Uitspraak
vonnis
RECHTBANK GELDERLAND
Team kanton en handelsrecht
Zittingsplaats Arnhem
zaaknummer / rolnummer: C/05/416554 / HA ZA 23-114
Vonnis in verzet van 23 augustus 2023
in de zaak van
[eiser],
wonende te [woonplaats] ,
eiser in conventie,
verweerder in reconventie,
gedaagde in het verzet,
advocaat mr. B.C. van Bekkum te Amsterdam,
tegen
de besloten vennootschap met beperkte aansprakelijkheid
[gedaagde],
gevestigd te [vestigingsplaats] ,
gedaagde in conventie,
eiseres in reconventie,
eiseres in het verzet,
advocaat mr. S.J. Bruins Slot te Zaltbommel.
Partijen zullen hierna [eiser] en [gedaagde] genoemd worden.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- het tussenvonnis van 19 april 2023
- het proces-verbaal van mondelinge behandeling van 12 juli 2023.
1.2.
Ten slotte is vonnis bepaald.
2.De kern van de zaak en van de beslissing
2.1.
Deze zaak gaat over de gevolgen van een verkooptransactie tussen partijen met betrekking tot een auto, waarbij [eiser] als klant van autobedrijf [gedaagde] een deel van de koopprijs voor een auto heeft betaald op de door [gedaagde] aangewezen bankrekening. Een ander, veel groter deel van de koopprijs heeft [eiser] betaald op een Duitse bankrekening die achteraf blijkt toe te behoren aan een kwaadwillende derde. Die derde heeft via een hack toegang gekregen tot het e-mailaccount van [gedaagde] en heeft aan [eiser] per e-mail een valse betaalinstructie gestuurd. Mogelijk heeft de kwaadwillende derde ook toegang gekregen tot kopieën van onder andere het paspoort van [eiser] . [gedaagde] vindt dat [eiser] hem niet volledig heeft betaald voor de auto en heeft uiteindelijk de koopovereenkomst ontbonden. Partijen strijden over de financiële en juridische gevolgen van deze gebeurtenissen, onder meer over de vraag voor wiens rekening het moet komen dat het geld niet is terechtgekomen op de bankrekening van [gedaagde] maar op die van de fraudeur/hacker. [eiser] heeft van [gedaagde] een bedrag gevorderd, als materiële schadevergoeding wegens een inbreuk op de algemene verordening gegevensbescherming (AVG) dan wel op grond van een verplichting tot terugbetaling van de koopprijs. Ook vordert hij vergoeding van immateriële schade wegens schending van de AVG; hij stelt namelijk dat [gedaagde] onvoldoende heeft gedaan om zijn persoonsgegevens te beschermen en dat hij daardoor geestelijk letsel heeft opgelopen.
2.2.
De rechtbank heeft de vorderingen van [eiser] in een eerder (verstek)vonnis volledig toegewezen, omdat [gedaagde] aanvankelijk niet in de procedure was verschenen en geen verweer had gevoerd. In deze (verzet)procedure voert [gedaagde] alsnog verweer en komt de rechtbank tot het oordeel dat de vorderingen van [eiser] bijna volledig moeten worden afgewezen. De vordering van [gedaagde] tot terugbetaling aan haar van het bedrag dat zij ingevolge het verstekvonnis al aan [eiser] had betaald, wordt daarom (vrijwel geheel) toegewezen.
3.De feiten
3.1.
[eiser] heeft de Australische nationaliteit en woont en werkt in Nederland. Hij is van beroep software developer en is in die hoedanigheid onder meer werkzaam geweest voor Google en Microsoft. [gedaagde] is een autobedrijf dat zich bezig houdt met onderhoud en verkoop van BMW en MINI occasions en wordt gedreven door haar directeur-grootaandeelhouder en diens schoonzoon, de heer [naam 1] (hierna: [naam 1] ).
3.2.
Op 4 juli 2022 informeert [eiser] via een online contactformulier op de website www.autoscout24.nl naar de beschikbaarheid van een door [gedaagde] te koop aangeboden BMW I3 (hiena: de auto). De door [eiser] op de website achtergelaten contactgegevens (naam, e-mailadres en telefoonnummer) worden automatisch per e-mail doorgeleid naar [gedaagde] . Na telefonisch contact komen partijen overeen dat [eiser] de auto koopt voor
€ 27.900,00.
3.3.
Partijen voeren verder per e-mail (in het Engels, omdat [eiser] het Nederlands niet beheerst) overleg over de datum en locatie van levering van de auto en over de betaling, waarbij [naam 1] steeds namens [gedaagde] het contact met [eiser] onderhoudt.
3.4.
[gedaagde] vraagt [eiser] per e-mail van 5 juli 2022 om een aanbetaling van
€ 1.000,00 over te maken op haar in die e-mail vermelde rekeningnummer bij een Nederlandse bank. [eiser] voldoet aan dat verzoek.
3.5.
In verband met de te wijzigen tenaamstelling van de auto bij de RDW, die niet op afstand kan worden geregeld als [eiser] geen Nederlands paspoort of rijbewijs heeft, vraagt [gedaagde] in dezelfde e-mail:
“Do you have a Dutch driver’s license or passport in connection with the registration?”
In reactie daarop stuurt [eiser] [gedaagde] per e-mail kopieën van zijn (Australische) paspoort, zijn verblijfsvergunning en een uittreksel uit de gemeentelijke basisadministratie.
3.6.
Op 6 juli 2022 stuurt [gedaagde] [eiser] per e-mail een factuur voor de volledige koopprijs van de auto. Op de factuur staat dezelfde bankrekening (naam en nummer) vermeld als in de eerder verzonden e-mail over de aanbetaling.
3.7.
Op 7 juli 2022 laat [eiser] per e-mail aan [gedaagde] weten dat hij nog wacht op akkoord van de bank voor een lening ter financiering van de auto, maar dat hij de koopprijs wel vast kan voldoen, en partijen spreken af dat [eiser] de auto op dinsdag 12 of woensdag 13 juli 2022 zal komen ophalen bij [gedaagde] . [gedaagde] laat aan [eiser] weten dat zij geen contante betalingen accepteert maar alleen bancaire betalingen.
3.8.
Per e-mail van 7 juli 2022 schrijft [gedaagde] het volgende:
“ok fine when do you expect to make the remaining payment?”.[eiser] reageert daarop met
“I can make payment at any time”, maar doet nog geen betaling. Per e-mail van 11 juli 2022 9.30u schrijft [gedaagde] aan [eiser] :
“ok fine when do you expect to make the remaining payment?”.[eiser] reageert daarop met
“I can make payment at any time”, maar doet nog geen betaling. Per e-mail van 11 juli 2022 9.30u schrijft [gedaagde] aan [eiser] :
“Hi [naam 2] ,
if you come to pick up the car tomorrow I would like to receive payment today, what time suits you best? let me know.”
3.9.
Op 11 juli 2022 om 11.13u wordt vanaf het e-mailadres van [gedaagde] een e-mail verzonden aan [eiser] met de volgende tekst:
“Hello [naam 2] ,
Please transfer the rest of the amount to:
Account Name: [gedaagde]
IBAN: DE31 1101 0101 55034157 97 – BIC: SOBKDEB2XXX
After you make the transfer send me the confirmation.
Please let me know if you will come tomorrow or Wednesday morning and what time suits you best”.
Enkele minuten later, om 11.20u, antwoordt [eiser] :
“Thanks. Will do. It will be transferred after 3pm today.
I would like to collect the car on Tuesday morning, please.
Thanks!”
Om 11.43 wordt daar vanaf het e-mailadres van [gedaagde] als volgt op gereageerd:
“okay see you tomorrow then [naam 2] , around 10 am something like that?”,
Waarop [eiser] reageert met:
“Yes, that would be great. I might struggle to get there (don’t really know how). So I might be a bit late. But I’ll aim for 10am.”
