In een vonnis van de rechtbank Rotterdam van 13 november 2024 in de zaak van Stichting Data Bescherming Nederland tegen Amazon.com en Europese dochterbedrijven staat in punt 6.26 een nogal ingewikkelde formulering. Vertaald in eenvoudiger Nederlands luidt de kwestie:

De AVG laat belangengroepen optreden voor gebruikers, maar expliciete opdracht voor schadeclaims is onduidelijk. De Nederlandse wet (WAMCA) staat dergelijke acties toe zonder opdracht, wat vragen oproept over de afstemming op de EU-regels.

Mag een land extra regels stellen voor belangenorganisaties die namens mensen zaken willen aanspannen over de AVG? In artikel 80, lid 1 van de AVG staan voorwaarden voor belangenorganisaties. Mag een land daarbovenop extra regels maken over wie een zaak mag beginnen?

Mag de  WAMCA, een Nederlandse wet gebaseerd op een Europese richtlijn over collectieve rechtszaken, dus extra voorwaarden stellen aan claimstichtingen volgens artikel 80 lid 1 AVG? Kan die stichting zonder expliciete opdracht van burgers een zaak beginnen?

Maakt het uit dat mensen later kunnen kiezen om al dan niet mee te doen? Het is overigens een nogal theoretische vraag, want iedereen wil wel ‘ff vanguh’ als de actie van een claimstichting slaagt, in dit geval wanneer Amazon een boete wordt opgelegd.

Zwenne voorzag de vragen aan EU-hof

In zijn keynote tijdens het Nationale Privacy Congres van 8 november 2024 stelde professor Gerrit-Jan Zwenne van de Universiteit Leiden al te verwachten dat een Nederlandse rechter hierover advies zou vragen aan het Hof in Luxemburg. Zwenne ziet in de Nederlandse vertaling van art. 80 GDPR, de AVG, zowel opt-in als opt-out

Opt-in: “De betrokkene [burger] heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk […] opdracht te geven de klacht namens hem in te dienen, namens en… namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen…”

Opt-out: “De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging…over het recht beschikt om onafhankelijk van de opdracht van een betrokkene [burger] in die lidstaat klacht in te dienen…”

Verschillende vonnissen

De kwestie sleept al jaren, bijvoorbeeld in de zaak van stichting The Privacy Collective jegens Oracle en Salesforce. De Amerikaanse bedrijven die volgens TPC de cookieregels massaal overtraden, voeren aan dat de stichting niet bevoegd is om schadevergoeding te vorderen wegens de gestelde schending van de AVG, omdat zij daartoe geen opdracht heeft ontvangen van de betrokken internetgebruikers. TPC bestreed dit. In het vonnis van de rechtbank Amsterdam, waarin TPC niet-ontvankelijk werd verklaard - wordt over dit onderwerp geen uitsluitsel gegeven.

Er kan ook sprake zijn van een vertaalfout van de GDPR naar de AVG, en dan is de vraag welke van de twee geldt. De rechtbank Amsterdam stelde dat in een vonnis van oktober 2023 in een zaak van Stichting Somi tegen TikTok: “De Nederlandse wetgever heeft er dus uitdrukkelijk voor gekozen om vorderingen tot schadevergoeding op grond van artikel 82 lid 1 AVG mogelijk te maken voor WAMCA-belangenorganisaties, die onafhankelijk van de opdracht van (maar wel ten behoeve van) van de betrokkenen optreden.”

En het gerechtshof Amsterdam opperde in juni 2024 dat er wellicht vragen gesteld moeten worden over de precieze verhouding tussen AVG en WAMCA, in een vonnis van september 2024, beide in de zaak van The Privacy Collective versus Salesforce en Oracle.

Nu de lagere rechtbank Rotterdam deze vragen wezenlijk stelt, betekent dat de claimzaken nog jaren in beslag zullen nemen. Tijdens genoemd congres zei de advocaat van Oracle en Salesforce - Geert Potjewijd van De Brauw - dat het in totaal wellicht zelfs 15 jaar zal duren voordat er, tot en met de Hoge Raad, uitsluitsel is over de eisen van de claimstichtingen. Die worden ondertussen op kosten gejaagd en de vraag is of de private financiers, mocht er geen uitzicht zijn op flinke winst in geld, dat nog willen betalen.

Geen schadevergoeding of enorme bedrag?

Het is overigens de vraag of er geld gebeurd kan worden in een massaclaim. Recent kwam winnaar van de scriptieprijs van de Vereniging Privacyjuristen tot de conclusie dat massaclaims voor schadevergoeding in strijd met de AVG zijn.

Echter, Simon Hania wijst in een LinkedIn-post op een vonnis van het Duitse Federale Hof van Justitie (BGH) dat de juist wel de weg vrijmaakt voor het toekennen van massale schadevergoeding, in een tegen zaak tegen Meta om een datalek in 2018-2019. De zaak behelst persoonsgegevens van 530 miljoen Meta-deelnemers wereldwijd.

Schadevergoeding behoeft geen financieel verlies, immateriële schade volstaat. De rechtbank suggereerde 100 euro per gebruiker. Dat zou op 53 miljard euro in totaal uitkomen. Niet enkel is dit op zich - Meta behaalde in 2023 een omzet van 135 miljard dollar en een nettowinst van 40 miljard – dit zou een precedent scheppen waarbij heel Silicon Valley kan omvallen vanwege onwettig gebruik van data en datalekken.