Hvad domstolen faktisk afgjorde

Tvisten bag afgørelsen var almindelig nok. En virksomhed i Niedersachsen sagsøgte en tidligere medarbejder, som den beskyldte for at videresælge firmaudstyr via en privat eBay-konto, og den byggede sin sag på data hentet fra den konto uden tilladelse. Selve den adgang var et brud på GDPR. Den forelæggende ret, LAG Niedersachsen, stillede EU-Domstolen et skarpere spørgsmål end parterne havde ventet: bryder en domstol selv databeskyttelsesretten alene ved at se på beviser, der er indsamlet ulovligt.

EU-Domstolen svarede nej. I sin dom af 18. juni 2026 (C-484/24) afviste den et generelt forbud mod at bruge ulovligt indhentet persondata og fastslog, at en domstol kan lægge sådant data til grund, hvor det er nødvendigt og relevant for afgørelsen. Dommerne støttede sig på domstolens egen pligt til at oplyse sagen og på retten til en retfærdig rettergang efter chartrets artikel 47, samtidig med at de krævede, at dataminimering stadig respekteres, og at anonymisering overvejes før fremlæggelse. Dette handler om, hvorvidt beviser indgår i en civil sag, ikke om strafferetlig skyld.

Hvorfor dette vender en behagelig antagelse

Mange ejere og deres rådgivere har handlet efter en uudtalt tommelfingerregel: hvis modparten har skaffet sit materiale på uretmæssig vis, kan det holdes ude, så et databeskyttelsesbrud er et pålideligt skjold. Afgørelsen svækker det skjold. En domstol, der vejer fakta, skal nu afveje hensynet til den retfærdige rettergang mod privatlivskrænkelsen frem for at kassere beviset af princip, så det ubelejlige dokument, den genfundne besked eller kontoudtrækket kan ligge foran dommeren, uanset hvordan det er indhentet.

Det skærer begge veje, og den anden æg er den, man skal holde øje med. Den samme logik, der lader en sagsøger bruge mangelfuldt indhentet bevis, lader en modpart bruge dit. En intern undersøgelse, der går for vidt, en overvågningslog indsamlet uden et ordentligt grundlag, eller en tidligere partners indbakke tilgået for frit, bliver ikke harmløst, fordi det blev indsamlet dårligt. Det kan stadig havne i sagen imod dig, mens det underliggende brud fortsat er særskilt eksponeret over for tilsynsmyndighederne. Behandl venligst dette som journalistik snarere end juridisk rådgivning, og bekræft dommen og dens rækkevidde for dine egne forhold.

Hvad man bør overveje før næste tvist

Den praktiske reaktion er ikke at jage smuthuller, men at antage, at det meste relevante data i sidste ende vil kunne antages, uanset hvem der besidder det, og uanset hvordan det er indsamlet. Det omdefinerer bevishygiejne som en forretningsrisiko snarere end en compliance-fodnote. Det er værd at genbesøge, hvordan jeres interne undersøgelser køres, hvordan medarbejder- og modpartsdata tilgås under en tvist, og hvor jeres egen indsamlingspraksis kunne blive vendt til beviser af modparten.

Det er lige så værd at kortlægge, før en retssag er i sigte, hvilket data om jeres drift der findes, hvor det ligger, og hvem der kan skaffe sig det. Rækkevidden af denne dom er stadig ved at falde på plads, og dens anvendelse vil variere fra medlemsstat til medlemsstat og efter sagstype, så alt konkret hører hjemme hos jeres egen advokat på jeres egne forhold. Pointen for en beslutningstager er enklere: den gamle antagelse om, at dårligt data forsvinder, er ikke længere sikker at gå ud fra.