3.10.
Op maandag 11 juli 2022 om 16.14u e-mailt [eiser] aan [gedaagde] :
“Money has been transferred.
See attached receipt.”
Als bijlage is een afbeelding van een tekst bijgevoegd waarin een afschrijving van
€ 26.900,-- wordt vermeld naar het Duitse bankrekeningnummer dat is genoemd in de hiervoor onder 3.9. geciteerde e-mail.
3.11.
Vanaf het e-mailadres van [gedaagde] wordt daarop dezelfde dag om 16.18u gereageerd met een bericht waarin [eiser] wordt bedankt voor de betalingsbevestiging. Later die dag wordt vanaf het e-mailadres van [gedaagde] aan [eiser] meegedeeld dat [naam 1] wegens een persoonlijk probleem de volgende dag tot 16.00 uur niet aanwezig kan zijn om de auto over te dragen en wordt [eiser] voorgesteld de auto na 16.00 uur of de volgende dag (woensdag) op te halen. Onderaan de vanaf het e-mailadres van [gedaagde] verstuurde e-mails staan steeds de naam en functie van [naam 1] .
3.12.
Na nog enige communicatie per e-mail tussen partijen over het aankomsttijdstip arriveert [eiser] op woensdag 13 juli 2022 per trein op het station van Geldermalsen, waar hij volgens afspraak door [naam 1] wordt afgehaald. Tijdens de autorit naar het bedrijf van [gedaagde] merkt [naam 1] op dat het restant van de koopprijs nog niet is betaald. [eiser] antwoordt daarop dat hij wel heeft betaald en toont de hiervoor onder 3.9. en 3.11. geciteerde e-mails. [naam 1] deelt mee dat hij de e-mail van 11 juli 2022 met de betaalinstructie en het Duitse bankrekeningnummer niet kent en niet heeft verstuurd. [naam 1] belt dan in bijzijn van [eiser] achtereenvolgens de ICT-provider van [gedaagde] , de politie en zijn schoonvader, de directeur-eigenaar van [gedaagde] . [eiser] belt zijn bank om de situatie te melden.
3.13.
[naam 1] deelt mee dat hij de auto niet zonder volledige betaling aan [eiser] kan leveren, maar geeft hem wel een leenauto mee (hierna: de leenauto), zodat [eiser] vervoer heeft terwijl de kwestie wordt uitgezocht.
3.14.
[gedaagde] doet vervolgens onderzoek naar de gang van zaken rond de e-mails en de betaalinstructie en beide partijen doen aangifte bij de politie. Onder meer uit de informatie die [gedaagde] via haar ICT-provider Autosociaal heeft ontvangen is het volgende gebleken en tussen partijen komen vast te staan. Op 11 juli 2022 heeft een hacker of “aanvaller”, die het is gelukt om in te loggen op het e-mailaccount van [gedaagde] , uit naam van [gedaagde] de hiervoor onder 3.9. geciteerde e-mail van 11.13u verstuurd met daarin de betaalinstructie en de gegevens van de Duitse bankrekening, die niet toebehoort aan [gedaagde] maar aan de aanvaller. Alle hiervoor onder 3.9. en 3.11. genoemde e-mails die vanaf het e-mailadres van [gedaagde] zijn verstuurd, zijn geschreven door de aanvaller zonder dat [gedaagde] en [eiser] daarvan op de hoogte waren. Om geen argwaan te wekken bij [gedaagde] heeft de aanvaller de bewuste verzonden e-mails verwijderd uit de mailbox van [gedaagde] . Om in de periode waarin [eiser] de betaling zou uitvoeren het gesprek op gang te houden heeft de aanvaller gebruik gemaakt van “e-mailspoofing”. Hij heeft een nieuw e-mailadres aangemaakt dat erg lijkt op het e-mailadres van [eiser] (er ontbreekt één letter in het adres) en via dat e-mailadres de communicatie met [gedaagde] op gang gehouden om de transactie te verhullen, waarbij onderaan de e-mails aan [gedaagde] nog steeds de naam “ [naam 2] [eiser] ” staat.
3.15.
Vanaf 14 juli discussiëren partijen, aanvankelijk zelf via Whatsapp en later bij monde van hun advocaten, over de (juridische) gevolgen van het voorval. Daarbij stelt [eiser] zich aanvankelijk op het standpunt dat [gedaagde] de auto aan hem moet leveren (zonder dat hij een nadere betaling aan [gedaagde] hoeft te doen) omdat hij aan zijn betalingsverplichting jegens [gedaagde] heeft voldaan. [gedaagde] stelt zich op het standpunt dat [eiser] de koopsom niet (volledig) aan haar heeft voldaan en dat zij de auto dus niet hoeft te leveren.
3.16.
Per e-mail van 2 september 2022 van haar advocaat deelt [gedaagde] (de advocaat van) [eiser] mee dat, indien [eiser] de auto geleverd wil krijgen, hij conform de overeenkomst het restant van de koopprijs zal moeten voldoen op de bankrekening van [gedaagde] die is vermeld op de factuur. Dat doet [eiser] niet. Per e-mail van haar advocaat van 16 september 2022 ontbindt [gedaagde] vervolgens de koopovereenkomst. Daarbij stelt zij dat [eiser] slechts een aanbetaling heeft gedaan, die als gevolg van de ontbinding door [gedaagde] ongedaan zal moeten worden gemaakt. [gedaagde] verzoekt [eiser] om teruggave van de leenauto en deelt mee dat zij de nakoming van haar ongedaanmakingsverplichting opschort totdat de leenauto door [eiser] zal zijn geretourneerd.
3.17.
De leenauto is inmiddels weer door [eiser] ingeleverd bij [gedaagde] . [eiser] heeft met de leenauto verkeersovertredingen begaan die hebben geresulteerd in boetes ten bedrage van in totaal € 499,00. Deze boetes zijn opgelegd aan [gedaagde] en zijn door [gedaagde] betaald. In de hiervoor genoemde e-mail van haar advocaat van 16 september 2022 staat dat [gedaagde] haar vordering op [eiser] in verband met de boetes verrekent met haar ongedaanmakingsverbintenis met betrekking tot de aanbetaling van € 1.000,00.
3.18.
Bij brief van 22 september 2022 bevestigt de advocaat van [eiser] dat hij de ontbindingsverklaring heeft ontvangen en begrepen, en deelt hij mee dat de kwestie daarmee niet is afgedaan omdat [eiser] substantiële schade heeft geleden als gevolg van de hack.
3.19.
[eiser] heeft in verband met het voorval een klacht ingediend bij de Autoriteit Persoonsgegevens (AP), waarbij hij melding heeft gemaakt van een datalek bij [gedaagde] .
3.20.
Het is partijen niet gelukt tot een regeling buiten rechte te komen.
3.21.
[gedaagde] heeft ter voldoening aan het in deze procedure gewezen verstekvonnis (zie hierna onder 4.1. en 4.2.) een bedrag van totaal € 36.494,05 aan [eiser] betaald.
4.Het geschil in conventie en in reconventie
4.1.
[eiser] heeft in de verstekprocedure gevorderd, samengevat, dat de rechtbank bij uitvoerbaar bij voorraad te verklaren vonnis [gedaagde] zal veroordelen tot betaling van een bedrag van € 27.900,00 en een bedrag van € 5.000,00, alsmede tot vergoeding van
€ 1.054,00 aan buitengerechtelijke incassokosten, met veroordeling van [gedaagde] in de proceskosten en nakosten.
4.2.
Bij het verstekvonnis zijn de vorderingen van [eiser] integraal toegewezen en is [gedaagde] veroordeeld in de proceskosten, aan de zijde van [eiser] tot de dag van de uitspraak begroot op in totaal € 2.153,18, en in de nakosten.
