Uitspraak
GERECHTSHOF ARNHEM-LEEUWARDEN
locatie Arnhem
afdeling civiel recht
zaaknummer gerechtshof 200.332.234
zaaknummer rechtbank 416554
arrest van 23 december 2025
in de zaak van
[appellant]
die woont in [woonplaats]
die hoger beroep heeft ingesteld
hierna: [appellant]
advocaat: mr. B.C. van Bekkum
tegen
Autobedrijf [naam] B.V.
die is gevestigd in [vestigingsplaats]
hierna: [geïntimeerde] (in vrouwelijk enkelvoud)
advocaat: mr. S.J. Bruins Slot
1.Het verloop van de procedure in hoger beroep
1.1.
In het arrest van 22 juli 2025 [1] (hierna: het tussenarrest) heeft het hof partijen de mogelijkheid geboden om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de zijde van [appellant] , zoals het hof had begrepen uit de stellingen van [geïntimeerde] . In dat kader heeft [geïntimeerde] een akte genomen en heeft [appellant] met een antwoordakte daarop gereageerd.
2.De kern van de zaak
2.1.
[appellant] heeft een auto van [geïntimeerde] gekocht. Na een betaalinstructie vanuit het e-mailadres van [geïntimeerde] heeft [appellant] het grootste deel van de koopprijs betaald op een Duitse bankrekening. Achteraf bleek dat een derde (hierna: de hacker) via het e-mailaccount van [geïntimeerde] een valse betaalinstructie had gestuurd. [geïntimeerde] heeft het bedrag niet ontvangen en heeft geweigerd de auto aan [appellant] te leveren. [appellant] stelt dat hij schade heeft geleden, omdat [geïntimeerde] in strijd met de AVG onvoldoende beveiligingsmaatregelen heeft getroffen om haar e-mailaccount te beschermen, waardoor hij het restantbedrag voor de auto op een verkeerde bankrekening heeft gestort. Hij wil dat [geïntimeerde] dat bedrag betaalt als schadevergoeding samen met een bedrag voor de door hem geleden immateriële schade.
2.2.
Het hof heeft in het tussenarrest eerst geoordeeld dat [geïntimeerde] niet is geslaagd in haar bewijslevering dat zij de persoonsgegevens op haar e-mailaccount passend had beveiligd in de zin van artikelen 5 lid 1 onder f, 24 en 32 AVG (rechtsoverwegingen 3.8-3.13 tussenarrest). Vervolgens heeft het hof geoordeeld dat [appellant] de door hem gevorderde immateriële schade onvoldoende heeft onderbouwd (rechtsoverwegingen 3.15-3.17 tussenarrest). Tot slot heeft het hof partijen de mogelijkheid geboden om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de zijde van [appellant] .
De uitkomst in dit arrest
2.3.
Het hof is van oordeel dat sprake is van gedeeltelijke eigen schuld die mede met toepassing van de billijkheidscorrectie door het hof wordt vastgesteld op 50 %. [geïntimeerde] wordt daarom veroordeeld tot betaling van de helft van de door [appellant] geleden materiële schade. Hierna legt het hof uit hoe het tot deze beslissing komt.
3.De toelichting op de beslissing van het hof
3.1.
De door [appellant] gevorderde materiële schade is gelijk aan het door hem betaalde restantbedrag voor de auto op de door de hacker opgegeven bankrekening. Zoals geoordeeld in rechtsoverweging 3.14 van het tussenarrest is sprake van een causaal verband tussen deze schade en de inbreuk op de AVG door [geïntimeerde] . Dat brengt mee dat in beginsel deze schade volledig vergoed zou moeten worden door [geïntimeerde] . Dat kan anders zijn als de schade mede het gevolg is van een omstandigheid die aan [appellant] kan worden toegerekend (artikel 6:101 lid 1 BW). De bewijslast daarvan rust op [geïntimeerde] .
Schade ook deels toe te rekenen aan [appellant]
3.2.
Volgens [geïntimeerde] moet haar vergoedingsplicht tot nul worden gereduceerd. [appellant] heeft onvoorzichtig gehandeld door de betaalinstructie van de hacker zonder verdere controle te betalen. Zonder die onvoorzichtigheid was er geen sprake geweest van schade, waardoor de schade volledig het gevolg is van dit handelen van [appellant] , aldus [geïntimeerde] . [appellant] betwist dat hij onzorgvuldig heeft gehandeld en wijst er met name op dat de e-mail met de betaalinstructie van de hacker onderdeel was van één e-mailwisseling (‘e-mail thread’) tussen partijen, waardoor hij geen reden had tot enige argwaan.
