Amsgericht München (AG München) avvisar registrerads krav på ideellt skadestånd från Facebook enligt artikel 82 dataskyddsförordningen (GDPR) .
Av beslutet framgår att den registrerade var en Facebook-användare. När den registrerade använde tjänsten lämnade den registerade olika personuppgifter, bland annat sin bostadsort, sin relationsstatus (båda offentligt synliga på sin Facebookprofil) och sitt telefonnummer (inte direkt synligt på plattformen). Enligt de sekretessinställningar som valts vid tidpunkten för registreringen kunde dock telefonnumret användas av en tredje part för att hitta den registrerades profil på Facebook. Följaktligen skulle information om den registrerade kunna kopplas till dennes telefonnummer av någon som har tillgång till ett sådant nummer.
År 2021 kombinerade okända tredje parter automatiskt telefonnummer och matchade dem med Facebook-profiler tack vare den ovan nämnda funktionen. På så sätt kunde telefonnummer tilldelas identifierade användare. Detta resulterade i ett dataintrång som berörde 533 miljoner människor i 106 olika länder. Den registrerade fick efter detta anonyma samtal och en stor mängd skräppost. Detta medförde negativa psykologiska konsekvenser för den registrerade. Den registrerade begärde därför 1 000 euro i ideellt skadestånd enligt artikel 82 GDPR.
Den personuppgiftsansvarige svarade att dataskrapning, som inte är hackning, inte innebär att den personuppgiftsansvarige bryter mot dataskyddsförordningen, eftersom inga obligatoriska säkerhetsåtgärder kringgås. Enligt Facebooks uppfattning fick den tredje parten endast tillgång till offentligt tillgänglig information.
AG München avslog begäran om skadestånd enligt artikel 82 GDPR. Enligt denna bestämmelse har varje registrerad person rätt att få ersättning för materiell eller ideell skada om en personuppgiftsansvarig eller ett personuppgiftsbiträde har gjort intrång i hans eller hennes rättigheter enligt dataskyddsförordningen.
Vid bedömningen av den registrerades muntliga förklaringar ansåg AG München att dataintrånget, trots att det var irriterande, inte allvarligt skadat den registrerade. I själva verket var den registrerade endast orolig för möjligheten att dennes uppgifter skulle kunna missbrukas i framtiden. Enligt AG München var en sådan oro alltför allmän för att ge upphov till ideell skada, och dataintrånget har enligt domstolen inte skapat en ”sömnlös natt” för den registrerade. Som ytterligare bevis för att dataintrånget endast haft en begränsad inverkan på den registrerades liv pekade AG München på det faktum att användaren inte ändrat sina Facebook-inställningar efter händelserna.
Dessutom hävdade AG München att orsakssambandet mellan den personuppgiftsansvariges beteende och skadan inte kunde bevisas. Eftersom den registrerade var aktiv på andra sociala nätverk ansåg AG München att skräpposten och de anonyma samtalen kunde ha sitt ursprung i andra omständigheter än Facebooks dataintrång.