Dansk GDPR-dom kan føre til store ændringer i vurderingen af økonomiske erstatninger: Virksomheder risikerer store bøder

Østre Landsret har netop tilkendt erstatning efter et databrud i en sag, der kan ændre praksis for erstatning efter GDPR.

Artikel top billede

(Foto: Katrin Bolovtsova/Pexels)

En ny dom fra Østre Landsret kan skabe rystelser i GDPR-landskabet.

"Ny dansk dom kan ændre praksis for erstatning efter GDPR," skriver Datatilsynet i en udmelding om dommen.

Sagen omhandler, at et ægtepar har sagsøgt Hillerød Kommune med det formål om godtgørelse og immateriel skade, da kommunen ved en aktindsigt har videregivet oplysninger om de to personer til den ene persons tidligere ægtefælde.

Det drejer sig blandt andet om oplysninger om, at den ene part lider af bipolar lidelse samt informationer om den ene parts ansøgning om økonomisk støtte til et efterskoleophold for sit barn.

Landsretten fandt, at udleveringen af helbredsoplysninger var en overtrædelse af GDPR’s artikel 9, og at dette havde påført en immateriel skade. Derfor får den forurettede 2.500 kroner i erstatning, men dette beløb er blot en lille del af sagens betydning.

Det er dog kun delingen af helbredsoplysninger og ikke de økonomiske forhold, der har kastet en afgørelse om økonomisk erstatning af sig.

Et nybrud

Dommen er blevet anket til Højesteret, hvor ægteparret vil forsøge at få erstatningen forøget og også prøve at få erstatning for delingen af økonomiske oplysninger, og hvis Højesteret ender med at give erstatning, som landsretten netop har besluttet, kan det betyde et nybrud inden for danske GDPR-erstatninger.

Det er nemlig i dag sådan, at krav om erstatning, hvor der ikke direkte har været et økonomisk tab for parten, skal vurderes ud fra erstatningsansvarsloven.

Retten har generelt krævet en 'kvalificeret skadevirkning', hvilket betyder, at en borger ikke kan få erstatning blot ved en krænkelse af GDPR, men at det kræver en mere alvorlig og mærkbar effekt på den forurettede. Men dette kan nu ændre sig, så det bliver langt lettere at få erstatning for GDPR-brud.

Der har nemlig tidligere været eksempler, hvor erstatning er blevet afvist.

"Et eksempel herpå er Østre Landsrets dom af 11. maj 2021, hvor 7 borgere søgte erstatning for en kommunes overtrædelse af databeskyttelsesforordningen. Retten afviste erstatning med den begrundelse, at bruddet – sammenholdt med arten og karakteren af oplysningerne – ikke havde medført en skade af en sådan karakter, at der kunne gives erstatning," skriver Datatilsynet.

Hvis afgørelsen stadfæstes eller måske endda ender med en større erstatning, vil det betyde, at der kommer præcedens for at uddele GDPR-erstatninger. Det betyder, at det får stor betydning for borgeres muligheder for at få disse erstatninger, og at mange virksomheder og organisationer vil være i større risiko for at skulle betale dem ved GDPR-brud.

Det er ikke de 2.500 kroner i denne sag, som er af stor betydning, men det kan betyde, at borgere kan gå sammen om større søgsmål eller, at der pludselig er mange GDPR-sager, hvor der skal betales erstatning efter forordningens artikel 82, som omhandler erstatningsansvar.

"Afgørelsen fra august kan, hvis den stadfæstes i Højesteret, blive et nybrud i dansk ret. Erstatningen på 2.500 kroner er et mindre beløb, men hvis tusindvis af borgere vælger at anlægge sag i forbindelse med samme brud – eksempelvis via gruppesøgsmål – kan konsekvenserne for virksomheder og myndigheder blive omfattende," skriver Datatilsynet.

Forsvarsministeriets Materiel- og Indkøbsstyrelse

IT-ansvarlig / System Manager til Applikationsforvaltning i Cyberdivisionen

Københavnsområdet

PensionDanmark

Projektleder

Københavnsområdet

Navnenyt fra it-Danmark

Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura

SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

Plamena Cherneva

SAP SuccessFactors Partner Pentos

Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job