Fragment 43-stronicowego wyroku
Schufa – Operatorzy telefonii komórkowej nie mogą przekazywać danych klientów (w szczególności również danych pozytywnych) firmie Schufa bez zgody, twierdzi Sąd Okręgowy w Monachium (LG Munich I z dnia 25 kwietnia 2023 r. (33 O 5976/22)).
Odszkodowanie za szkody? Wyrok Sądu Okręgowego w Monachium w sprawie ochrony danych i przekazywania danych klientów: wymagana jest wyraźna zgoda klienta, nawet w przypadku operatorów telefonii komórkowej na przekazywanie pozytywnych danych klientów z umów o świadczenie usług telefonii komórkowej – osoby poszkodowane mogą domagać się odszkodowania.
Ochrona danych jest święta – nawet pochwały nie mogą być zbierane.
W korzystnym orzeczeniu w zakresie prawa ochrony danych osobowych, Sąd Okręgowy w Monachium zdecydował, że dane klientów z umów o świadczenie usług telefonii komórkowej nie mogą być przekazywane firmie Schufa bez wyraźnej zgody. Wyrok ten ma istotne konsekwencje dla operatorów telefonii komórkowej w całych Niemczech, ponieważ ustanawia precedens, którego będą musieli przestrzegać w przyszłości.
Kontekst – umowa o świadczenie usług telefonii komórkowej zgłoszona do Schufa
Operatorzy telefonii komórkowej w Niemczech tradycyjnie przekazują dane klientów do Schufa przy zawieraniu umów. Dane te, znane jako dane pozytywne, zawierają informacje o umowie, osobie i inne istotne szczegóły. Ważne jest, aby dane te były zgłaszane do Schufa, nawet jeśli nie ma opóźnień w płatnościach lub zaległych długów. Obecna sprawa dotyczyła umowy z Telefonica Germany GmbH & Co. OHG – o2 Telefónica – jednym z największych operatorów telefonii komórkowej w Niemczech. Skutki prawne tego wyroku mają jednak zastosowanie do wszystkich operatorów telefonii komórkowej w Niemczech.
Pozew i wyrok
Centrum doradztwa konsumenckiego złożyło pozew przeciwko operatorowi telefonii komórkowej i wygrało przed Sądem Okręgowym w Monachium. Sąd orzekł, że samo zawarcie umowy i zgłoszenie tych pozytywnych danych do Schufa narusza ogólne rozporządzenie o ochronie danych (RODO). Operator telefonii komórkowej argumentował, że miał uzasadniony interes w zgłaszaniu tych danych w celu ochrony przed możliwymi oszustwami. Sąd uznał jednak, że ochrona konsumentów przed arbitralnym ujawnianiem danych przeważa nad interesem operatora w zwalczaniu oszustw.
Konsekwencje i odszkodowanie
Wyrok ten ma daleko idące konsekwencje dla operatorów telefonii komórkowej, ponieważ potwierdza, że ujawnienie pozytywnych danych bez zgody stanowi naruszenie ogólnego rozporządzenia o ochronie danych. Stanowi również, że osoby, których dane dotyczą, mają prawo domagać się odszkodowania za nieuprawnione przetwarzanie i zgłaszanie ich danych do Schufa. Każdy, kto uważa, że jego dane zostały naruszone, może sprawdzić swoje bezpłatne oświadczenie Schufa zgodnie z art. 15 RODO, które jest dostępne raz w roku na stronie internetowej Schufa. Jeśli umowy na telefony komórkowe są tam wymienione, mimo że nie ma opóźnień w płatnościach ani zaległych długów, oznacza to naruszenie ochrony danych. W takich przypadkach osoby poszkodowane mają prawo do odszkodowania. Niedawny wyrok Sądu Okręgowego w Monachium ustanowił precedens w prawie ochrony danych, zakazując operatorom telefonii komórkowej przekazywania danych klientów do Schufa bez wyraźnej zgody. Wyrok ten ma zastosowanie do wszystkich operatorów telefonii komórkowej w Niemczech i podkreśla znaczenie ochrony danych konsumentów przed arbitralnym przekazywaniem. Poszkodowani mogą domagać się odszkodowania za nieuprawnione przetwarzanie i ujawnianie ich danych. Ważne jest, aby konsumenci dowiedzieli się o swoich prawach i podjęli niezbędne kroki w celu ochrony swoich danych osobowych.
