijlage I bij de richtlijn bepaalt dat onder meer collectieve vorderingen tot schadevergoeding wegens schending van de AVG moeten kunnen worden ingesteld. De richtlijn biedt elke lidstaat de vrije keuze tussen een opt-in en een opt-out systeem.
- Bovendien heeft de Minister voor Rechtsbescherming in de Memorie van Toelichting bij het wetsvoorstel tot implementatie van de Richtlijn representatieve vorderingen in Nederland bevestigd dat WAMCA-procedures die zien op AVG-schendingen mogelijk zijn.
- De meest uitgesproken indicatie is te vinden in het Meta-arrest van het HvJ EU uit 2022. In dit arrest heeft het HvJ EU de lat vrij laag gelegd voor organisaties om de collectieve belangen van individuen te behartigen in het kader van artikel 80 lid 2 AVG. Niet alleen benadrukt het HvJ EU dat organisaties slechts 'van mening' hoeven te zijn dat de AVG is geschonden (punt 71-72), ook zou het niet nodig zijn om vooraf te identificeren welke personen hier (potentieel) door zijn geraakt (punt 68). Dit past binnen de trend dat het HvJ EU de bescherming van persoonsgegevens ruim interpreteert. Sommige auteurs vinden dat het Meta-arrest ondubbelzinnig bevestigt dat het mogelijk is om op basis van de WAMCA schadevergoeding te vorderen voor vermeende inbreuken op de AVG, óók wanneer daartoe geen concrete opdracht is gegeven. In dat kader is zelfs betoogd dat vanwege het Meta-arrest, het representativiteitscriterium binnen de WAMCA dient te vervallen wanneer het claims betreft op basis van de AVG (zie D.F. Berkhout (advocaat van een van de eisende stichtingen in de TikTok-zaak) in JBP 2022/90). Wij denken dat nog steeds representativiteit van een claimorganisatie mag worden verwacht. Het representativiteitsvereiste uit de WAMCA vergt namelijk evenmin dat je deze personen “individueel identificeert”. Ook is het zo dat artikel 80 lid 1 AVG het collectief vorderen van schadevergoeding enkel toestaat “indien het lidstatelijke recht daarin voorziet”, en het Nederlandse recht vereist nu eenmaal representativiteit van alle claimorganisaties.
Er lijkt zeker ruimte te zijn voor een nauwere interpretatie van het Meta-arrest. Zo betogen K. Saarloos en L.J. Knap in NTBR 2023/3 dat het Meta-arrest slechts verduidelijkt dat artikel 80 lid 2 AVG niet vereist dat een organisatie op voorhand eventuele betrokkenen namens wie zij optreedt, identificeert. Hiermee blijft echter in het midden of het mogelijk moet zijn om op opt-out basis een massaschadeclaim in te stellen op grond van AVG-schendingen. Er kan immers niet voorbij worden gegaan aan het feit dat artikel 80 lid 2 AVG de mogelijkheid tot schadevergoeding niet noemt. Het Meta-arrest geeft dan ook geen duidelijk antwoord op de vraag of een claimorganisatie zonder opdracht schadevergoeding kan vorderen op grond van een AVG-inbreuk.
Conclusie
Ook na het arrest Österreichische Post blijft onzeker of massaschadeclaims zonder expliciete opdracht op grond van de AVG mogelijk zijn.
Wat betekent dit voor ondernemingen? Zolang de weg voor massaschadeclaims op opt-out basis niet is afgesloten, is het belangrijk dat ondernemingen die persoonsgegevens verwerken zich bewust zijn van het risico op dergelijke claims. Hoewel zij na Österreichische Post wel opgelucht kunnen zijn, blijft dat risico bestaan. Niet alleen wegens mogelijke boetes, maar ook wegens de dreiging van massaclaims is het dus belangrijk dat de verwerking van persoonsgegevens in overeenstemming gebeurt met de AVG.
Voor meer informatie over dit onderwerp kunt u contact opnemen met Branda Katan of Nynke Brouwer.