4.3.
[gedaagde] vordert in het verzet in conventie (samengevat) dat het verstekvonnis wordt vernietigd, dat de vorderingen van [eiser] alsnog worden afgewezen en dat [eiser] wordt veroordeeld in de proceskosten.
In reconventie vordert zij de veroordeling van [eiser] tot (terug)betaling van het door haar ter uitvoering van het verstekvonnis betaalde bedrag van € 36.494,05, vermeerderd met rente en kosten.
4.4.
[eiser] voert verweer.
4.5.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
5.De beoordeling in conventie en in reconventie
5.1.
Het verzet is tijdig en op de juiste wijze ingesteld, zodat [gedaagde] in zoverre in haar verzet kan worden ontvangen.
5.2.
Tussen de vorderingen in conventie en in reconventie bestaat een nauwe samenhang; daarom zal de rechtbank deze vorderingen gezamenlijk beoordelen.
5.3.
In conventie moeten de vorderingen van [eiser] alsnog worden afgewezen, voor zover ze strekken tot betaling door [gedaagde] aan [eiser] van meer dan een bedrag van
€ 501,00. De rechtbank komt tot dit oordeel op grond van het volgende.
De vordering tot betaling van € 27.900,00 – ongedaanmakingsverplichting?
5.4.
[eiser] vordert onder meer de betaling van een bedrag van € 27.900,00. Daaraan legt hij primair ten grondslag dat [gedaagde] heeft gehandeld in strijd met Verordening (EU) 2016/679, de algemene verordening gegevensbescherming (hierna: de AVG) en dat [gedaagde] de schade die hij als gevolg daarvan heeft geleden dient te vergoeden op grond van artikel 82 AVG. Subsidiair stelt [eiser] zich op het standpunt dat [gedaagde] gehouden is tot schadevergoeding wegens een jegens hem gepleegde onrechtmatige daad. Meer subsidiair legt hij aan zijn vordering ten grondslag dat [gedaagde] het bovengenoemde bedrag aan hem moet betalen uit hoofde van een ongedaanmakingsverplichting, omdat de koopovereenkomst door [gedaagde] is ontbonden.
5.5.
De rechtbank zal eerst de meest subsidiaire grondslag van deze vordering (een ongedaanmakingsverplichting aan de zijde van [gedaagde] ) beoordelen. Die grondslag ligt namelijk het meest voor de hand, omdat partijen het erover eens zijn dat de koopovereenkomst met betrekking tot de auto is ontbonden en dat [eiser] daarom recht heeft op terugbetaling van de door hem aan [gedaagde] betaalde koopprijs. Daaruit volgt al dat [eiser] in ieder geval recht heeft op terugbetaling van het aanvankelijk door hem aanbetaalde bedrag van € 1.000,--, echter wel verminderd met het door [gedaagde] verrekende bedrag van de met de leenauto veroorzaakte verkeersboetes van € 499,00.
Die verrekenvordering is door [eiser] namelijk niet (gemotiveerd) betwist.
5.6.
Het geschil tussen partijen spitst zich toe op de vraag of het resterende gedeelte van de koopprijs, het bedrag van € 26.900,00, door [eiser] (bevrijdend) is betaald aan [gedaagde] . [eiser] stelt dat dit het geval is, omdat hij dat bedrag heeft overgemaakt naar het hiervoor onder 3.9. genoemde Duitse bankrekeningnummer (hierna ook genoemd: de Duitse bankrekening) en er daarbij, gelet op de vanaf het e-mailadres van [gedaagde] verzonden e-mail met betaalinstructie, vanuit mocht gaan dat hij betaalde aan [gedaagde] . Dat het geld op de verkeerde bankrekening terecht is gekomen moet volgens [eiser] voor rekening van [gedaagde] komen, omdat hij de verklaring in de e-mail van 11 juli 2022 om 11.20 uur (de e-mail met de betaalinstructie en het nummer van de Duitse bankrekening) voor echt mocht houden en omdat de verklaring in die e-mail aan [gedaagde] moet worden toegerekend. De feitelijke gang van zaken gaf voor hem geen enkele aanleiding om te veronderstellen dat de door de aanvaller verzonden e-mails niet van [gedaagde] afkomstig waren en (dus) ook niet om extra te controleren of het opgegeven bankrekeningnummer wel juist was, aldus [eiser] .
5.7.
[gedaagde] stelt zich op het standpunt dat het restant van de koopprijs niet aan haar is betaald. Zij voert daartoe aan dat het de verantwoordelijkheid van [eiser] was dat diens betaling haar daadwerkelijk zou bereiken en dat het aan diens onoplettendheid en onterechte gebrek aan argwaan is te wijten dat dat niet is gebeurd. In een geval van digitale factuurfraude als dit brengt de uit de jurisprudentie van de Hoge Raad af te leiden hoofdregel mee dat [gedaagde] zich erop kan beroepen dat de e-mail met de betalingsinstructie niet van haar afkomstig is. Er doen zich geen omstandigheden voor die een uitzondering op die hoofdregel rechtvaardigen, aldus [gedaagde] . Verder wijst [gedaagde] erop dat, indien [eiser] bevrijdend zou hebben betaald, zij niet de bevoegdheid tot ontbinding van de koopovereenkomst zou hebben gehad, de overeenkomst dus niet als ontbonden zou hebben te gelden en op haar geen ongedaanmakingsverplichting zou rusten. Overigens betwist [gedaagde] ook (bij gebrek aan wetenschap) dat het geld daadwerkelijk naar de Duitse bankrekening is overgemaakt.
5.8.
De rechtbank overweegt hierover als volgt. Of [eiser] de resterende koopsom daadwerkelijk heeft overgemaakt naar de Duitse bankrekening is in deze procedure nog niet komen vast te staan, gelet op de betwisting door [gedaagde] en het feit dat de hiervoor onder 3.10. genoemde bijlage bij de e-mail van [eiser] van 11 juli 2022 naar het oordeel van de rechtbank nog geen bewijs oplevert van die betaling. Het antwoord op die vraag kan echter in het midden blijven omdat, zoals hierna zal blijken, dit deel van de vordering van [eiser] reeds om andere redenen niet voor toewijzing in aanmerking komt. Bewijslevering met betrekking tot de betaling is daarom niet nodig en de rechtbank zal bij de verdere beoordeling veronderstellenderwijs ervan uitgaan dat [eiser] de restant koopprijs inderdaad heeft overgemaakt op de Duitse bankrekening.
5.9.
[gedaagde] heeft er terecht op gewezen dat de betaling van een geldsom een zogenaamde brengschuld is, hetgeen betekent dat het geld moest worden overgemaakt op het door [gedaagde] (in een e-mail en in de factuur) aangewezen rekeningnummer (artikel 6:116 BW). Het standpunt van [eiser] komt er op neer dat hij (ook) de Duitse bankrekening van de aanvaller, die is vermeld in de (valse) betalingsinstructie van
11 juli 2022, redelijkerwijs mocht beschouwen als een door [gedaagde] aangewezen bankrekening én dat dat misverstand, gelet op de door hem aangevoerde omstandigheden en de door hem gestelde gebrekkige ICT-beveiliging bij [gedaagde] , aan [gedaagde] moet worden toegerekend.
De rechtbank deelt dat standpunt van [eiser] niet. Daartoe is het volgende van belang.
5.10.
