Landgericht Hildesheim (LG Hildesheim) har i dom den 1 juli 2025 ogillat en registrerads yrkande om ersättning för ideell skada enligt artikel 82.1 dataskyddsförordningen (GDPR).
Bakgrund
Den personuppgiftsansvarige drev en webbplats som erbjöd både betalda och kostnadsfria testversioner av programvarulösningar. Den registrerade använde den personuppgiftsansvariges tjänster, varvid den personuppgiftsansvarige lagrade endast den registrerades e-postadress.
Den 30 september 2020 fick okända tredje parter tillgång till den personuppgiftsansvariges system och kom över personuppgifter om användare, däribland e-postadresser, användarnamn, namn, titel, IP-adresser, konto-ID, företagsnamn, adresser och telefonnummer. Uppgifterna gjordes därefter tillgängliga kostnadsfritt på internet. Den registrerade hävdade att dennes e-postadress hade påverkats av incidenten.
Den 7 juni 2023 lämnade den registrerade in en begäran om tillgång enligt artikel 15 GDPR och framställde ytterligare krav. Den personuppgiftsansvarige svarade den 14 augusti 2023. Den registrerade yrkade minst 3 000 euro i ideellt skadestånd för dataintrånget och minst 2 000 euro för påstått otillräckligt svar på tillgångsbegäran. Den registrerade yrkade också fastställelse av ansvar för framtida ekonomisk skada samt föreläggande mot den personuppgiftsansvarige att vidta säkerhetsåtgärder enligt den senaste tekniken.
Rättslig analys
Domstolen prövade fyra huvudfrågor: ansvar för framtida skada, föreläggande mot den personuppgiftsansvarige, begäran om tillgång enligt artikel 15 GDPR samt skadeståndskravet enligt artikel 82.1 GDPR.
Vad gäller ansvar för framtida skada fann domstolen att den registrerade inte hade visat tillräcklig sannolikhet för att sådan skada skulle uppstå. Den registrerade hade inte styrkt att denne utsatts för bedrägliga kontaktförsök hänförliga till det aktuella intrånget. Domstolen noterade att den registrerade själv uppgett att en ökning av skräppost inträffade redan under 2019, ett år före intrånget, vilket bröt det åberopade sambandet. Därtill framgick att e-postadressen redan hade drabbats av ett tidigare, icke-relaterat intrång, varför den registrerade redan dessförinnan hade förlorat kontrollen över uppgiften. Något kontrollförlust hänförligt till det aktuella intrånget förelåg därmed inte.
När det gäller yrkandet om föreläggande ansåg domstolen att formuleringen var alltför oprecis för att kunna ligga till grund för ett beslut. Den registrerade hade hänvisat till säkerhetsåtgärder enligt den senaste tekniken, en formulering som i huvudsak återger artikel 32.1 GDPR, utan att ange vilka konkreta åtgärder som avsågs. Domstolen fann att det hade ålegat den registrerade att precisera sitt yrkande närmare.
Begäran om tillgång enligt artikel 15 GDPR ansågs uppfylld genom den personuppgiftsansvariges svar i augusti 2023. Vid förhör framkom inte heller att den registrerade faktiskt lidit någon immateriell skada till följd av det påstått bristfälliga svaret.
Skadeståndskravet enligt artikel 82.1 GDPR avslogs. Domstolen konstaterade att en ren överträdelse av GDPR inte automatiskt medför rätt till skadestånd. Med hänvisning till skäl 146 betonade domstolen att skadan måste ha lidit och inte kan vara rent hypotetisk. Den registrerade hade inte bevisat ett orsakssamband mellan de påstådda överträdelserna och någon faktisk känslomässig påfrestning. Domstolen fann heller ingen styrkt immateriell skada till följd av den påstådda underlåtenheten att utse en EU-företrädare eller av påstådda överföringar utanför EES.
Praktiska konsekvenser
Domen bekräftar att artikel 82.1 GDPR ställer konkreta krav på den registrerade som kärande. En ren överträdelse av GDPR är inte tillräcklig för att skadestånd ska utgå. Den registrerade måste styrka att en faktisk skada har lidits och att det föreligger ett orsakssamband mellan överträdelsen och skadan. Det kravet kan vara svårt att uppfylla i praktiken. I detta fall bröt den egna uppgiften om ökad skräppost redan ett år före intrånget det åberopade orsakssambandet.
När det gäller ansvar för framtida skada måste den registrerade visa en påvisbar sannolikhet för att sådan skada kommer att uppstå. Om samma uppgift redan läckt i ett tidigare intrång hos en annan aktör kan domstolen anse att kontrollen redan var förlorad innan det aktuella intrånget inträffade. Det aktuella intrånget kan då inte ha orsakat kontrollförlusten.
Vad gäller yrkanden om föreläggande avseende säkerhetsåtgärder måste yrkandet knytas till konkreta och identifierade brister. Det räcker inte att hänvisa till säkerhetsåtgärder enligt den senaste tekniken i artikel 32.1 GDPR utan att ange vad som faktiskt avses.
Kontakta oss
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör skadeståndsskyldighet enligt GDPR, hantering av dataintrång och rättsliga anspråk från registrerade. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: LG Hildesheim, mål 3 O 26/24.