3.3.
Partijen hadden vanaf 5 juli 2022 intensief e-mailcontact over de auto. Dat gebeurde steeds door te antwoorden op de e-mail van de ander, waardoor sprake was van één elkaar opvolgende e-mailwisseling (de zogenoemde ‘e-mail thread’).
3.4.
Op donderdag 7 juli 2022 schrijft [geïntimeerde] onder meer aan [appellant] :
“
ok fine when do you expect to make the remaining payment? Tuesday is fine as far as I'm concerned, what time?”
ok fine when do you expect to make the remaining payment? Tuesday is fine as far as I'm concerned, what time?”
Onmiddellijk daarop antwoordt [appellant] :
“
I can make payment at anytime.”
I can make payment at anytime.”
Als antwoord daarop schrijft [geïntimeerde] op maandag 11 juli 2022 om 9.30:
“
Hi [appellant] ,
Hi [appellant] ,
if you come to pick up the car tomorrow I would like to receive payment today. what time suits you best? let me know.”
Om 11.13 diezelfde dag ontving [appellant] de volgende e-mail, eveneens in dezelfde ‘e-mail thread’:
“
Hello [appellant] ,
Hello [appellant] ,
Please transfer the rest of the amount to:
Account Name: Autobedrijf [naam] BV
IBAN: [nummer1] - BIC: [nummer2]
After you make the transfer send me the confirmation.
Please Iet me know if you will come tomorrow or Wednesday morning
and what time suits you best.”
In reactie daarop schreef [appellant] om 11.20:
“
Thanks. Will do. It will be transferred after 3pm today.
Thanks. Will do. It will be transferred after 3pm today.
I would like to collect the car on Tuesday morning, please.
Thanks!
[appellant]”
Om 11.43 ontving [appellant] daarop de volgende reactie:
“
okay see you tomorrow then [appellant] , around 10 am something like that?”
okay see you tomorrow then [appellant] , around 10 am something like that?”
3.5.
Die middag heeft [appellant] de restantbetaling verricht op het Duitse rekeningnummer zoals genoemd in de hiervoor geciteerde e-mail van 11 juli 2022 om 11.13. Omdat deze e-mail helemaal in de e-mailwisseling tussen partijen past, was er wat dat betreft geen reden voor [appellant] om argwaan te hebben. De e-mail was niet alleen binnen dezelfde ‘e-mail thread’, de betaalinstructies volgden ook op een logisch moment, namelijk nadat [geïntimeerde] had verzocht om die dag te betalen. Dat neemt echter niet weg dat [appellant] wel argwaan had moeten hebben over het Duitse rekeningnummer. [appellant] had op 5 juli 2022 op verzoek van [geïntimeerde] een aanbetaling van € 1.000 gedaan voor de auto op de Nederlandse Rabobankrekening van [geïntimeerde] . Ook heeft [geïntimeerde] op 6 juli 2022 een factuur gestuurd voor het totaalbedrag waar in de rechter bovenhoek ook het Nederlandse Rabobankrekening-nummer van [geïntimeerde] staat vermeld. Deze factuur is weliswaar in een afzonderlijke e-mail aan [appellant] gestuurd, maar hij heeft toegegeven dat hij deze heeft ontvangen. Dat hij deze afzonderlijke e-mail over het hoofd had gezien ligt in zijn risicosfeer. Daar komt bij dat de restantbetaling van € 26.900 op het Duitse bankrekeningnummer substantieel hoger is dan de aanbetaling van € 1.000 op het Nederlandse bankrekeningnummer. Er was ook geen enkele verklaring gegeven voor deze wisseling van bank in de e-mail. Enige alertheid hierop had wel mogen worden verwacht van [appellant] . [geïntimeerde] stelt ook onweersproken dat [appellant] met het overmaken van het geld vanuit zijn ING bankrekening naar de Duitse bankrekening een waarschuwing zal hebben gekregen dat de bank niet kon controleren of de naam en het rekeningnummer bij elkaar hoorden. Deze omstandigheden brengen mee dat [appellant] wel enige argwaan had moeten hebben, waardoor een deel van de schade aan hem kan worden toegerekend. Weliswaar verliep de hele communicatie over de betaling via e-mail, maar [appellant] en [geïntimeerde] hadden ook telefonisch en via whatsapp contact (gehad). [appellant] had [geïntimeerde] wel degelijk kunnen bellen of via whatsapp kunnen benaderen met de vraag of het klopt dat het restantbedrag naar een Duitse bankrekening moest, terwijl hij de aanbetaling op een Nederlandse Rabobankrekening had verricht. Dat [geïntimeerde] Duitse auto’s verkoopt en [appellant] het daarom niet vreemd vond dat hij de instructie kreeg om op een Duitse bankrekening te betalen maakt dit niet anders. Hij had immers een aantal dagen daarvoor een aanbetaling gedaan op een Nederlands bankrekeningnummer. Het andere, Duitse bankrekeningnummer had dus tot enige argwaan bij hem moeten leiden. In het licht van deze omstandigheden is het hof van oordeel dat 30% van de schade is toe te rekenen aan [appellant] .