Jako prawnik, dr Thomas Schulte pomaga poszkodowanym usunąć wpisy Schufa i uzyskać odszkodowanie.
Przekazywanie danych i roszczenie o odszkodowanie
W przypadku przekazywania danych do agencji kredytowych, takich jak Schufa, często pojawia się kwestia dopuszczalności i konsekwencji ewentualnego naruszenia ochrony danych. Operatorzy telefonii komórkowej, tacy jak Vodafone lub Telekom, oraz inni partnerzy umowni przekazują dane osobowe klientów do Schufa, która wykorzystuje je do obliczenia tzw. wartości punktowej. Wynik ten jest wykorzystywany do oceny zdolności kredytowej danej osoby. Szczególnie kontrowersyjne jest przekazywanie tak zwanych danych pozytywnych, tj. informacji o zawarciu i realizacji umów, które nie mają negatywnego wpływu na zdolność kredytową danej osoby.
Ogólne rozporządzenie o ochronie danych (RODO) stanowi główną podstawę prawną regulującą przetwarzanie danych i zapewniającą ochronę praw osób, których dane dotyczą. Centralnym aspektem tego jest prawo do odszkodowania zgodnie z art. 82 RODO. Norma ta daje osobom, których dane dotyczą, prawo do odszkodowania w przypadku niezgodnego z prawem przetwarzania danych. Kwestia, czy i w jakich okolicznościach takie roszczenie może istnieć przeciwko Schufa, jest przedmiotem licznych orzeczeń, w tym decyzji Sądu Okręgowego w Monachium I i Sądu Okręgowego we Frankfurcie. Oba sądy uznały, że ujawnienie pozytywnych danych narusza w niektórych przypadkach RODO, a tym samym otwiera możliwość dochodzenia roszczeń odszkodowawczych.
RODO i roszczenia odszkodowawcze
Art. 82 RODO: Wymagania dotyczące roszczeń odszkodowawczych
Art. 82 RODO gwarantuje, że osoby, których dane dotyczą, mogą domagać się odszkodowania w przypadku naruszenia przepisów o ochronie danych. Dotyczy to zarówno szkód materialnych, jak i niematerialnych. Roszczenie wymaga istnienia czynnej i biernej legitymacji stron, naruszenia ochrony danych, szkody przyczynowej i winy po stronie podmiotu przetwarzającego dane.
Wymagania w szczegółach:
- Legitymacja czynna i bierna: Legitymacja czynna leży po stronie osób, których dane dotyczą, których prawa zostały naruszone w wyniku przetwarzania danych. Legitymacja bierna, tj. odpowiedzialność za naruszenie ochrony danych, spoczywa na podmiocie przetwarzającym dane, takim jak Schufa lub partner umowny przekazujący dane w tym przypadku.
- Naruszenie RODO: Naruszenie przepisów o ochronie danych osobowych zawartych w RODO jest warunkiem wstępnym roszczenia. Jeśli dane pozytywne są przekazywane bez odpowiedniej podstawy prawnej, sądy uznają, że doszło do takiego naruszenia.
- Szkoda: Szkoda może być zarówno materialna, jak i niematerialna, choć w praktyce często dochodzone są szkody niematerialne. Samo naruszenie ochrony danych nie jest wystarczające; wymagane są raczej konkretne dowody szkody.
- Przyczynowość i wina: Szkoda musi być przyczynowo związana z naruszeniem ochrony danych, a podmiot przetwarzający dane musiał zachować się w sposób zawiniony.
Art. 6 RODO: Uzasadnienie przekazania danych
Przekazywanie danych osobowych wymaga podstawy prawnej zgodnie z art. 6 ust. 1 RODO. Możliwe uzasadnienie zazwyczaj wynika z jednego z następujących warunków
- Zgoda osoby, której dane dotyczą, zgodnie z art. 6 ust. 1 lit. a RODO,
- Konieczność realizacji umowy zgodnie z art. 6 ust. 1 lit. b RODO,
- Uzasadniony interes podmiotu przetwarzającego dane zgodnie z art. 6 ust. 1 lit. f RODO.