Uit de jurisprudentie van de Hoge Raad [1] volgt voor gevallen van een (digitale) valse betaalinstructie als hier aan de orde het volgende. Wanneer iemand (hier: de aanvaller) door zich valselijk als een ander (hier: [gedaagde] ) voor te doen iets voor die ander verklaart - in deze zaak het aanwijzen van een bankrekening voor betaling - kan die ander zich tegen degene tot wie de verklaring is gericht (in dit geval [eiser] ), erop beroepen dat de verklaring niet van hem afkomstig is, ook wanneer de geadresseerde heeft aangenomen en redelijkerwijze mocht aannemen dat de verklaring wel van die ander afkomstig was. Dat is de hoofdregel, waarop [gedaagde] zich beroept. Op die hoofdregel bestaat ook een uitzondering: Uit het beginsel dat ten grondslag ligt aan de art. 3:35 BW, 3:36 BW, 3:61 lid 2 BW en art. 6:147 BW vloeit namelijk voort dat dit onder omstandigheden anders kan zijn. Deze omstandigheden moeten dan wel van dien aard zijn dat zij rechtvaardigen dat aan degene voor wie valselijk iets is verklaard, geheel of ten dele wordt toegerekend dat geadresseerde de verklaring voor echt heeft gehouden en redelijkerwijze mocht houden. Bij deze beoordeling inzake de toerekening kan onder meer een rol spelen in hoeverre partijen adequate voorzorgsmaatregelen hebben genomen om te voorkomen dat een derde in staat is zich voor een van hen uit te geven. In verband daarmee mag in voorkomend geval van partijen worden verwacht dat zij uiteenzetten welke inspanningen zij zich hebben getroost om te achterhalen op welke wijze de derde zich valselijk als een van hen heeft kunnen voordoen en wat deze inspanningen hebben opgeleverd.
5.11.
Ervan uitgaande dat [eiser] de valse betalingsinstructie van de aanvaller voor echt heeft gehouden (en heeft opgevolgd door de restant koopprijs over te maken op de Duitse bankrekening) oordeelt de rechtbank, tegen de achtergrond van de onder 5.10. genoemde hoofdregel en uitzondering en alle specifieke omstandigheden van dit geval afwegende, als volgt over de toerekening. Voor zover [eiser] de valse betaalinstructie al redelijkerwijs voor echt heeft mogen houden (hetgeen naar het oordeel van de rechtbank ook voor discussie vatbaar is maar hier in het midden kan blijven) zijn de door [eiser] aangevoerde omstandigheden niet van dien aard dat zij rechtvaardigen dat dit voor echt houden van de valse betaalinstructie geheel of gedeeltelijk aan [gedaagde] moet worden toegerekend.
5.12.
Het feit dat de e-mail met de valse betaalinstructie is verzonden vanaf het mailadres van [gedaagde] , via welk adres tussen partijen een e-mailcorrespondentie gaande was over de levering en betaling van de auto, neemt naar het oordeel van de rechtbank niet weg dat van [eiser] een normale mate van oplettendheid en voorzichtigheid mocht worden verwacht. [2] [eiser] voert in dit verband aan dat er al eerder per e-mail een betaalinstructie was gegeven door [gedaagde] en stelt dat de valse e-mail “naadloos past in de tijdlijn/communicatie tot op dat moment”. De rechtbank volgt [eiser] niet in die redeneringen. Daartoe is in de eerste plaats van belang dat [gedaagde] reeds, op een gangbare en niet mis te verstane wijze, een andere bankrekening voor betaling van de (restant)koopsom had aangewezen door het toezenden aan [eiser] van een factuur waarin die bankrekening werd vermeld. Van enige dubbelzinnigheid of onduidelijkheid rond die aanwijzing is geen sprake. Als daarbij nog in aanmerking wordt genomen dat [eiser] ook al eerder op diezelfde, door [gedaagde] per e-mail aangewezen bankrekening een aanbetaling had gedaan, zodat (zelfs ongeacht of hij de factuur heeft bekeken alvorens te betalen, hetgeen wel op zijn weg had gelegen) het bankrekeningnummer van [gedaagde] bij hem bekend mag worden verondersteld, dan had het feit dat er zo abrupt, zonder enige aankondiging of verklaring, een andere bankrekening als betaaladres werd aangewezen bij [eiser] de nodige argwaan moeten wekken of op zijn minst de vraag hebben moeten doen rijzen
waaromhet betaaladres ineens en zonder verklaring werd aangepast. Het feit dat er al eerder een betaaladres per e-mail was aangewezen kan niet afdoen aan de redelijkerwijs in acht te nemen oplettendheid indien, zoals hier, het “nieuwe” betaaladres overduidelijk afwijkt van het eerdere betaaladres. Daar komt nog bij dat de “nieuwe” bankrekening een rekening bij een buitenlandse bank betrof, terwijl geen feiten zijn gesteld of gebleken op grond waarvan [eiser] mocht aannemen dat de onderneming van [gedaagde] , een kleinschalig autobedrijf dat niet in de grensregio is gevestigd, van dien aard was dat het aanhouden van een buitenlandse bankrekening (naast de reeds bekende Nederlandse bankrekening) voor de hand lag. Anders dan door [eiser] is betoogd volgt uit het enkele feit dat [gedaagde] occasions verkoopt van een Duits automerk niet dat het hanteren van een buitenlandse bankrekening voor betalingen van klanten meer dan gebruikelijk voor de hand zou liggen. [eiser] heeft in dit verband gesteld dat vanwege het Europese grensoverschrijdende goederen- en dienstenverkeer het hanteren van een buitenlands rekeningnummer tegenwoordig “niet meer weg te denken” zou zijn. Dat [gedaagde] daadwerkelijk grensoverschrijdend zaken doet of richting [eiser] die indruk heeft gemaakt is echter gesteld noch gebleken.
waaromhet betaaladres ineens en zonder verklaring werd aangepast. Het feit dat er al eerder een betaaladres per e-mail was aangewezen kan niet afdoen aan de redelijkerwijs in acht te nemen oplettendheid indien, zoals hier, het “nieuwe” betaaladres overduidelijk afwijkt van het eerdere betaaladres. Daar komt nog bij dat de “nieuwe” bankrekening een rekening bij een buitenlandse bank betrof, terwijl geen feiten zijn gesteld of gebleken op grond waarvan [eiser] mocht aannemen dat de onderneming van [gedaagde] , een kleinschalig autobedrijf dat niet in de grensregio is gevestigd, van dien aard was dat het aanhouden van een buitenlandse bankrekening (naast de reeds bekende Nederlandse bankrekening) voor de hand lag. Anders dan door [eiser] is betoogd volgt uit het enkele feit dat [gedaagde] occasions verkoopt van een Duits automerk niet dat het hanteren van een buitenlandse bankrekening voor betalingen van klanten meer dan gebruikelijk voor de hand zou liggen. [eiser] heeft in dit verband gesteld dat vanwege het Europese grensoverschrijdende goederen- en dienstenverkeer het hanteren van een buitenlands rekeningnummer tegenwoordig “niet meer weg te denken” zou zijn. Dat [gedaagde] daadwerkelijk grensoverschrijdend zaken doet of richting [eiser] die indruk heeft gemaakt is echter gesteld noch gebleken.
5.13.
Dat de valse e-mailberichten ook [gedaagde] zelf niet zijn opgevallen is in dit verband, anders dan [eiser] stelt, ook niet veelzeggend. Het is immers komen vast te staan dat de valse e-mailberichten door de aanvaller uit de mailbox van [gedaagde] zijn verwijderd en pas later, na het aan het licht komen van de fraude, uit de server zijn opgediept. [gedaagde] heeft ze destijds dus niet onder ogen gekregen. De rechtbank heeft er oog voor dat de aanvaller wat betreft de timing, het refereren aan de ophaalafspraak en de aanspreekvorm in de valse
e-mails van 11 juli 2022 vrij geraffineerd te werk is gegaan, maar dat neemt niet weg dat er voor het opgeven van een van de factuur en eerdere betaalinstructie afwijkende Duitse bankrekening geen enkele toelichting of verklaring is gegeven in de bewuste valse e-mail. Dat had voor [eiser] aanleiding moeten zijn om op zijn minst bij [gedaagde] te infomeren of het bankrekeningnummer in afwijking van de factuur wel juist was. Dat de fraude dan niet aan het licht zou zijn gekomen is gesteld noch gebleken.
5.14.
[eiser] heeft als reden voor het toepassen van een uitzondering op de hiervoor besproken hoofdregel verder nog aangevoerd dat [gedaagde] onvoldoende heeft gedaan om haar ICT-systemen te beveiligen tegen het hacken van haar e-mailaccount. Dit is door [gedaagde] gemotiveerd betwist. De rechtbank is om te beginnen – anders dan [eiser] kennelijk bepleit – van oordeel dat uit het enkele feit dat kwaadwillende derden zich toegang hebben weten te verschaffen tot het e-mailaccount van [gedaagde] niet volgt dat [gedaagde] in verwijtbare mate is tekortgeschoten in de beveiliging van haar systemen. Immers, ook bij de meest optimale beveiliging zal helaas niet volledig uit te sluiten zijn dat technisch (zeer) bekwame kwaadwillenden zich toegang verschaffen. Daarbij komt dat niet iedere (eventuele) nalatigheid bij de beveiliging van het ICT-systeem van degene voor wie als gevolg van een hack valselijk iets is verklaard reeds een uitzondering op de hoofdregel inzake de toerekening rechtvaardigt. Dat [gedaagde] haar systemen – in de woorden van [eiser] – slechts zou hebben beveiligd met “standaard tooling van detectieve maatregelen om een netwerk te scannen” en dat er een (nog) hogere mate van beveiliging mogelijk was geweest maakt, wat daarvan ook zij, niet dat de vergissing van [eiser] in de hiervoor geschetste omstandigheden aan [gedaagde] moet worden toegerekend, ook niet ten dele.
5.15.
Aan het feit dat [eiser] de auto in de hoedanigheid van consument heeft gekocht komt, anders dan hij heeft betoogd, in dit kader geen bijzonder belang toe. Dit geldt alleen al omdat [eiser] ook als consument, en te meer gelet op zijn beroep en jarenlange ervaring als software engineer, geacht mag worden op zijn minst bekend te zijn met de mogelijkheid dat een e-mailaccount door kwaadwillende hackers wordt aangevallen en gecompromitteerd voor doeleinden zoals de hier gepleegde fraude. Dat de door de Hoge Raad geformuleerde hoofdregel niet zou gelden voor consumenten blijkt bovendien nergens uit.
5.16.
De rechtbank merkt volledigheidshalve nog op dat de e-mailcommunicatie die nog heeft plaatsgevonden nadat [eiser] de betaling op de Duitse bankrekening had gedaan – en de vraag of en zo ja wanneer [eiser] en/of [gedaagde] naar aanleiding daarvan, dus al eerder dan bij het ophalen van de auto, hadden moeten beseffen dat er sprake was van een valse betaalinstructie - in dit geval niet relevant is. Partijen hebben zich er namelijk niet over uitgelaten of de betaling op de Duitse bankrekening op dat moment nog gestorneerd of anderszins ongedaan gemaakt had kunnen worden. Gesteld noch gebleken is dus dat de ontdekking van de valse betaalinstructie spoedig na het doen van de betaling tot een andere (financiële) uitkomst zou hebben geleid.
5.17.
Ten overvloede wijst de rechtbank er nog op dat het standpunt van [eiser] dat hij bevrijdend heeft betaald aan [gedaagde] zich ook slecht verdraagt met, ten eerste, zijn ondubbelzinnige erkenning van de ontbinding van de koopovereenkomst door [gedaagde] , die [eiser] zelf aan zijn beroep op een ongedaanmakingsverplichting ten grondslag legt. Een andere ontbindingsgrond aan de zijde van [gedaagde] dan niet-nakoming door [eiser] van diens betalingsverplichting is namelijk gesteld noch gebleken. Het standpunt van [eiser] inzake de bevrijdende betaling van de gehele koopsom verdraagt zich ook niet met zijn stelling dat hij als gevolg van de gestelde schending van de AVG door [gedaagde] schade heeft geleden in de vorm van het “verlies” van het bedrag van € 26.900,--. Zoals [gedaagde] terecht heeft opgemerkt zou [eiser] in geval van bevrijdende betaling aan [gedaagde] een afdwingbare vordering tot levering van de auto hebben gehad en zou er van een verlies ter grootte van dat bedrag dus geen sprake (hoeven te) zijn.
5.18.
Het voorgaande leidt tot de conclusie dat het bedrag van € 26.900,00 door [eiser] niet bevrijdend aan [gedaagde] is betaald en dat de vordering tot betaling van een bedrag van € 27.900,00 dus slechts voor het hiervoor onder 5.5. genoemde, kleine deel toewijsbaar is op grond van een ongedaanmakingsverplichting aan de zijde van [gedaagde] .
Materiële schadevergoeding wegens schending AVG?
5.19.
De rechtbank zal daarom ook de primair door [eiser] aangevoerde grondslag – schadevergoeding wegens handelen in strijd met de AVG – beoordelen.
5.20.
[eiser] stelt ter onderbouwing van haar vordering op die grond dat [gedaagde] heeft gehandeld in strijd met de voorschriften van de AVG (in het bijzonder de artikelen 5 lid 1 sub f en 32), door niet de vereiste maatregelen te treffen om een passend niveau van beveiliging van de door haar verwerkte (bijzondere) persoonsgegevens van [eiser] te waarborgen. Meer specifiek verwijt [eiser] [gedaagde] gebrekkige technische en organisatorische maatregelen in de ICT-omgeving, door het gebruik van een gedeeld e-mailaccount door het personeel, een ontoereikend wachtwoordbeleid en het niet toepassen van “twee factor authenticatie” ter beveiliging van haar e-mailaccount. Dat de beveiligingsmaatregelen van [gedaagde] ontoereikend waren blijkt volgens [eiser] reeds uit het feit dat de aanvaller zich betrekkelijk eenvoudig toegang heeft weten te verschaffen tot het e-mailaccount. Ook verwijt [eiser] [gedaagde] dat die niet tijdig melding heeft gemaakt van het datalek bij de AP. Nu het e-mailadres van [eiser] en de gegevens in de door hem opgestuurde kopie-documenten in handen zijn gekomen van kwaadwillende derden is sprake van een ernstige inbreuk in verband met de persoonsgegevens die heeft geresulteerd in (onder meer) materiële schade aan de zijde van [eiser] ten bedrage van € 27.900,00. Deze schade dient [gedaagde] op grond van artikel 82 AVG volledig te vergoeden, aldus [eiser] .
5.21.
[gedaagde] betwist gemotiveerd dat de door haar getroffen maatregelen ter beveiliging van haar ICT-omgeving en e-mailaccount niet voldoen aan de door de AVG gestelde eisen. Ook betwist zij de gestelde schade, althans dat die schade het gevolg is van de beweerdelijke inbreuk op de AVG. De gestelde schade is volgens haar een direct gevolg van de onzorgvuldigheid van [eiser] . Die heeft, temeer nog gelet op zijn professie, onzorgvuldig gehandeld door het restant van de koopprijs over te maken op basis van een te elfder ure ontvangen e-mail met een, zonder enige toelichting, van de factuur afwijkende betalingsinstructie. De argumenten van [gedaagde] in dit verband komen verder overeen met de haar hiervoor reeds besproken argumenten in het kader van de vraag of [eiser] de betalingsinstructie redelijkerwijs voor echt mocht houden en of zijn vergissing aan [gedaagde] moet worden toegerekend.
5.22.
Naar het oordeel van de rechtbank kan in het midden blijven of [gedaagde] inbreuk heeft gemaakt op de AVG en dus ook in hoeverre de beveiliging van de ICT-omgeving en het e-mailaccount van [gedaagde] voldeden aan de daaraan op grond van de AVG te stellen beveiligingseisen. Ook kan in het midden blijven of er wel sprake is van schade, hetgeen eveneens door [gedaagde] is betwist. De reden daarvoor is dat aan één van de andere vereisten voor het ontstaan van een verplichting tot schadevergoeding op grond van artikel 82 AVG, namelijk het bestaan van een voldoende causaal verband tussen de gestelde inbreuk en de schade, in dit geval niet is voldaan en de vordering dus reeds om die reden moet worden afgewezen. Het volgende is daartoe van belang.
5.23.
Artikel 82 AVG (dat horizontale directe werking heeft en waarop [eiser] zich jegens [gedaagde] dus rechtstreeks kan beroepen) bepaalt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de AVG, recht heeft op vergoeding van de geleden schade door de verwerker of de verwerkingsverantwoordelijke. Over de vraag of [gedaagde] ten aanzien van de persoonsgegevens van [eiser] als verwerker of verwerkingsverantwoordelijke moet worden aangemerkt zijn partijen het niet eens, maar gelet op het navolgende kan dat in het midden blijven.
5.24.
Zoals door het Hof van Justitie van de Europese Unie (HvJEU) in een recent arrest nog is benadrukt, is het niet zo dat een enkele inbreuk op de AVG reeds een recht op schadevergoeding doet ontstaan; daarvoor zijn ook het bestaan van daadwerkelijk geleden schade en een causaal verband tussen die schade en de inbreuk noodzakelijke en cumulatief te vervullen voorwaarden. [3]
5.25.
Met betrekking tot dit vereiste causale verband stelt [eiser] wat betreft zijn vordering tot materiële schadevergoeding (slechts) dat kwaadwillende derden als gevolg van een gebrekkige beveiliging bij [gedaagde] toegang hebben kunnen krijgen tot de persoonsgegevens van [eiser] en hem “middels een hack” hebben bewogen tot betaling van de koopprijs op de Duitse bankrekening, hetgeen heeft geleid tot een verlies door hem van het aldus betaalde bedrag. Het standpunt van [eiser] komt er dus, zo begrijpt de rechtbank, op neer dat de gestelde ontoereikende beveiliging bij [gedaagde] (die volgens hem een inbreuk op de AVG oplevert) ertoe heeft geleid dat [eiser] het geld overmaakte op de Duitse bankrekening, omdat de aanvaller door die ontoereikende beveiliging toegang had tot zijn e-mailadres en de e-mailconversatie tussen hem en [gedaagde] over de auto. De rechtbank is met [eiser] eens (en dit is ook niet in geschil) dat de valse betalingsinstructie niet zou zijn gegeven (en het restantbedrag dus niet op de verkeerde rekening zou zijn betaald) indien het e-mailaccount van [gedaagde] niet door kwaadwillende derden was gehackt, zodat sprake kan zijn van het voor de vestiging van aansprakelijkheid vereiste causale verband (
conditio sine qua non-verban) indien zou komen vast te staan dat die hack het gevolg is geweest van een handelen in strijd met de AVG. Wat [eiser] daarbij echter over het hoofd lijkt te zien is dat het enkele feit dat de aanvaller toegang heeft gekregen tot persoonsgegevens van hem niet rechtstreeks tot het ontstaan van de (gestelde) schade heeft geleid. Daarvoor was immers ook nog nodig dat [eiser] gevolg gaf aan de door de aanvaller toegestuurde valse betaalinstructie. Wil de betaling van de € 26.900,00 op de verkeerde bankrekening als gevolg van de gestelde inbreuk op de AVG aan [eiser] kunnen worden toegerekend, dan moet dus ook die eigen handeling van [eiser] in voldoende causaal verband staan met de inbreuk om dat te rechtvaardigen, en dat is naar het oordeel van de rechtbank niet het geval. Zoals hiervoor onder 5.11. tot en met 5.15 is overwogen is de rechtbank met [gedaagde] van oordeel dat, voor zover [eiser] die valse betaalinstructie in de gegeven omstandigheden redelijkerwijs al voor echt had mogen houden, de gevolgen van het feit dat hij dat heeft gedaan niet aan [gedaagde] maar aan [eiser] moeten worden toegerekend. Dat geldt evenzeer, en op grond van dezelfde vaststaande feiten, in het kader van het voor schadeplichtigheid wegens schending van de AVG vereiste causaal verband. De rechtbank houdt daarbij rekening met de aard van de schade (een in strijd met de (echte) instructie van de verkoper “verkeerd” betaalde koopprijs), de mate van voorzienbaarheid daarvan (niet groot, onder meer omdat [gedaagde] er geen rekening mee hoefde te houden dat [eiser] in de gegeven omstandigheden een valse instructie als deze zonder meer zou opvolgen) en de aard van de aansprakelijkheid (primair gericht op de bescherming van persoonsgegevens; geen risicoaansprakelijkheid voor fouten van degene wiens persoonsgegeven niet goed (zouden) zijn beschermd). [4]
conditio sine qua non-verban) indien zou komen vast te staan dat die hack het gevolg is geweest van een handelen in strijd met de AVG. Wat [eiser] daarbij echter over het hoofd lijkt te zien is dat het enkele feit dat de aanvaller toegang heeft gekregen tot persoonsgegevens van hem niet rechtstreeks tot het ontstaan van de (gestelde) schade heeft geleid. Daarvoor was immers ook nog nodig dat [eiser] gevolg gaf aan de door de aanvaller toegestuurde valse betaalinstructie. Wil de betaling van de € 26.900,00 op de verkeerde bankrekening als gevolg van de gestelde inbreuk op de AVG aan [eiser] kunnen worden toegerekend, dan moet dus ook die eigen handeling van [eiser] in voldoende causaal verband staan met de inbreuk om dat te rechtvaardigen, en dat is naar het oordeel van de rechtbank niet het geval. Zoals hiervoor onder 5.11. tot en met 5.15 is overwogen is de rechtbank met [gedaagde] van oordeel dat, voor zover [eiser] die valse betaalinstructie in de gegeven omstandigheden redelijkerwijs al voor echt had mogen houden, de gevolgen van het feit dat hij dat heeft gedaan niet aan [gedaagde] maar aan [eiser] moeten worden toegerekend. Dat geldt evenzeer, en op grond van dezelfde vaststaande feiten, in het kader van het voor schadeplichtigheid wegens schending van de AVG vereiste causaal verband. De rechtbank houdt daarbij rekening met de aard van de schade (een in strijd met de (echte) instructie van de verkoper “verkeerd” betaalde koopprijs), de mate van voorzienbaarheid daarvan (niet groot, onder meer omdat [gedaagde] er geen rekening mee hoefde te houden dat [eiser] in de gegeven omstandigheden een valse instructie als deze zonder meer zou opvolgen) en de aard van de aansprakelijkheid (primair gericht op de bescherming van persoonsgegevens; geen risicoaansprakelijkheid voor fouten van degene wiens persoonsgegeven niet goed (zouden) zijn beschermd). [4]
5.26.
[eiser] heeft zich beroepen op de zogenoemde “omkeringsregel”, op grond waarvan in bepaalde omstandigheden het bestaan van een causaal verband kan worden aangenomen. Voor de rechtbank is niet helemaal duidelijk of [eiser] zich ook met het oog op vergoeding van zijn materiële schade op de omkeringsregel heeft bedoeld te beroepen (of alleen in het kader van zijn vordering tot vergoeding van immateriële schade), maar hoe dan ook kan hem dit niet baten, alleen al omdat de omkeringsregel betrekking heeft op het voor de vestiging van de aansprakelijkheid vereiste conditio sine qua non-verband en niet op de hier doorslaggevende vraag naar de toerekening van de gestelde schade.
5.27.
Uit het voorgaande volgt dat de vordering van [eiser] tot vergoeding van (gestelde) materiële schade op grond van schending van de AVG niet kan worden toegewezen. Daarbij merkt de rechtbank volledigheidshalve nog op dat [eiser] ter zitting desgevraagd heeft bevestigd dat de mogelijk buitgemaakte gegevens uit de door hem verstrekte kopiedocumenten (paspoort, verblijfsvergunning, uittreksel GBA) in het kader van de vordering tot materiële schadevergoeding niet relevant zijn. Ook heeft hij bevestigd dat de gestelde nalatigheid van [gedaagde] wat betreft het melden van het datalek bij de AP niet tot enige schade heeft geleid, zodat op de stellingen van partijen daaromtrent niet verder hoeft te worden ingegaan.
Aansprakelijkheid uit onrechtmatige daad?
5.28.
[eiser] heeft subsidiair ook nog aansprakelijkheid uit onrechtmatige daad aan dit onderdeel van zijn vordering ten grondslag gelegd. Aangezien de volgens hem geschonden normen in dat kader (opnieuw) de eerder genoemde regels uit de AVG zijn en ook voor aansprakelijkheid uit onrechtmatige daad vereist is dat de schade als gevolg van de normschending aan [gedaagde] kan worden toegerekend, stuit de toewijsbaarheid van de vordering op deze grondslag eveneens af op hetgeen hiervoor bij 5.25. is overwogen.
De vordering tot immateriële schadevergoeding wegens schending AVG
5.29.
[eiser] vordert ook vergoeding van immateriële schade als gevolg van een inbreuk op de AVG door [gedaagde] . De rechtbank is van oordeel dat de vordering van [eiser] tot immateriële schadevergoeding moet worden afgewezen, omdat niet is komen vast te staan dat hij in zijn persoon is aangetast, ongeacht of wel of niet sprake is van een inbreuk door [gedaagde] op de AVG. Daartoe is het volgende van belang.
5.30.
Het begrip “schade”, en ook meer in het bijzonder het begrip “immateriële schade”, in de zin van artikel 82 AVG moeten autonoom en uniform worden gedefinieerd binnen het Unierecht, omdat in de AVG ten aanzien van de uitleg van deze begrippen niet wordt verwezen naar het interne recht van de lidstaten. Volgens overweging 146, derde volzin, AVG moet het begrip schade ruim worden uitgelegd in het licht van de rechtspraak van het HvJEU, op een wijze die ten volle recht doet aan de doelstellingen van de verordening. Daaruit volgt weliswaar onder meer dat de vergoeding van immateriële schade niet ervan afhankelijk kan worden gesteld dat een bepaalde drempel van ernst wordt overschreden, maar dat betekent niet dat een persoon die wordt getroffen door een inbreuk op de AVG met negatieve gevolgen voor hem, niet hoeft te bewijzen dat die gevolgen immateriële schade in de zin van artikel 82 van de verordening opleveren. [5] Bovendien volgt uit vaste jurisprudentie van het HvJEU dat schade waarvan de vergoeding wordt gevorderd reëel en zeker moet zijn. [6] Binnen dit Europeesrechtelijke kader dient aan de hand van de Nederlandse rechtsregels met betrekking tot het recht op schadevergoeding de immateriële schadevordering van [eiser] te worden beoordeeld.
5.31.
Krachtens artikel 6:106 onder a BW heeft een benadeelde recht op een naar billijkheid vast te stellen schadevergoeding voor nadeel dat niet in vermogensschade bestaat, indien hij lichamelijk letsel heeft opgelopen, in zijn eer of goede naam is geschaad of op andere wijze in zijn persoon is aangetast. Van lichamelijk letsel of schade aan de eer of goede naam van [eiser] is niet gebleken, dus ligt de vraag voor of [eiser] op andere wijze in zijn persoon is aangetast.
5.32.
[eiser] neemt het standpunt in dat dat het geval is en stelt daartoe dat het door gebrekkige beveiligingsmaatregelen van [gedaagde] ontstane datalek ertoe heeft geleid dat malafide derden toegang hebben gekregen tot zijn bijzondere persoonsgegevens. Daardoor is sprake van verlies van controle over zijn persoonsgegevens, hetgeen heeft geleid tot geestelijk letsel. Dat geestelijk letsel is door [eiser] beschreven in de oorspronkelijke dagvaarding – in het Engels – en is als volgt samen te vatten. [eiser] maakt zich zorgen vanwege zijn financiële verlies en het verlies van controle over zijn gegevens. Dit heeft geleid tot slapeloosheid, concentratieproblemen, de noodzaak vrij te nemen van zijn werk en het missen van sociale afspraken. Het verlies van zoveel geld door oplichting heeft hem aanzienlijke emotionele schade berokkend en de noodzaak rechtsmaatregelen te nemen tegen [gedaagde] heeft dat nog verergerd. De wetenschap dat al zijn belangrijke identificatiedocumenten gecompromitteerd zijn maakt dat hij zich regelmatig zorgen maakt over de veiligheid van zijn accounts en zijn vermogen. Deze stress resulteert in energieverlies, een gevoel van zwakte en trillingen in zijn lichaam, concentratieverlies en op bepaalde momenten ook misselijkheid, aldus [eiser] .
5.33.
[gedaagde] verweert zich tegen dit onderdeel van de vordering onder meer door (naast de gestelde inbreuk op de AVG) te betwisten dat de door [eiser] gestelde schade bestaat en dat die voldoende reëel en zeker is om voor vergoeding in aanmerking te komen. [eiser] heeft niet met voldoende concrete en objectieve gegevens aangetoond dat er sprake is van geestelijk letsel en de aard en ernst van de (beweerdelijke) normschending zijn niet zodanig dat een aantasting van de persoon mag worden aangenomen. De algemene vrees voor identiteitsfraude is onvoldoende concreet om te kunnen concluderen dat er sprake is van een persoonsaantasting. Voor zover daarvan toch sprake is, heeft [eiser] dat bovendien aan zijn eigen onzorgvuldigheid (het ongevraagd delen van documenten met niet onleesbaar gemaakte persoonsgegevens via e-mail) te danken, aldus [gedaagde] .
5.34.
De rechtbank stelt vast dat [eiser] zijn gestelde geestelijk letsel niet heeft onderbouwd met (medische) gegevens op basis waarvan het bestaan daarvan naar objectieve maatstaven kan worden vastgesteld en bovendien heeft meegedeeld dit ook niet (nader) te kunnen onderbouwen. Van een aantasting in de persoon kan in dit geval daarom alleen sprake zijn als [eiser] aantoont dat de aard en de ernst van de gestelde normschending zodanig zijn dat de door hem gestelde nadelige gevolgen daarvan zo voor de hand liggen, dat een aantasting in de persoon ook op andere wijze kan worden aangenomen. Voor een dergelijke aantasting in de persoon op andere wijze is volgens de Hoge Raad de enkele schending van een fundamenteel recht niet voldoende. [7] Naar het oordeel van de rechtbank zijn de aard van de volgens [eiser] geschonden norm – de op verwerkers en verwerkingsverantwoordelijken rustende beveiligingsverplichtingen uit de AVG – en de gestelde normschending – het niet voldoende beveiligen van het e-mailaccount van [gedaagde] – niet zodanig dat zij meebrengen dat de door [eiser] gestelde gevolgen zodanig voor de hand liggen dat een aantasting van zijn persoon zonder meer kan worden aangenomen. Daarbij neemt de rechtbank in aanmerking dat, zoals hiervoor is overwogen, het “verlies” van het bedrag van € 26.900,00 (waarvan [eiser] stelt dat dit hem emotionele schade heeft berokkend) niet in het voor toerekening aan [gedaagde] vereiste rechtstreekse verband staat met de (gestelde) normschending, zoals hiervoor al is overwogen. Dat [eiser] zich zorgen maakt dat (de gegevens uit) de door hem per e-mail aan [gedaagde] toegezonden officiële documenten, waaronder zijn paspoort, in handen van de aanvaller of andere kwaadwillenden zijn gevallen acht de rechtbank weliswaar aannemelijk en begrijpelijk, maar de enkele zorg daarvoor levert nog geen aantasting in de persoon van [eiser] op (nog daargelaten of het verlies van controle over die specifieke gegevens niet (mede) aan [eiser] zelf te wijten is geweest). Aan ten minste één van de voorwaarden voor het toekennen van een immateriële schadevergoeding wegens een inbreuk op de AVG is derhalve niet voldaan.