Billijkheidscorrectie
3.6.
Volgens [geïntimeerde] moet haar vergoedingsplicht ook tot nul worden gereduceerd op grond van de billijkheid zoals opgenomen in artikel 6:101 lid 1 BW (de billijkheidscorrectie). Daarbij wijst zij onder meer op het feit dat zij een kleine onderneming is waarbij alleen de directeur ( [geïntimeerde] ) en zijn schoonzoon toegang hadden tot de computer en dat zij haar e-mailaccount, waarop de hack heeft plaatsgevonden, had uitbesteed aan een ISO 27001-gecertificeerd bedrijf om dit account te beveiligen. Vast staat dat [geïntimeerde] een kleine onderneming is die zich bezig houdt met de verkoop en reparatie van auto’s. In haar normale bedrijfsvoering verwerkt zij weinig persoonsgegevens en de persoonsgegevens die zij via e-mail verwerkt zijn beperkt tot namen, (e-mail)adressen en de gegevens op facturen (zie 3.5 van het tussenarrest). [geïntimeerde] heeft voldoende onderbouwd dat zij bewust de beveiliging van haar e-mailaccount heeft uitbesteed aan een ISO 27001-gecertificeerd bedrijf die binnen de branche bekend staat als een specialist op dat gebied. Zij heeft dit gedaan omdat zij daar zelf geen kennis van heeft. [geïntimeerde] mag op zichzelf vertrouwen op een ISO 27001-gecertificeerd bedrijf voor de beveiliging van haar e-mailaccount, zoals ook geoordeeld in 3.7 van het tussenarrest. Het instellen van een eigen wachtwoord is echter ook voor een klein bedrijf een maatregel die zij had moeten treffen. Het hof komt op grond van alle omstandigheden in deze zaak en met toepassing van een billijkheidscorrectie tot een vergoedingsplicht voor [geïntimeerde] van 50 % van de door [appellant] gevorderde schade.
Gevolgen voor de vorderingen van [appellant]
3.7.
Uit het voorgaande volgt dat de primaire vordering van [appellant] tot betaling van een bedrag van € 26.900,- aan materiële schadevergoeding voor de helft zal worden toegewezen. [appellant] heeft subsidiair de betaling van hetzelfde bedrag gevorderd op grond van onrechtmatig handelen door [geïntimeerde] . Die grondslag kan niet leiden tot de toewijzing van een hogere schadevergoeding, omdat [appellant] daar dezelfde feiten en omstandigheden heeft aangevoerd als voor zijn primaire vordering en bovendien geldt ook in dat geval de bepaling van artikel 6:101 BW. Meer subsidiair vordert [appellant] hetzelfde bedrag op grond van een ongedaanmakingsverplichting van [geïntimeerde] . Volgens [appellant] moet [geïntimeerde] de volledige koopprijs terugbetalen, omdat zij de koop van de auto heeft ontbonden. Deze vordering kan niet tot een (aanvullende) betalingsverplichting leiden voor [geïntimeerde] , omdat zij het restant van de koopprijs niet heeft ontvangen. Er is daarom geen grond voor terugbetaling van (een deel van) dit restantbedrag.
3.8.
