Stuttgart’i kõrgem ringkonnakohus (Oberlandsgericht Stuttgart) asus 31.03.2021.a tehtud otsuses seisukohale, et GDPR artikli 5 lõike 2 põhimõttest, mille kohaselt vastutav töötleja peab tõendama isikuandmete töötlemise nõuete järgimist (nn. accountability ehk tõendamisvalmidus) ning artikli 82 lõikest 1 (õigus hüvitisele) ei tulene siiski nn. pööratud tõendamiskohustust, mis kohustaks vastutavat töötlejat tsiviilkohtumenetluses kostjana tõendama, et ta ei ole oma kohustusi rikkunud.

Kohus leidis, et GDPR ei muuda üldist põhimõtet, mille järgi hagejal on tõendamiskohustus näidata kohustuse rikkumist kostja poolt, ja et ka EL õigus ei sisalda tsiviilkohtumenetluse tõendamiskohustuse osas erireegleid. Hageja peab kahju hüvitamise nõudmisel tõendama hagi aluseks olevaid asjaolusid.

Kohtuasja aluseks oli Mastercard’i kliendiprogrammiga liitnud hageja, kes nõudis hüvitist selle eest, et tema isikuandmed olid häkkeri poolt programmist varastatud ning hiljem veebis avalikustatud.

Hageja väitis, et kostja järelikult ei rakendanud tema isikuandmete kaitseks seega GDPR artiklis 32 nõutud asjakohaseid tehnilisi ja organisatsioonilisi turvameetmeid ja soovis hüvitist.

Küsimus keerles selle ümber, kas hagejal on õigus hüvitisele GDPR artikli 82 lõike 1 tähenduses ning kas artikli 82 lõige 3 sätestab tõendamiskohustuse ümberpööramise selliselt, et vastutav töötleja peaks tõendama, et ta pole GDPR reegleid rikkunud.

Artikli 82 lõige 3 sätestab, et vastutav töötleja või volitatud töötleja vabastatakse vastutusest, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

Kohus möönis, et vastavalt artikli 82 lõikele 1 on igal varalise või mittevaralise kahju kannatajal  õigus saada vastutava töötleja poolt tekitatud kahju eest hüvitist. Samas peab tuvastama, et tekkinud kahju tuleneb, mitte ei ole vaid pelgalt seostatav isikuandmete töötlemistoiminguga, mille käigus GDPR rikkumine toimus.

Antud juhtumil kohus vastutava töötleja poolset kohustuste rikkumist ei sedastanud, sest hageja ei suutnud kohtule tõendada, et vastutav töötleja ei olnud rakendanud GDPR artiklis 32 nõutud asjakohaseid tehnilisi ja organisatoorseid meetmeid.

Kohus käsitles asja üksikasjalikult seetõttu, et kostja väitel võimaldab GDPR andmesubjektil privaatsusnõuete võimalikule eiramisele üksnes umbkaudselt viidata ja kostjal lasuks selletõttu GDPR artikli 5 lõikes 2 sätestatud vastutuspõhimõtte kohaselt kohustus näidata, et rikkumist ei ole toimunud.

Kohus asus seisukohale, et vastutuspõhimõte – nii nagu see on sätestatud GDPR artikli 5 lõikes 2 ja artikli 24 lõikes 1 – reguleerib vastutava töötleja tõendamiskoormust andmekaitse järelevalveasutuse (Eestis – AKI) ees, aga mitte kahju hüvitamise hagi menetlemisel tsiviilkohtus.