Zijn class actions over gegevensbescherming the next big thing? (Eubelius)

Auteurs: Ignace Claeys, Anneleen Van de Meulebroucke en Cameron Brichart (Eubelius)

Enkele recente ontwikkelingen suggereren dat class actions over gegevensbescherming aan populariteit winnen in de EU, net zoals ze dat al zijn in andere delen van de wereld. Een class action is een procedureel mechanisme dat een groep van individuen of entiteiten de mogelijkheid biedt om hun gelijkaardige individuele vorderingen te bundelen in één procedure. In de EU zijn dergelijke procedures relatief zeldzaam, zeker in vergelijking met hun wijdverspreide toepassing in bijvoorbeeld de VS. Toch dreigt de complementariteit van class actions en het gegevensbeschermingsrecht, in combinatie met activistische organisaties die bereid zijn dergelijke procedures op te starten, ondernemingen het nodige hoofdbreken te bezorgen.

In de EU worden class actions “representatieve vorderingen” genoemd. Het gemeenschappelijke kader daarvoor is de Richtlijn Representatieve Vorderingen (“Richtlijn”). De Richtlijn beoogt consumenten in staat te stellen hun collectieve belangen te beschermen door representatieve vorderingen. Het toepassingsgebied van de Richtlijn is evenwel beperkt. Enkel erkende organisaties, zogenaamde groepsvertegenwoordigers, mogen dergelijke vorderingen instellen. Bovendien is een representatieve vordering slechts mogelijk in geval van vermeende contractuele inbreuken of schendingen van specifieke wetgeving, zoals MiFID II of de Algemene Verordening Gegevensbescherming (“AVG”). De Richtlijn heeft voorlopig dan ook nog geen aanleiding gegeven tot een aanzienlijke toename van het aantal class actions, behalve in lidstaten waar dergelijke procedures reeds gangbaar waren, zoals Nederland en Portugal. In België wordt het beperkte “succes” ervan doorgaans toegeschreven aan een gebrek aan financiering en aan financiële incentives voor groepsvertegenwoordigers om representatieve vorderingen in te stellen. In het domein van de gegevensbescherming lijken representatieve vorderingen echter wél voet aan de grond te krijgen.

Gegevensbeschermingsorganisaties laten zich gelden met representatieve vorderingen

Kort na de omzetting van de Richtlijn in België, in oktober 2024, stelde de Nederlandse vzw Stichting Onderzoek Marktinformatie (“SOMI”) bij de Belgische rechtbanken een representatieve vordering in tegen TikTok, wegens structurele schendingen van het consumenten- en gegevensbeschermingsrecht, in het bijzonder ten aanzien van minderjarigen. De Belgische TikTok-zaak maakt deel uit van een grotere actie van SOMI, dat ook soortgelijke procedures opstartte in Nederland en Duitsland, met een gezamenlijke schadeclaim van tientallen miljarden euro’s.

SOMI zal vermoedelijk niet de enige organisatie zijn die de naleving van het gegevensbeschermingsrecht met representatieve vorderingen zal proberen af te dwingen. Op 14 mei jongstleden maakte noyb, een Oostenrijkse niet-gouvernementele organisatie mede opgericht door privacy-activist Max Schrems, bekend dat het een ingebrekestelling heeft gestuurd naar Meta. De ingebrekestelling van noyb kwam er nadat Meta had aangekondigd dat het vanaf 27 mei persoonsgegevens van Europese Instagram- en Facebookgebruikers zou gebruiken om zijn nieuwe AI-systemen te trainen. noyb dreigde in zijn ingebrekestelling met stakingsvorderingen en zelfs schadevergoedingsprocedures als Meta niet van dat plan zou afstappen. De kans is klein dat dit voor noyb een alleenstaand geval zal blijven. Max Schrems heeft immers al meermaals de meerwaarde van representatieve vorderingen benadrukt als middel voor het afdwingen van gegevensbeschermingsrechten.

Gegevensbescherming en representatieve vorderingen: een perfect huwelijk?

De groeiende populariteit van representatieve vorderingen in het gegevensbeschermingsrecht lijkt het gevolg van hun complementaire aard. Gegevensbeschermingsinbreuken raken vaak grote groepen personen die als gevolg van de inbreuk een gelijkaardige schade lijden, wat een kernvereiste is voor het welslagen van representatieve vorderingen. Een representatieve vordering biedt potentiële schadelijders dan de mogelijkheid om hun individuele vorderingen te bundelen in één procedure. Deze gecentraliseerde procedure verlaagt de procedurele risico’s en kosten voor de potentiële benadeelden aanzienlijk, in het bijzonder omdat de procedurekosten in principe volledig worden gedragen door de groepsvertegenwoordiger. Het gevolg is dat individuele claims, die doorgaans niet zouden worden ingesteld omdat de kosten ervan de potentiële opbrengst zouden overstijgen, via een representatieve vordering alsnog tot een kunnen procedure leiden.

Het gegevensbeschermingsrecht lijkt, in tegenstelling tot andere rechtsdomeinen, minder gehinderd te worden door de financiële drempels die representatieve vorderingen doorgaans met zich meebrengen. De Richtlijn verbiedt weliswaar dat individuele groepsleden bijdragen aan de proceskosten, zodat het financiële risico volledig bij de groepsvertegenwoordiger komt te liggen. Gegevensbeschermingsorganisaties zoals SOMI en noyb worden evenwel vaak gefinancierd via giften, waardoor zij niet afhankelijk zijn van de uitkomst van de procedure om hun kosten te dekken. Die financiële onafhankelijkheid stelt hen in staat om assertiever op te treden, wat de handhaving van gegevensbeschermingsrechten binnen de EU ingrijpend kan veranderen.

Wat brengt de toekomst?

Representatieve vorderingen zouden wel eens kunnen uitgroeien tot een gangbare handhavingsmethode in het gegevensbeschermingsrecht binnen de EU, al valt hun daadwerkelijke impact voorlopig nog af te wachten. Het wordt dan ook cruciaal om op te volgen hoe groepsvertegenwoordigers en rechters met deze procedures zullen omgaan. In afwachting daarvan blijft een sterk compliancebeleid de meest doeltreffende manier voor ondernemingen om het risico op gegevensbeschermingsprocedures te beperken.

Bron: Eubelius