Oberlandesgericht Köln (OLG Köln) anser att en registrerad inte kunnat bevisa immateriell skada som en följd av ett dataintrång på Facebook och avslår rätt till ersättning enligt artikel 82 dataskyddsförordningen (GDPR).
Av domen framgår att den registrerade i målet var en Facebook-användare. Den registrerade stämde Facebook på grund av ett större dataintrång som inträffade 2019, där hans telefonnummer och andra personuppgifter hamnade på ett hackerforum. Den lägre instansen Landesgericht Köln (LG Köln) ansåg att det inte är tillräckligt att enbart irritera och lida av känslomässigt obehag för att ett krav på skadestånd enligt artikel 82 GDPR ska uppstå.
Den registrerade överklagade beslutet från LG Köln, upprepade sina ursprungliga argument och begärde återigen skadestånd för förlust av kontroll över sina personuppgifter och känslomässigt obehag som en följd av detta.
OLG Köln konstaterade att Facebook verkligen brutit mot GDPR i flera avseenden och fortsatte med att bedöma om dessa brott kunde ge upphov till immateriella skador enligt artikel 82 GDPR, även mot bakgrund av EU-domstolens dom i mål C-300/21.
OLG Köln konstaterade att även om den registrerade förlorade kontrollen över sina uppgifter eftersom de publicerats på darknet, i samband med hans namn och mot hans vilja, är detta i sin tur inte tillräckligt för att utgöra en immateriell skada. Med hänvisning till EU-domstolens dom C-300/21 slog OLG Köln fast att det faktum att det inte finns något tröskelvärde som definierar förekomsten av en skada, fortfarande inte innebär att den person som berörs av en överträdelse av GDPR är befriad från att bevisa de negativa konsekvenserna av skadan. I det aktuella fallet ansåg OLG Köln att den registrerade endast hade bevisat den negativa konsekvensen, men inte den immateriella skadan i sig. Den registrerade lyckades därför inte bevisa att förlusten av kontroll över sina personuppgifter utgör en immateriell skada och därmed förblir en endast abstrakt förlust av kontroll.
Vad gäller den registrerades påstående att han lidit av ångest, rädsla och obehag efter dataintrånget, ansåg OLG Köln också att den registrerade inte på ett trovärdigt sätt bevisat att han faktiskt lidit fysiskt och psykiskt. OLG Köln upprepade att detta inte innebär att man inför en miniminivå för skadestånd, i motsats till vad som anges i EU-domstolens dom C-300/21, men att skadan åtminstone måste kunna fastställas objektivt. På samma sätt ansåg OLG Köln att den registrerade inte visat hur han lidit skada av de skräppostmeddelanden och SMS han fått eller hur han använt tid och ansträngning för att hantera förlusten av kontroll över sina data.
Slutligen förklarade OLG Köln att alla andra yrkanden som den registrerade framställt antingen inte kunde tas upp till prövning eller var ogrundade, och bekräftade därmed LG Kölns beslut.