Bundesgerichtshof (BGH) konstaterar att en enda och tillfällig förlust av kontrollen över personuppgifter till följd av en överträdelse av dataskyddsförordningen (GDPR) utgör en ideell skada enligt artikel 82.1 GDPR. Registrerade behöver enligt BGH inte visa vare sig ett konkret missbruk av personuppgifterna eller andra negativa konsekvenser för dem.
Av domen framgår att den registrerade är en användare av Facebook. I april 2021 offentliggjordes uppgifter om ca 533 miljoner Facebook-användare på internet. En okänd tredje part hade utnyttjat möjligheten att hitta användarkonton via användarnas telefonnummer genom att prova slumpmässigt genererade telefonnummer. Genom denna metod kunde de få fram användarprofiler med matchande telefonnummer. Den registrerade i detta fall var en av de personer som påverkades av incidenten. Den registrerades användar-id, för- och efternamn, arbetsplats och kön ingick i datauppsättningen och var därför kopplade till hans telefonnummer.
Den registrerade hävdade att Facebook inte vidtagit lämpliga åtgärder för att undvika att kontaktverktyget, som gjorde det möjligt att hitta användare via deras telefonnummer, utnyttjades. Den registrerade stämde Facebook på skadestånd och ville även, genom en fastställelsedom, att domstolen skulle erkänna hans framtida rätt till ersättning.
Efter att den registrerade tillerkänts 250 euro i ideellt skadestånd av Landgericht Bonn (LG Bonn) överklagade Facebook till Oberlandesgericht Köln (OLG Köln), som upphävde LG Bonns beslut och ogillade talan i sin helhet. Den registrerade överklagade i sin tur ärendet till Bundesgerichtshof (BGH).
I sitt första beslut upphävde BGH delvis det beslut som fattats av OLG Köln. BGH ansåg att skälen för att neka den registrerades rätt till ideellt skadestånd inte var tillräckliga. BGH ansåg i stället att enligt EU-domstolens relevanta rättspraxis kan även en enda och tillfällig förlust av kontrollen över personuppgifter till följd av en överträdelse av GDPR utgöra en ideell skada enligt artikel 82.1 GDPR. Den registrerade behöver inte visa vare sig ett konkret missbruk av personuppgifterna eller andra negativa konsekvenser för dem. BGH ansåg vidare att det inte var motiverat att avvisa fastställelsetalan om framtida skadestånd eftersom den registrerade hade ett tillräckligt intresse av en sådan fastställelsetalan då det var uppenbart att det fanns en möjlighet till ytterligare framtida skadestånd.
BGH återförvisade delvis målet till OLG Köln och meddelade domstolen att Facebooks standardinställning av alla användare för sökbarhet på plattformen förmodligen inte var förenlig med principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. BGH tillade att OLG Köln skulle behöva bedöma frågan om det hade funnits ett giltigt samtycke från den registrerade. BGH instruerade vidare OLG Köln om hur man korrekt skulle bedöma skadeståndet enligt nationell rätt och informerade domstolen om att BGH inte hade några rättsliga betänkligheter mot en ideell skada på cirka 100 euro för den enda förlusten av kontroll.