Dansk GDPR-dom kan føre til store ændringer i vurderingen af økonomiske erstatninger: Virksomheder risikerer store bøder

Østre Landsret har netop tilkendt erstatning efter et databrud i en sag, der kan ændre praksis for erstatning efter GDPR.

Artikel top billede

(Foto: Katrin Bolovtsova/Pexels)

En ny dom fra Østre Landsret kan skabe rystelser i GDPR-landskabet.

"Ny dansk dom kan ændre praksis for erstatning efter GDPR," skriver Datatilsynet i en udmelding om dommen.

Sagen omhandler, at et ægtepar har sagsøgt Hillerød Kommune med det formål om godtgørelse og immateriel skade, da kommunen ved en aktindsigt har videregivet oplysninger om de to personer til den ene persons tidligere ægtefælde.

Det drejer sig blandt andet om oplysninger om, at den ene part lider af bipolar lidelse samt informationer om den ene parts ansøgning om økonomisk støtte til et efterskoleophold for sit barn.

Landsretten fandt, at udleveringen af helbredsoplysninger var en overtrædelse af GDPR’s artikel 9, og at dette havde påført en immateriel skade. Derfor får den forurettede 2.500 kroner i erstatning, men dette beløb er blot en lille del af sagens betydning.

Det er dog kun delingen af helbredsoplysninger og ikke de økonomiske forhold, der har kastet en afgørelse om økonomisk erstatning af sig.

Et nybrud

Dommen er blevet anket til Højesteret, hvor ægteparret vil forsøge at få erstatningen forøget og også prøve at få erstatning for delingen af økonomiske oplysninger, og hvis Højesteret ender med at give erstatning, som landsretten netop har besluttet, kan det betyde et nybrud inden for danske GDPR-erstatninger.

Det er nemlig i dag sådan, at krav om erstatning, hvor der ikke direkte har været et økonomisk tab for parten, skal vurderes ud fra erstatningsansvarsloven.

Retten har generelt krævet en 'kvalificeret skadevirkning', hvilket betyder, at en borger ikke kan få erstatning blot ved en krænkelse af GDPR, men at det kræver en mere alvorlig og mærkbar effekt på den forurettede. Men dette kan nu ændre sig, så det bliver langt lettere at få erstatning for GDPR-brud.

Der har nemlig tidligere været eksempler, hvor erstatning er blevet afvist.

"Et eksempel herpå er Østre Landsrets dom af 11. maj 2021, hvor 7 borgere søgte erstatning for en kommunes overtrædelse af databeskyttelsesforordningen. Retten afviste erstatning med den begrundelse, at bruddet – sammenholdt med arten og karakteren af oplysningerne – ikke havde medført en skade af en sådan karakter, at der kunne gives erstatning," skriver Datatilsynet.

Hvis afgørelsen stadfæstes eller måske endda ender med en større erstatning, vil det betyde, at der kommer præcedens for at uddele GDPR-erstatninger. Det betyder, at det får stor betydning for borgeres muligheder for at få disse erstatninger, og at mange virksomheder og organisationer vil være i større risiko for at skulle betale dem ved GDPR-brud.

Det er ikke de 2.500 kroner i denne sag, som er af stor betydning, men det kan betyde, at borgere kan gå sammen om større søgsmål eller, at der pludselig er mange GDPR-sager, hvor der skal betales erstatning efter forordningens artikel 82, som omhandler erstatningsansvar.

"Afgørelsen fra august kan, hvis den stadfæstes i Højesteret, blive et nybrud i dansk ret. Erstatningen på 2.500 kroner er et mindre beløb, men hvis tusindvis af borgere vælger at anlægge sag i forbindelse med samme brud – eksempelvis via gruppesøgsmål – kan konsekvenserne for virksomheder og myndigheder blive omfattende," skriver Datatilsynet.

Læses lige nu

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics