Autobedrijf deels aansprakelijk voor schade na e-mailfraude door AVG-schending

Hof Arnhem-Leeuwarden 23 december 2025, IT 5084; ECLI:NL:GHARL:2025:8556 ([appellant] tegen [geïntimeerde]). [appellant] heeft een auto van [geïntimeerde] gekocht. Na een betaalinstructie vanuit het e-mailadres van [geïntimeerde] heeft [appellant] het grootste deel van de koopprijs betaald op een Duitse bankrekening. Achteraf bleek dat een derde (hierna: de hacker) via het e-mailaccount van [geïntimeerde] een valse betaalinstructie had gestuurd. [geïntimeerde] heeft het bedrag niet ontvangen en heeft geweigerd de auto aan [appellant] te leveren. [appellant] stelt dat hij schade heeft geleden, omdat [geïntimeerde] in strijd met de AVG onvoldoende beveiligingsmaatregelen heeft getroffen om haar e-mailaccount te beschermen, waardoor hij het restantbedrag voor de auto op een verkeerde bankrekening heeft gestort. Hij wil dat [geïntimeerde] dat bedrag betaalt als schadevergoeding samen met een bedrag voor de door hem geleden immateriële schade. Het hof heeft in het tussenarrest [IT 4934] eerst geoordeeld dat [geïntimeerde] niet is geslaagd in haar bewijslevering dat zij de persoonsgegevens op haar e-mailaccount passend had beveiligd in de zin van de AVG. Vervolgens heeft het hof geoordeeld dat [appellant] de door hem gevorderde immateriële schade onvoldoende heeft onderbouwd. Tot slot heeft het hof partijen de mogelijkheid geboden om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de zijde van [appellant].  

Volgens het hof had [appellant] argwanend moeten zijn over het Duitse bankrekeningnummer, gezien eerdere betalingen aan een Nederlands rekeningnummer van [geïntimeerde], zonder verklaring voor de wijziging. Hij had eenvoudig contact kunnen opnemen via telefoon of WhatsApp om de wijziging te verifiëren. Het hof rekent daardoor 30% van de schade toe aan [appellant], maar past een billijkheidscorrectie toe gelet op de beperkte omvang van het autobedrijf en komt uiteindelijk tot 50% aansprakelijkheid voor [geïntimeerde]. De subsidiaire grondslagen (onrechtmatige daad en ongedaanmaking) leiden niet tot een hogere vergoeding dan reeds op grond van artikel 6:101 BW is toegekend. Omdat beide partijen voor een deel in het gelijk en voor een deel in het ongelijk zijn gesteld, moeten beide partijen hun eigen proceskosten dragen van de procedure bij de rechtbank en van de procedure in hoger beroep. [appellant] zal wel worden veroordeeld in de proceskosten van het incident in hoger beroep, omdat hij daarin ongelijk heeft gekregen. 

3.6 Volgens [geïntimeerde] moet haar vergoedingsplicht ook tot nul worden gereduceerd op grond van de billijkheid zoals opgenomen in artikel 6:101 lid 1 BW (de billijkheidscorrectie). Daarbij wijst zij onder meer op het feit dat zij een kleine onderneming is waarbij alleen de directeur ( [geïntimeerde] ) en zijn schoonzoon toegang hadden tot de computer en dat zij haar e-mailaccount, waarop de hack heeft plaatsgevonden, had uitbesteed aan een ISO 27001-gecertificeerd bedrijf om dit account te beveiligen. Vast staat dat [geïntimeerde] een kleine onderneming is die zich bezig houdt met de verkoop en reparatie van auto’s. In haar normale bedrijfsvoering verwerkt zij weinig persoonsgegevens en de persoonsgegevens die zij via e-mail verwerkt zijn beperkt tot namen, (e-mail)adressen en de gegevens op facturen (zie 3.5 van het tussenarrest). [geïntimeerde] heeft voldoende onderbouwd dat zij bewust de beveiliging van haar e-mailaccount heeft uitbesteed aan een ISO 27001-gecertificeerd bedrijf die binnen de branche bekend staat als een specialist op dat gebied. Zij heeft dit gedaan omdat zij daar zelf geen kennis van heeft. [geïntimeerde] mag op zichzelf vertrouwen op een ISO 27001-gecertificeerd bedrijf voor de beveiliging van haar e-mailaccount, zoals ook geoordeeld in 3.7 van het tussenarrest. Het instellen van een eigen wachtwoord is echter ook voor een klein bedrijf een maatregel die zij had moeten treffen. Het hof komt op grond van alle omstandigheden in deze zaak en met toepassing van een billijkheidscorrectie tot een vergoedingsplicht voor [geïntimeerde] van 50 % van de door [appellant] gevorderde schade. 

3.10 Het hoger beroep slaagt deels. Om verwarring te voorkomen, zal het hof het vonnis in verzet in conventie en in reconventie vernietigen met uitzondering van de beslissing in conventie onder 6.1 waarbij het verstekvonnis is vernietigd voor zover [geïntimeerde] daarbij is veroordeeld tot betaling van meer dan een bedrag van € 501,00 in hoofdsom en 6.4 waarbij [geïntimeerde] is veroordeeld in de kosten door het aanvankelijk niet verschijnen. Omdat [appellant] als gevolg van het vonnis in verzet teveel heeft betaald aan [geïntimeerde] , bestaat er voor [geïntimeerde] een terugbetalingsverplichting voor het meerdere, te vermeerderen met de gevorderde wettelijke rente hierover. Het hof vertrouwt erop dat advocaten deze berekening(en) zelf kunnen maken met inachtneming van de imputatieregels in de artikelen 6:43-44 BW.