W szczególności uzasadnienie „uzasadnionym interesem” jest często kontrowersyjne, ponieważ interesy podmiotu przetwarzającego dane i podstawowe prawa osoby, której dane dotyczą, muszą być wyważone względem siebie. Na przykład Konferencja Organów Nadzoru Ochrony Danych (DSK) orzekła, że przekazywanie danych pozytywnych bez zgody w umowach o świadczenie usług telefonii komórkowej nie jest uzasadnione prawnie uzasadnionym interesem. Inaczej sytuacja wygląda w przypadku przekazywania danych negatywnych (trudności płatnicze), których przekazanie jest co do zasady uzasadnione zgodnie z art. 6 ust. 1 lit. f RODO. W praktyce jednak sądy rozpatrują indywidualne przypadki, co oznacza, że nie zawsze jest możliwe wydanie ogólnego oświadczenia w sprawie dopuszczalności przekazania danych.
Decyzje sądowe dotyczące przekazywania danych do Schufa
Decyzja Sądu Okręgowego w Monachium I
Sąd Okręgowy w Monachium I (wyrok z dnia 25 kwietnia 2023 r., sygn. akt 33 O 5976/22) orzekł, że przekazywanie pozytywnych danych przez operatorów telefonii komórkowej do Schufa może naruszać RODO, jeśli nie ma wystarczającej podstawy prawnej. Sąd podkreślił, że istnieją łagodniejsze środki minimalizujące ryzyko, takie jak kontrole kredytowe z negatywnie istotnymi informacjami (np. zaległościami w płatnościach). W opinii sądu powszechne przekazywanie pozytywnych danych bez przyczyny stanowi nieproporcjonalną ingerencję w prawo do ochrony danych, a zatem stanowi przestępstwo w zakresie ochrony danych.
Decyzja Sądu Okręgowego we Frankfurcie
Sąd Okręgowy we Frankfurcie (wyrok z dnia 19 marca 2024 r., sprawa nr 2-10 O 691/23) również doszedł do wniosku w podobnej sprawie, że roszczenie odszkodowawcze istnieje przeciwko Schufa, jeżeli dane pozytywne zostały przekazane bez wystarczającej podstawy prawnej. W swoim wyroku sąd wskazał, że sama utrata kontroli nad danymi może stanowić szkodę, ale nie ma roszczenia o odszkodowanie bez udowodnienia konkretnej szkody niematerialnej. Trybunał wyjaśnił, że „rzeczywiste niedogodności”, takie jak stygmatyzacja, są również wymagane w przypadku szkód niematerialnych.
Europejski Trybunał Sprawiedliwości (ETS) w sprawie „Austrian Post”
W odniesieniu do szkód niematerialnych ETS orzekł, że samo naruszenie RODO nie jest wystarczające, ale należy udowodnić konkretne szkody.
Abstrakcyjna utrata kontroli bez możliwego do wykazania uszczerbku nie jest zatem wystarczająca. Orzecznictwo ETS podkreśla potrzebę wyważenia interesów podmiotu przetwarzającego dane z podstawowymi prawami osób, których dane dotyczą.
Wymagania dotyczące roszczenia o odszkodowanie
Szkody niematerialne
Art. 82 RODO nie przewiduje limitu de minimis dla szkód niematerialnych. ETS wyjaśnił jednak, że sama utrata kontroli nad własnymi danymi nie jest wystarczająca do uzasadnienia roszczenia o odszkodowanie. Osoba, której dane dotyczą, musi raczej konkretnie wykazać, w jaki sposób naruszenie ochrony danych miało na nią negatywny wpływ. Niemieckie orzecznictwo podąża za tą linią i wymaga dowodu rzeczywistego uszczerbku, który wykracza poza ogólne niezadowolenie lub irytację.
