Landgericht Bonn (LG Bonn) beviljar 250 euro i ersättning till en registrerad som lidit abstrakt ideell skada i enlighet med artikel 82 i dataskyddsförordningen (GDPR) .
Av beslutet framgår att den registrerade var en Facebook-användare. Enligt de sekretessinställningar som gällde vid tidpunkten för de faktiska omständigheterna kunde den registrerades telefonnummer användas av en tredje person för att hitta den registrerades profil på Facebook, även om telefonnumret i sig inte var offentligt, vilket innebar att information som rör den registrerade kunde kopplas till dennes telefonnummer av vem som helst som hade detta nummer.
Under 2019 kombinerade okända tredje parter automatiskt telefonnummer och matchade dem med Facebook-profiler genom den ovan nämnda funktionen. På så sätt kunde telefonnummer tilldelas identifierade användare, vilket resulterade i ett dataintrång som berörde 533 miljoner människor i 106 olika länder. Händelsen gjorde att den registrerade efter dataintrånget blivit utsatt för nätfiske genom e-post och samtal. Mot bakgrund av att den registrerade förlorat kontroll över sina personuppgifter krävde den registrerade ersättning med 1 000 euro enligt artikel 82 GDPR.
Enligt LG Bonn bröt den personuppgiftsansvarige mot sin skyldighet att garantera integriteten och konfidentialiteten för uppgifterna enligt artikel 5.1 (f) GDPR och mot principen om inbyggt dataskydd och dataskydd som standard enligt artikel 24 GDPR. Den personuppgiftsansvarige var medveten om de risker som webbskrapning medför och vidtog ändå inte lämpliga säkerhetsåtgärder enligt artikel 32 GDPR, såsom att exempelvis ta bort matchningsfunktionen.
När det gäller förekomsten av ideell skada enligt artikel 82 GDPR konstaterade LG Bonn att kombinationen av telefonnummer med andra personuppgifter potentiellt utsätter användare för flera risker, inklusive identitetsstöld och riktad brottslig verksamhet. Därför kunde en abstrakt skada kompenseras i det aktuella fallet. LG Bonn ansåg däremot att den registrerade inte bevisat någon konkret negativ konsekvens och att det påstådda nätfisket inte kunde kopplas kausalt till dataintrånget.
Mot bakgrund av ovanstående och med beaktande av att den registrerade endast lidit en abstrakt skada beviljade LG Bonn 250 euro i ersättning i enlighet med artikel 82 GDPR.