Daarnaast heeft [appellant] vergoeding van buitengerechtelijke kosten gevorderd voor een bedrag van € 1.054. Op grond van artikel 6:96 lid 2 aanhef en onder c BW kunnen redelijke kosten ter verkrijging van voldoening buiten rechte als schade voor vergoeding in aanmerking komen. [appellant] heeft toegelicht welke werkzaamheden zijn verricht en [geïntimeerde] heeft de hoogte van de gevorderde kosten niet betwist. De omvang van de werkzaamheden en de hoogte van de kosten komen redelijk voor, zodat [geïntimeerde] zal worden veroordeeld tot betaling daarvan.
3.9.
De vordering tot het terugbetalen van al hetgeen [appellant] aan [geïntimeerde] heeft betaald op grond van het vonnis in verzet zal gedeeltelijk worden toegewezen met de wettelijke rente over dat bedrag vanaf de dag van betaling tot de dag van terugbetaling.
Conclusie
3.10.
Het hoger beroep slaagt deels. Om verwarring te voorkomen, zal het hof het vonnis in verzet in conventie en in reconventie vernietigen met uitzondering van de beslissing in conventie onder 6.1 waarbij het verstekvonnis is vernietigd voor zover [geïntimeerde] daarbij is veroordeeld tot betaling van meer dan een bedrag van € 501,00 in hoofdsom en 6.4 waarbij [geïntimeerde] is veroordeeld in de kosten door het aanvankelijk niet verschijnen. Omdat [appellant] als gevolg van het vonnis in verzet teveel heeft betaald aan [geïntimeerde] , bestaat er voor [geïntimeerde] een terugbetalingsverplichting voor het meerdere, te vermeerderen met de gevorderde wettelijke rente hierover. Het hof vertrouwt erop dat advocaten deze berekening(en) zelf kunnen maken met inachtneming van de imputatieregels in de artikelen 6:43-44 BW.
3.11.
Omdat beide partijen voor een deel in het gelijk en voor een deel in het ongelijk zijn gesteld, moeten beide partijen hun eigen proceskosten dragen van de procedure bij de rechtbank en van de procedure in hoger beroep. [appellant] zal wel worden veroordeeld in de proceskosten van het incident in hoger beroep, omdat hij daarin ongelijk heeft gekregen.
3.12.
De veroordelingen in deze uitspraak kunnen ook ten uitvoer worden gelegd als een van partijen de beslissing van het hof voorlegt aan de Hoge Raad (uitvoerbaarheid bij voorraad).
4.De beslissing
Het hof:
4.1.
vernietigt het vonnis in verzet in conventie en in reconventie van de rechtbank Gelderland, zittingsplaats Arnhem van 23 augustus 2023 met uitzondering van de beslissing in conventie onder 6.1 waarbij het verstekvonnis is vernietigd voor zover [geïntimeerde] daarbij is veroordeeld tot betaling van meer dan een bedrag van € 501,00 in hoofdsom en 6.4 waarbij [geïntimeerde] is veroordeeld in de kosten door het aanvankelijk niet verschijnen en doet opnieuw recht;
4.2.
veroordeelt [geïntimeerde] tot betaling van een bedrag van € 13.450 aan schadevergoeding aan [appellant] ;
4.3.
veroordeelt [geïntimeerde] tot betaling van een bedrag van € 1.054 aan buitengerechtelijke kosten aan [appellant] ;
4.4.
veroordeelt [geïntimeerde] tot terugbetaling van hetgeen hij teveel heeft ontvangen van [appellant] in het kader van de uitvoering van het bestreden vonnis in verzet, te vermeerderen met de wettelijke rente hierover vanaf de dag van betaling tot de dag van terugbetaling;
4.5.
bepaalt dat iedere partij de eigen kosten draagt van de procedures bij de rechtbank en het hof;
4.6.
veroordeelt [appellant] tot betaling van € 1.214 aan salaris van de advocaat van [geïntimeerde] (1 procespunt x tarief 2) in het incident;
4.7.
verklaart de veroordelingen uitvoerbaar bij voorraad;
4.8.
wijst af wat verder is gevorderd.
Dit arrest is gewezen door mrs. M.P.M. Hennekens, R.A. Dozy en P.E. Lucassen, en is door de rolraadsheer in tegenwoordigheid van de griffier in het openbaar uitgesproken op 23 december 2025.