Slachtoffers van de omvangrijke gegevensdiefstal bij Facebook kunnen nu tegen relatief lage eisen een claim voor schadevergoeding indienen. Het is voldoende om aan te tonen dat zij door het incident zijn getroffen. Het is niet nodig om aan te tonen dat er sprake is van misbruik van de gegevens. Ook hoeven de betrokkenen niet aan te tonen dat zij door het incident in het bijzonder zijn getroffen.

Het Bundesgerichtshof (BGH) heeft voor het eerst gebruikgemaakt van de nieuwe mogelijkheid om beslissingsprocedures te leiden. De uitspraak van het Hooggerechtshof is nu van groot belang voor duizenden soortgelijke zaken bij regionale en hogere regionale rechtbanken in Duitsland. De voorzitter van de Zesde Civiele Senaat, Stephan Seiters, benadrukte echter dat de schadevergoeding in geval van een eenvoudig verlies van controle niet te hoog mag zijn. Seiters noemde als voorbeeld een bedrag van 100 euro. De lagere rechtbank, het Oberlandesgericht Keulen (OLG), had de vordering tot schadevergoeding afgewezen. Deze beslissing werd door het Federale Hof van Justitie vernietigd en de zaak werd terugverwezen naar het Oberlandesgericht Keulen voor verdere verduidelijking. Het hof van beroep moet nu een nader onderzoek instellen naar de feiten, wat tot nu toe niet is gebeurd vanwege de algehele afwijzing van de vorderingen.

Persoonlijke gegevens van 533 miljoen gebruikers opgedoken op internet

In april 2021 werden gegevens van ongeveer 533 miljoen Facebook-gebruikers uit 106 landen online gepubliceerd. De daders hadden de gegevens verkregen via de functie ‘Vind vrienden’ door willekeurige telefoonnummers in te voeren en, als er matches werden gevonden, konden ze toegang krijgen tot de persoonlijke gegevens van de gebruikers. De gepubliceerde verbindingsgegevens omvatten voor- en achternaam, land, geslacht, telefoonnummer en in sommige gevallen werkgever.

Na het incident werden er talloze rechtszaken aangespannen, maar tot nu toe zijn de meeste daarvan zonder succes gebleven bij de regionale en hogere rechtbanken. Het moederbedrijf van Facebook, Meta, heeft zich altijd verdedigd door te stellen dat de rechtszaken ongegrond waren. De advocaten van het bedrijf benadrukten na de hoorzitting vorige week dat er bij het incident geen sprake was van een datalek en dat de systemen van Facebook niet waren gehackt.

Der Beitrag BGH stärkt Schadensersatzansprüche nach Facebook-Datendiebstahl erschien zuerst auf R&U.

Getroffenen van gegevensdiefstal op Facebook kunnen rekenen op schadevergoeding. In een eerste beoordeling gaf het BGH aan dat het verlies van zeggenschap over de eigen gegevens op zichzelf al voldoende zou kunnen zijn voor een claim. Er moet echter wel bewezen worden dat dit verlies daadwerkelijk is opgetreden, en dat er geen sprake is van immateriële schade zoals angst of bezorgdheid, aldus de voorzitter van het VI. Burgerlijke Senaat, Stephan Seiters, in Karlsruhe. De definitieve uitspraak van het Federale Hof van Justitie is echter nog steeds in behandeling en zal van belang zijn voor veel andere procedures bij Duitse rechtbanken.

De achtergrond van deze procedure is een incident op het gebied van gegevensbescherming uit 2021, waarbij onbekenden de gegevens van ongeveer 533 miljoen Facebook-gebruikers uit 106 landen openbaar op internet publiceerden. Deze gegevens zijn verkregen door gebruik te maken van een zoekfunctie voor vrienden op het platform. Volgens het BGH profiteerden de daders van het feit dat Facebook gebruikers de mogelijkheid bood om hun profielen te vinden via telefoonnummers, ook al waren deze niet openbaar. De ‘scrapers’ genereerden willekeurige telefoonnummers en vonden hits. Zo werden bijvoorbeeld gebruikers-ID, naam, geslacht, land en telefoonnummer gekoppeld.

Getroffenen beschuldigen Facebook ervan onvoldoende veiligheidsmaatregelen te hebben genomen. Omdat zij de controle over hun gegevens verliezen en de overlast ervaren, eisen zij een schadevergoeding, ook voor immateriële schade. Tot nu toe zijn de rechtszaken bij de regionale en hogere regionale rechtbanken grotendeels zonder resultaat gebleven, maar een uitspraak van de hoogste rechtbank is nog steeds in behandeling.

Eerste leidende beslissing van de BGH

Om het grote aantal individuele rechtszaken efficiënter te kunnen behandelen, had het Bundesgerichtshof (BGH) de beroepsprocedure in het zogenaamde schraapcomplex als eerste leidende beslissingsprocedure aangewezen - ook al was het beroep inmiddels ingetrokken. Deze mogelijkheid werd pas op dezelfde dag ingevoerd via een nieuwe regeling in artikel 552b van het Wetboek van Burgerlijke Rechtsvordering.

De VI. Met deze zaak uit Noordrijn-Westfalen wil de Burgerlijke Senaat fundamentele juridische vragen ophelderen, waaronder de vraag of de standaardinstelling van ‘alles’ in de zogenaamde contactimportfunctie in strijd is met de Algemene Verordening Gegevensbescherming. Verdere kwesties zijn onder meer of het enkele verlies van controle over de gekopieerde gegevens immateriële schade oplevert, hoe deze schade moet worden beoordeeld en hoe een claim voor schadevergoeding dienovereenkomstig moet worden gerechtvaardigd (zaaknummer VI ZR 10/24).

Rechter Stephan Seiters legde uit dat de eiser in dit specifieke geval had verklaard dat hij zijn telefoonnummer alleen om een specifieke reden had verstrekt. Na de diefstal voelde de man zich onder meer erg onwel en kreeg hij steeds meer wantrouwen tegenover e-mails en sms-berichten.

Na een eerste beoordeling overweegt de Senaat ook een gebruikersvriendelijke interpretatie met betrekking tot mogelijke toekomstige schade. Uiteindelijk schendt het incident het recht op informatieve zelfbeschikking en de bescherming van persoonsgegevens, aldus Seiters.

De Arrondissementsrechtbank Bonn had de vordering in eerste aanleg gedeeltelijk toegewezen en de eiser een bedrag van 250 euro toegekend. In tweede instantie wees de Hogere arrondissementsrechtbank van Keulen de rechtszaak echter af.

Meta: Klachten zijn ongegrond en ongegrond

De advocaat van Facebook-moederbedrijf Meta, Christian Rohnke, waarschuwde ervoor de openbaarmakingsvereisten voor eisers te ver te verlagen. Volgens hem is het enkele verlies van zeggenschap over de eigen gegevens niet voldoende om schadevergoeding te vorderen. “Immateriële schade zou eerder kunnen bestaan uit lastige telefoontjes”, legde hij uit. In dit geval moet echter bewezen worden dat het aantal oproepen is toegenomen.

Volgens Rohnke moeten de eisers ook aantonen dat zij zich zorgen maken over het incident, bijvoorbeeld door hun telefoonnummer te wijzigen. Eiser heeft dit echter niet gedaan. "Als hij echt bezorgd was geweest, was het voor de hand liggend geweest om het getal te veranderen", aldus Rohnke.

Meta beschouwt de klachten als ongegrond. Advocaat Martin Mekat van het advocatenkantoor Freshfields, dat Meta vertegenwoordigt, benadrukte na de zitting dat er bij dit incident geen sprake was van hacking van Facebook-systemen en dat er daarom geen sprake was van een schending van de gegevensbescherming. Hij wees erop dat Meta al meer dan 6.000 soortgelijke rechtszaken bij Duitse rechtbanken had gewonnen.

De rechters in Karlsruhe beraadslagen nu op basis van de mondelinge behandeling en zullen later uitspraak doen. De exacte datum van de uitspraak is nog niet vastgesteld.

Der Beitrag Facebook-Datendiebstahl: BGH über mögliche Schadenersatzansprüche durch Kontrollverlust erschien zuerst auf R&U.