Selvom en arbejdsgiver ulovligt trængte ind på en ekskones eBay-konto, må beviserne bruges i retten. EU-Domstolen fastslår, at den frie bevisbedømmelse ofte vejer tungere end strenge GDPR-regler.
En arbejdsgiver skaffede sig ulovligt adgang til en ekskones private eBay-konto for at bevise tyveri, og EU-Domstolen fastslår nu, at de ulovligt indhentede digitale beviser alligevel kan bruges i retten. Samtidig underkendes rutinemæssige afvisninger af GDPR-klager, og Pressenævnet tillader et medie at afsløre identiteten på en ellers anonymiseret klager.
Konflikten mellem retten til privatliv og retsmaskineriets praktiske behov trækkes skarpt op i den aktuelle retspraksis. Spørgsmålet er ikke længere kun, om data er indsamlet lovligt, men hvad konsekvensen af en ulovlig databehandling egentlig skal være, når beviserne ligger på dommerens bord.
EU Domstolen godkender brug af ulovligt indhentede beviser
I en principiel sag fra Tyskland (C-484/24) skulle EU-Domstolen tage stilling til et klassisk dilemma i civilprocessen: Må en domstol bruge personoplysninger som bevis, når den ene part har indhentet disse data i direkte strid med databeskyttelsesforordningen (GDPR)?
Baggrunden for sagen
Sagen udspringer af en konflikt mellem en klimateknikvirksomhed og en tidligere medarbejder, der tillige havde været gift med virksomhedens direktør. Efter deres separation fik virksomheden mistanke om, at kvinden solgte virksomhedens ejendom via sin private eBay-konto. For at bevise dette skaffede virksomheden sig adgang til hendes konto, angiveligt ved at anmelde hendes firmamobil som bortkommet, bestille et nyt SIM-kort og derigennem ændre hendes adgangskode.
Fri bevisbedømmelse kontra GDPR
Selvom indsamlingen af disse data højst sandsynligt var ulovlig, slog EU-Domstolen fast, at GDPR ikke per automatik forbyder domstole at tillade sådanne beviser. Domstolen fremhævede, at retten til en retfærdig rettergang og principperne for fri bevisbedømmelse vejer tungt:
"disse bestemmelser og dette princip ikke er til hinder for, at en national domstol anvender bevismateriale, der indeholder personoplysninger, som er indsamlet i strid med retten til beskyttelse af privatlivets fred og retten til beskyttelse af personoplysninger af den part, der har fremsendt oplysningerne til den nationale domstol"
Domstolen præciserede dog, at domstolene fortsat er forpligtede til at overholde GDPR-princippet om "dataminimering". Det betyder, at der kun må føres bevis for de oplysninger, der er strengt nødvendige for at oplyse den konkrete sag. Hvis beviserne indeholder overflødige persondata, skal retten overveje at foretage pseudonymisering eller anonymisering, før dokumenterne indgår i sagens akter [1].
Datatilsyn må ikke afvise klager på grund af verserende retssager
En anden ny EU-dom (C-414/24) tager fat på problematikken omkring parallelle sager om databeskyttelse.
Afvisning af klage underkendt
En østrigsk læge havde anmodet en onlineplatform om at slette hendes personoplysninger. Da platformen nægtede, anlagde hun først et civilt søgsmål ved domstolene og indgav derefter en formel klage til det østrigske datatilsyn over præcis samme forhold.
Datatilsynet afviste imidlertid rutinemæssigt klagen med den begrundelse, at der allerede verserede en retssag om spørgsmålet, og at man ville undgå modstridende afgørelser.
Dobbelt retsbeskyttelsessystem
EU-Domstolen underkender nu denne praksis fuldstændigt. Domstolen slår fast, at GDPR netop er bygget op om et dobbelt retsbeskyttelsessystem, hvor de registrerede borgere har ret til at benytte flere uafhængige retsmidler samtidigt.
I dommen udtaler EU-Domstolen skarpt om de nationale tilsynsmyndigheders forpligtelser:
"Det ville imidlertid være i strid med samme forpligtelse at fratage en registreret, der er berørt af en behandling af personoplysninger, muligheden for at benytte sig af en sådan beskyttelsesmekanisme ved at tillade, at tilsynsmyndigheden afviser vedkommendes klage alene med den begrundelse, at der tidligere er anlagt et søgsmål"
Hvis et datatilsyn frygter at træffe en afgørelse, der strider imod en civil domstol, har tilsynet mulighed for at udsætte sagsbehandlingen, mens retssagen pågår – men borgerens klage må aldrig blot afvises [2].