Gevolgen voor het verstekvonnis
5.35.
Het voorgaande leidt tot de conclusie dat [eiser] van [gedaagde] een bedrag van slechts (1000 – 499 =) € 501,00 te vorderen had (op het moment dat het verstekvonnis werd gewezen). In zoverre zal de veroordeling in het verstekvonnis in stand worden gelaten. Voor het overige zal het verstekvonnis worden vernietigd, ook wat betreft de veroordeling van [gedaagde] in de buitengerechtelijke incassokosten, de proceskosten en de nakosten. De reden dat [gedaagde] naar het oordeel van de rechtbank niet in laatstgenoemde kosten dient te worden veroordeeld (met uitzondering van de in artikel 141 Rv bedoelde kosten veroorzaakt door het aanvankelijk niet verschijnen van [gedaagde] ) is dat de vordering van [eiser] voor het overgrote deel wordt afgewezen. Daarbij komt dat tussen partijen niet in geschil is dat [gedaagde] reeds buiten rechte (bij whatsappbericht aan [eiser] van 3 januari 2023) heeft aangeboden het bedrag van € 501,00 aan [eiser] (terug) te betalen en hem heeft gevraagd daartoe een rekeningnummer op te geven. Dat [eiser] op dat aanbod niet is ingegaan door een rekeningnummer voor betaling op te geven is evenmin betwist. Had hij dat wel gedaan en genoegen genomen met de door [gedaagde] aangeboden betaling, dat had de onderhavige procedure kunnen worden voorkomen. Hoewel de vordering van [eiser] tot een bedrag van € 501,00 wel toewijsbaar was, is een veroordeling van [gedaagde] in de kosten derhalve niet op zijn plaats.
5.36.
De rechtbank zal daarom, opnieuw rechtdoende in conventie, [eiser] veroordelen in de proceskosten, met uitzondering van de in artikel 141 Rv bedoelde kosten (dat zijn aan de zijde van [gedaagde] alleen de kosten van de verzetdagvaarding). De door [eiser] te vergoeden kosten worden aan de zijde van [gedaagde] begroot op:
- griffierecht € 2.837,00
- salaris advocaat (2 punten x tarief € 766,00) € 1.532,00
-------------
Totaal € 4.369,00
5.37.
[gedaagde] zal worden veroordeeld in de proceskosten veroorzaakt door zijn niet-verschijnen in de verstekzaak. Die kosten worden aan de zijde van [eiser] begroot op een bedrag van € 85,00 aan salaris advocaat en de (bij de rechtbank niet maar bij partijen naar mag worden aangenomen wel genoegzaam bekende) explootkosten van de betekening van het verstekvonnis.
Gevolgen voor de vordering in reconventie
5.38.
Uit hetgeen hiervoor in conventie is overwogen (en dat in reconventie als herhaald moet worden beschouwd) volgt dat van het naar aanleiding van het verstekvonnis door [gedaagde] aan [eiser] betaalde bedrag slechts € 501,00 in hoofdsom aan [eiser] verschuldigd was en dat, na vernietiging van het verstekvonnis voor het overige, voor betaling van de hoofdsom afgezien van dat kleine bedrag geen titel meer bestaat. Hetzelfde geldt voor de bedragen die ingevolge het verstekvonnis door [gedaagde] aan [eiser] zijn betaald ten titel van buitengerechtelijke incassokosten, proceskosten en de nakosten, die laatste evenwel minus de hiervoor onder 5.37. genoemde bedragen waarin [gedaagde] wordt veroordeeld in verband met haar niet-verschijnen. In zoverre is [gedaagde] dus gerechtigd die bedragen als onverschuldigd betaald terug te vorderen en zal de reconventionele vordering van [gedaagde] dus worden toegewezen. Dat betekent dat [eiser] zal worden veroordeeld tot betaling aan [gedaagde] van (36.494,05 – 501 – 85 =) € 35.908,05, verminderd met de explootkosten van de betekening van het verstekvonnis.
5.39.
[eiser] zal, als de grotendeels in het ongelijk gestelde partij, in de proceskosten in reconventie worden veroordeeld. Die kosten worden aan de zijde van [gedaagde] begroot op (1 punt x 0,5 x tarief € 766,00 =) € 383,00. Omdat de vordering in reconventie vrijwel geheel voortvloeit uit het verweer in conventie wordt bij het salaris advocaat in reconventie slecht één punt gerekend.
5.40.
De door [gedaagde] gevorderde wettelijke rente over de proceskosten en de veroordeling in de nakosten zullen worden toegewezen als in het dictum vermeld.
6.De beslissing
De rechtbank
in conventie
6.1.
vernietigt het door deze rechtbank op 11 januari 2023 onder zaaknummer / rolnummer 411838 / HA ZA 22/517 gewezen verstekvonnis, voor zover [gedaagde] daarbij is veroordeeld tot betaling van meer dan een bedrag van € 501,00 in hoofdsom,
6.2.
vernietigt eveneens de in bovengenoemd verstekvonnis uitgesproken veroordeling van [gedaagde] in de buitengerechtelijke incassokosten, de proceskosten en de nakosten,
en opnieuw beslissend
6.3.
wijst het betreffende deel van de vorderingen (waarop de onder 6.1. en 6.2. uitgesproken vernietiging ziet) alsnog af,
6.4.
veroordeelt [gedaagde] in de kosten die zijn veroorzaakt door het aanvankelijk niet verschijnen, aan de zijde van [eiser] begroot op € 85,00 aan salaris advocaat alsmede de explootkosten van de betekening van het verstekvonnis,
6.5.
veroordeelt [eiser] in de overige kosten van de verstekprocedure, aan de zijde van [gedaagde] tot aan deze uitspraak begroot op nihil, en in de overige kosten van de verzetprocedure, aan de zijde van [gedaagde] tot op heden begroot op € 4.369,00,
6.6.
bekrachtigt het verstekvonnis voor het overige,
in reconventie
6.7.
veroordeelt [eiser] tot betaling aan [gedaagde] van € 35.908,05, verminderd met een bedrag ter hoogte van de explootkosten van de betekening van het hiervoor onder 6.1. genoemde verstekvonnis,
6.8.
veroordeelt [eiser] in de proceskosten in reconventie, aan de zijde van [gedaagde] tot op heden begroot op € 383,00, vermeerderd met de wettelijke rente daarover vanaf de 15e dag na de datum van betekening van dit vonnis,
6.9.
veroordeelt [eiser] in de na dit vonnis ontstane kosten, begroot op € 157,00 aan salaris advocaat, ter vermeerderen, onder de voorwaarde dat [eiser] niet binnen veertien dagen na aanschrijving aan het vonnis heeft voldaan en er vervolgens betekening van het vonnis heeft plaatsgevonden, met een bedrag van € 82,00 en de explootkosten van betekening van dit vonnis,
6.10.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door mr. E. Boerwinkel en in het openbaar uitgesproken op 23 augustus 2023.