在2019年6月11日的最新决定中(文件编号:4 U 760/19,可用 这里),德累斯顿上诉法院(德累斯顿上城 –上诉法院)必须根据GDPR第82条就轻微违反GDPR的损害索赔作出裁决。

背景

被告是社交网络的提供者,已从原告删除了一条帖子,并将原告的用户帐户暂停了三天。原告尤其主张根据GDPR第82条提出的物质和非物质损失索赔。

上诉法院的裁决

上诉法院驳回了根据GDPR第82条提出的主张。

GDPR第82条第1款规定:

“由于违反[GDPR]而遭受实质性或非实质性损害的任何人,均有权从控制者或处理者那里获得所遭受损害的赔偿。”

上诉法院裁定未满足GDPR第82条第(1)款的要求。
首先,上诉法院裁定,删除原告的职位并中止其用户帐户并不构成对GDPR强制性条款的侵犯。它指出,被告在提供社交网络及其功能方面的处理活动得到了原告的同意(GDPR第6条第(1)(a)款),这是通过接受被告的使用条款而获得的。但是,上诉法院没有进一步解决原告接受GDPR含义中的合法同意的问题,即原告接受被告的使用条款是否构成合法同意。

其次,上诉法院指出,帐户暂停并不构成GDPR第82条所指的损害,因为即使丢失个人数据也不构成损害。上诉法院认为,为期三天的停职只是轻微违反。上诉法院裁定,仅对轻微违规行为不能主张根据GDPR第82条第1款要求赔偿的索赔。

上诉法院承认,有人争辩说,为了产生震慑作用,一般也应将轻微违反GDPR的规定视为足以引发对受影响人的损害赔偿的索赔。 GDPR第146条建议支持该观点,该观点规定:

“控制者或处理者应赔偿因违反[GDPR]的处理而可能遭受的任何损害。 (…)应当根据法院的判例法以一种能够充分反映[GDPR]目标的方式广义地解释损害的概念。 (…)数据主体应为其遭受的损失获得全部和有效的赔偿。”

但是,上诉法院裁定,如果仅在受到影响的人主观地感到不便而其自我形象或声誉没有受到任何严重损害的情况下,则不应以已经引起损害赔偿要求的方式来解释GDPR第82条第1款。否则,将提出无条件的损害赔偿要求。就是说,根据上诉法院的说法,任何违反GDPR规定的方式都以相同的方式影响了许多人并构成了蓄意,非法和大规模商业化的表述,则有理由做出不同的决定。但是,在本案中,删除某个用户帖子和暂停用户帐户与被告的商业化活动恰恰相反,因为这些活动反而阻碍了商业化。

评论

尚未就GDPR第82条规定的损害赔偿要求范围了解甚少。上诉法院的判决符合Diez地区法院先前制定的德国判例法(Amtsgericht Diez, 2018年11月7日判决,案卷编号8 C 130/18,可用 这里)。

法律上仍然存在一定程度的不确定性,因为上诉法院并未在轻微违反GDPR的行为与不再被视为琐事的侵权行为之间划清界限,因此可能会触发根据GDPR第82条提出的损害赔偿要求。但是,上诉法院确定的标准,特别是商业化因素,将在实践中证明是有帮助的。