Pressenævnet tillader navngivning af anonymiseret klager
Spændingsfeltet mellem beskyttelse af identitet og offentlighedens interesse har også været til bedømmelse i Danmark.
Konflikten om navngivning
I en kendelse fra Pressenævnet var omdrejningspunktet fagbladet Journalisten, som i en artikel havde valgt at navngive en person, der ellers var blevet fuldt ud anonymiseret i en tidligere afgørelse fra selvsamme Pressenævn.
Klageren argumenterede for, at det var en krænkelse af privatlivets fred, at Journalisten offentliggjorde hans fulde navn, når nævnet netop havde truffet beslutning om at pseudonymisere ham i den offentligt tilgængelige database for at beskytte hans data.
Pressenævnets afgørelse og medieansvarsloven
Pressenævnet frifandt imidlertid Journalisten. Nævnet sondrer skarpt mellem deres egne strenge forpligtelser under databeskyttelseslovgivningen, hvor de optræder som offentlig myndighed, og mediernes udvidede frihed under Medieansvarsloven § 34. Da klageren i forvejen var en offentligt kendt provokunstner og debattør, og da sagens kerne handlede om mediet Politikens ret til at betegne ham som "højreradikal", vurderede nævnet, at sagen havde en så væsentlig almen interesse, at det var lovligt for Journalisten at de-anonymisere ham.
Tværnationale krænkelser kræver fastlæggelse af interessecentrum
Den digitale virkelighed betyder ofte, at rettigheder krænkes på tværs af landegrænser og medieplatforme.
Sag om ærekrænkelser i tv-serie
EU-Domstolen har netop samme uge (C-232/25) taget stilling til en sag, hvor polske krigsveteraner sagsøgte tyske tv-producere for ærekrænkelser i en tv-serie, der blev streamet og udsendt i adskillige EU-lande.
Afgørelse om interessecentrum
Her fastslog EU-Domstolen, at det afgørende for valg af værneting – altså i hvilket land retssagen overhovedet kan anlægges – er, hvor sagsøgerne har deres "interessecentrum". Fordi seriens skildring havde en særlig historisk og kulturel gennemslagskraft i Polen, og sagsøgerne residerede der, kunne de polske domstole lovligt behandle kravet om erstatning for de skader, der var forvoldt i samtlige medlemsstater. Denne afklaring er et centralt redskab for borgere, der rammes af internationalt distribuerede krænkelser [3].
Oversigt over principper for IT og databeskyttelse
For at give et overblik over de retsprincipper, der fastlægges i ugens praksis, kan sagerne kategoriseres således:
| Sag | Instans | Hovedprincip for digital jura |
|---|---|---|
| C-484/24 | EU-Domstolen | Ulovligt indhentede digitale beviser (hacks/snageri) kan bruges i civile retssager, hvis princippet om dataminimering overholdes af retten. |
| C-414/24 | EU-Domstolen | Borgere kan forfølge GDPR-brud via både domstole og datatilsyn samtidigt. Tilsyn kan udsætte sagsbehandlingen, men må ikke afvise klagen. |
| W20260958825 | Pressenævnet | Nyhedsmedier kan tilsidesætte offentlige myndigheders GDPR-anonymisering af parter, hvis der foreligger en væsentlig almen interesse. |
| C-232/25 | EU-Domstolen | Digitale krænkelser af personlighedsrettigheder spredt over hele EU kan sagsøges ét samlet sted: Dér, hvor offeret har sit interessecentrum. |
En pragmatisk tendens i retspraksis
Udviklingen på tværs af de forskellige instanser bekræfter en pragmatisk tendens: Persondataretten og de stramme GDPR-regler udgør ikke en absolut uigennemtrængelig mur, men indgår i en konstant afvejning over for fundamentale institutioner – hvad enten det drejer sig om det civilretlige systems behov for sandhedssøgning, borgernes adgang til klageinstanser, eller den frie presses ret til at informere offentligheden.
Konkurrence- og Forbrugerstyrelsen
