Landgericht Lübeck (LG Lübeck) beslutar att Facebook ska kompensera en registrerad med 500 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var en Facebook-användare. Enligt de sekretessinställningar som valts vid tidpunkten för de faktiska omständigheterna kunde den registrerades telefonnummer användas av en tredje part för att hitta den registrerades profil på Facebook, även om telefonnumret i sig inte var offentligt. Information om den registrerade kunde således kopplas till dennes telefonnummer av vem som helst som hade tillgång till ett sådant nummer.
År 2019 kombinerade okända tredje parter automatiskt telefonnummer och matchade dem med Facebook-profiler tack vare den ovan nämnda funktionen. På så sätt kunde telefonnummer tilldelas identifierade användare. Detta resulterade i ett dataintrång som berörde 533 miljoner människor i 106 olika länder.
Enligt den registrerade bröt Facebook mot principerna om Privacy by Design och Privacy by Default. Den registrerade över att de just beskrivna inställningarna var Facebooks standardinställningar och att de endast kunde ändras genom en komplicerad procedur. Dessa standardinställningar, tillsammans med den totala avsaknaden av säkerhetsåtgärder från Facebook, gjorde dataskrapning möjlig. Enligt den registrerade har denne sedan dataintrånget fått phishing-e-post och samtal. Mot bakgrund av förlusten av kontroll över sina personuppgifter krävde den registrerade skadestånd på 1 000 euro enligt artikel 82 GDPR.
Facebook svarade att det var upp till den registrerade att ändra sina sekretessinställningar. Dessutom, och trots Facebooks efterföljande försök att förebygga och minska riskerna, kunde ingen åtgärd helt skydda användarna från skrapning.
LG Lübeck biföll den registrerades skadeståndskrav och beviljade 500 euro i ersättning. Enligt LG Lübeck grundade sig behandlingen varken på samtycke enligt artikel 6.1 (a) GDPR, avtal enligt artikel 6.1 (b) GDPR, eller den personuppgiftsansvariges berättigade intresse enligt artikel 6.1 (f) GDPR. När det gäller samtycket konstaterade LG Lübeck att det inte var informerat i den mening som avses i artikel 4.11 GDPR. Det var mycket svårt att hitta information om möjligheten att koppla samman ett telefonnummer med andra personuppgifter som ett standardalternativ.
LG Lübeck konstaterade att Facebook brutit mot sin skyldighet att vidta tekniska och organisatoriska åtgärder enligt artikel 32 GDPR och inte vidtagit några försiktighetsåtgärder för att försvåra skrapning av tredje part. Vid bedömningen av förekomsten av ideell skada hänvisade LG Lübeck till C-300/21, där EU-domstolen slagit fast att det inte krävs någon miniminivå för att bevilja ersättning enligt artikel 82 GDPR.
LG Lübeck konstaterade också att det i det aktuella fallet inte var nödvändigt med en utvärdering av den registrerades psykologiska tillstånd för att skadeståndskravet skulle kunna bifallas. Faktum är att efter dataintrånget handlades den registrerades personuppgifter på internet av tredje part. Detta innebar en faktisk, och inte bara potentiell, kränkning av den registrerades personliga rättigheter, i synnerhet den grundläggande rätten till informellt självbestämmande.
Mot bakgrund av ovanstående beslutade LG Lübeck att Facebook skulle kompensera den registrerade med 500 euro.
TechLaw bistår verksamheter i frågor som rör registrerades rättigheter, skadeståndsansvar enligt GDPR, sociala medier och dataskydd. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: LG Lübeck.