Dansk GDPR-dom kan føre til store ændringer i vurderingen af økonomiske erstatninger: Virksomheder risikerer store bøder

Østre Landsret har netop tilkendt erstatning efter et databrud i en sag, der kan ændre praksis for erstatning efter GDPR.

Artikel top billede

(Foto: Katrin Bolovtsova/Pexels)

En ny dom fra Østre Landsret kan skabe rystelser i GDPR-landskabet.

"Ny dansk dom kan ændre praksis for erstatning efter GDPR," skriver Datatilsynet i en udmelding om dommen.

Sagen omhandler, at et ægtepar har sagsøgt Hillerød Kommune med det formål om godtgørelse og immateriel skade, da kommunen ved en aktindsigt har videregivet oplysninger om de to personer til den ene persons tidligere ægtefælde.

Det drejer sig blandt andet om oplysninger om, at den ene part lider af bipolar lidelse samt informationer om den ene parts ansøgning om økonomisk støtte til et efterskoleophold for sit barn.

Landsretten fandt, at udleveringen af helbredsoplysninger var en overtrædelse af GDPR’s artikel 9, og at dette havde påført en immateriel skade. Derfor får den forurettede 2.500 kroner i erstatning, men dette beløb er blot en lille del af sagens betydning.

Det er dog kun delingen af helbredsoplysninger og ikke de økonomiske forhold, der har kastet en afgørelse om økonomisk erstatning af sig.

Et nybrud

Dommen er blevet anket til Højesteret, hvor ægteparret vil forsøge at få erstatningen forøget og også prøve at få erstatning for delingen af økonomiske oplysninger, og hvis Højesteret ender med at give erstatning, som landsretten netop har besluttet, kan det betyde et nybrud inden for danske GDPR-erstatninger.

Det er nemlig i dag sådan, at krav om erstatning, hvor der ikke direkte har været et økonomisk tab for parten, skal vurderes ud fra erstatningsansvarsloven.

Retten har generelt krævet en 'kvalificeret skadevirkning', hvilket betyder, at en borger ikke kan få erstatning blot ved en krænkelse af GDPR, men at det kræver en mere alvorlig og mærkbar effekt på den forurettede. Men dette kan nu ændre sig, så det bliver langt lettere at få erstatning for GDPR-brud.

Der har nemlig tidligere været eksempler, hvor erstatning er blevet afvist.

"Et eksempel herpå er Østre Landsrets dom af 11. maj 2021, hvor 7 borgere søgte erstatning for en kommunes overtrædelse af databeskyttelsesforordningen. Retten afviste erstatning med den begrundelse, at bruddet – sammenholdt med arten og karakteren af oplysningerne – ikke havde medført en skade af en sådan karakter, at der kunne gives erstatning," skriver Datatilsynet.

Hvis afgørelsen stadfæstes eller måske endda ender med en større erstatning, vil det betyde, at der kommer præcedens for at uddele GDPR-erstatninger. Det betyder, at det får stor betydning for borgeres muligheder for at få disse erstatninger, og at mange virksomheder og organisationer vil være i større risiko for at skulle betale dem ved GDPR-brud.

Det er ikke de 2.500 kroner i denne sag, som er af stor betydning, men det kan betyde, at borgere kan gå sammen om større søgsmål eller, at der pludselig er mange GDPR-sager, hvor der skal betales erstatning efter forordningens artikel 82, som omhandler erstatningsansvar.

"Afgørelsen fra august kan, hvis den stadfæstes i Højesteret, blive et nybrud i dansk ret. Erstatningen på 2.500 kroner er et mindre beløb, men hvis tusindvis af borgere vælger at anlægge sag i forbindelse med samme brud – eksempelvis via gruppesøgsmål – kan konsekvenserne for virksomheder og myndigheder blive omfattende," skriver Datatilsynet.

Event: Årets CISO 2026

Sikkerhed | Kongens Lyngby

Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

22 oktober 2026 | Gratis deltagelse

Netcompany A/S

IT Consultant

Københavnsområdet

PlanBørnefonden

Full Stack Developer

Københavnsområdet

Zealand – Sjællands Erhvervsakademi S/I

Erfaren IT-projektleder med stærk teknisk indsigt

Region Sjælland

Navnenyt fra it-Danmark

Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S

Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

Jakob Dirksen

GlobalConnect

Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse