“本来可以，本来可以，本来可以”并不能带来补偿

fabiha01

你感觉如何？这个问题有时并不容易回答。在数据保护的背景下，当一个人失去对自己数据的控制时，不适感常常被作为索赔的理由。

欧洲法院过去已经对此表示批评。现在，欧洲法院在 C-687/21 号案件的判决中再次探讨了不良情绪是否会根据 GDPR 引起损害赔偿要求的问题。

对他不利的错误
从电子产品零售商处购买家用电器时出现问题固然是常有的事，但却是人之常情。在这种情况下，还存在数据保护组件。

一位买家想在 Saturn 分店购买家用电器。为此，他签订了一份购买和贷款协议。合同中的个人数据包括买家的姓名、地址、雇主名称、买家的收入和银行详细信息。

合同已打印、签署并转发至发货点。然而，那里的员工却不小心把文件递给了另一位挤到店前拿走文件的分行顾客。这个错误立即被注意到了，半小时后，Saturn 员工将文件交给了买家。

然而，原告担心错误的收件人可能会复印这些文件。他认为这可能会让他失去对个人数据的控制权，这让他感到不安。因此，他起诉土星公司并要求其赔偿损失——最初是在哈根地方法院。法院对于在具体案件中应如何解释GDPR存在疑问，并向欧洲法院提出了有关GDPR解释的问题。这还包括一个问题，即担心失去控制权（这可能导致未来数据被滥用）是否有权获得赔偿，即使错误的接收者没有注意到数据。

会、可以、本来会……
简而言之：欧洲法院表示，恐惧和不适还不够。原告必须证明损害的存在。未经授权的第三方滥用的纯粹假设风险不能导致赔偿。这里的风险是假设的，因为错误的接收者显然没有注意到数据，并且没有提供证据或至少没有提供未经授权的复制的迹象。

此外，欧洲法院还确认了其他判决中已经涉及的几个要点：

欧洲法院已确认，控制者必须根据第 6 条采取适当的技术和组织措施。 32 GDPR保护个人数据，奥地利商业传真列表 并且还必须提供这方面的证据。如果文件被错误地发布给未经授权的第三方，这可能是疏忽或缺乏组织。但是，员工错误地签发文件这一事实本身并不足以推定第 20 条规定的措施有效。 32 GDPR并不合适。

此外，欧洲法院指出，根据 GDPR 第 82 条提出的损害赔偿要求与监管机构实施的制裁不同，不具有惩罚功能，而是 补偿功能，旨在补偿所遭受的损害。

最后，控制者违反 GDPR 的严重性与损害赔偿要求无关。此外，索赔人必须证明违反了 GDPR，并且他们因违反该规定而遭受了损失。

结论
不适、理论上的可能性——这些都不能成为补偿的理由。任何人要求赔偿损失，必须提供造成损失的具体原因和证据。这将使得涉及集体诉讼的商业模式越来越缺乏吸引力。