Ciężar dowodu i związek przyczynowy
Ciężar dowodu szkody spoczywa zasadniczo na stronie poszkodowanej. Musi ona wykazać, że naruszenie RODO spowodowało konkretną szkodę. Nie wystarczy po prostu wskazać na możliwe ryzyko lub utratę kontroli. Osoba, której dane dotyczą, musi wykazać, że na przykład wpis do bazy danych Schufa spowodował stygmatyzację lub uszczerbek ekonomiczny.
Obliczanie kwoty odszkodowania
Wysokość odszkodowania zależy od stopnia uszczerbku na zdrowiu. W sprawach takich jak bezprawne wpisy do bazy Schufa, niemieckie sądy mają tendencję do rekompensowania szkód niematerialnych niskimi kwotami rzędu kilkuset euro, pod warunkiem, że roszczenie o odszkodowanie w ogóle istnieje. Nie ma przepisu dotyczącego funkcji odstraszającej, takiej jak sankcja publicznoprawna na mocy art. 83 RODO.
Przykładowa konstelacja spraw
Konsument, Holger Meier z Monachium, zawiera umowę o korzystanie z telefonu komórkowego, która przewiduje przekazanie jego pozytywnych danych firmie Schufa. Później dowiaduje się, że jego informacje o zawarciu umowy i terminowym opłacaniu rachunków są przechowywane w firmie Schufa. Uważa to za nieuzasadnione naruszenie jego prywatności i wnosi pozew o odszkodowanie.
Sąd okręgowy bada, czy istnieje wystarczająca podstawa prawna do przekazania danych. Schufa argumentuje, że istnieje uzasadniony interes zgodnie z art. 6 ust. 1 lit. f RODO w celu zapobiegania potencjalnym oszustwom i prawidłowej oceny zdolności kredytowej klientów. Konsument podkreśla jednak, że utrata kontroli nad jego danymi spowodowała szkodę niematerialną. Sąd częściowo się z nim zgadza, ale stwierdza, że roszczenie o odszkodowanie jest niewielkie, ponieważ nie poniósł on żadnej widocznej szkody ekonomicznej.
W związku z tym nadal nie jest możliwe sformułowanie ogólnych stwierdzeń dotyczących istnienia roszczenia o odszkodowanie. Należy raczej dokładnie zbadać warunki art. 82 RODO. Osoby, których dane dotyczą, powinny skontaktować się w tej sprawie z prawnikiem.
W odniesieniu do przykładu, wynikałby z tego następujący schemat badania:
- Dane pana Meiera były przetwarzane przez firmę Schufa w postaci jego imienia i nazwiska oraz daty urodzenia. Oznacza to, że pan Meier posiada zarówno legitymację czynną, jak i bierną.
- Zgodnie z wyżej wymienionym poglądem w orzecznictwie nie ma również uzasadnienia w rozumieniu art. 6 RODO. Przetwarzanie danych jest zatem również niezgodne z prawem.
- Istnieje szkoda niematerialna, która musi zostać ustalona przez sąd w każdym indywidualnym przypadku.
- Istnieje związek przyczynowy między naruszeniem ochrony danych a szkodą. Schufa jest również za to odpowiedzialna.
Wniosek: Kiedy osoby poszkodowane mają prawo do odszkodowania od Schufa?
Prawnik dr Schulte wskazuje, że dochodzenie roszczeń odszkodowawczych przeciwko Schufa nie jest łatwe – ale jest możliwe. Decydujące znaczenie mają tutaj cztery ważne punkty: Roszczenie istnieje tylko wtedy, gdy osoba, której dane dotyczą, poniosła ewidentną szkodę w wyniku przetwarzania jej danych, a Schufa lub podmiot przetwarzający dane w sposób zawiniony naruszył ogólne rozporządzenie o ochronie danych (RODO). Ponadto należy udowodnić konkretne szkody, które wykraczają poza zwykłą utratę kontroli.
Stwierdzenie szkód niematerialnych jest szczególnie trudne – uogólnione irytacje zwykle nie są wystarczające. Osoby, których dane dotyczą, powinny dokładnie przeanalizować uzasadnienie firmy Schufa, a w razie wątpliwości zwrócić się o pomoc prawną w celu spełnienia złożonych wymogów dotyczących roszczenia o odszkodowanie na podstawie art. 82 RODO.