Etter et datalekkasjer har formuesforvalteren Scalable Capital blitt dømt av tingretten i München I til å betale erstatning på grunn av brudd på personvernforordningen – GDPR.
Data er et spørsmål om tillit, og kunder har rett til passende beskyttelse. Dette gjelder selvfølgelig spesielt når det er snakk om sensitive personopplysninger. Ved datatyveri kan forbrukere etter personvernforordningen ha krav på erstatning, forklarer forretningsadvokatfirmaet MTR Rechtsanwälte.
Dette blir tydelig i en dom fra tingretten i München I mot Scalable Capital (sak nr. 31 O 16606/20). I oktober 2020 informerte nettmegleren om at det hadde vært en datalekkasje. Uautoriserte fikk dermed tilgang til svært sensitive personopplysninger som adresse, e-postadresse, kontonummer, skatte-ID eller kopier av identifikasjonsdokumenter fra mer enn 33.000 kunder. Scalable innrømmet at det etter et hackerangrep på en tidligere tjenesteleverandør også hadde oppstått sikkerhetshull i deres egen tilgang og at hackerne på den måten fikk tilgang til dataene.
Saksøker hadde en kundekonto hos Scalable Capital, som han brukte til investeringer i verdipapirer og aksjer. Som offer for datatyveriet fremmet han krav om erstatning. På grunn av de frarøvede dataene ble han utsatt for risikoen for identitetstyveri, forsøk på tilgang til sine brukte tjenester og andre bedrageriforsøk.
Søksmålet var vellykket. Tingretten i München kom til den oppfatning at sikkerhetshullet kunne vært unngått. Scalable Capital hadde imidlertid unnlatt å gjennomføre passende organisatoriske tiltak. For eksempel var tilgangsdataene for tjenesteleverandøren ikke endret etter at forretningsforholdet var avsluttet. Selv om saksøkeren ikke led materielle tap etter datatyveriet, hadde han likevel i henhold til artikkel 82, paragraf 1, GDPR krav på immateriell erstatning på 2.500 euro på grunn av tyveriet av sine personopplysninger, ifølge tingretten i München. Dessuten må Scalable dekke alle fremtidige skader som oppstår som følge av datatyveriet.
Også tingretten i Köln har tildelt erstatning til et offer for datatyveriet hos Scalable Capital (sak nr.: 28 O 328/21).
Domstolene viser at GDPR utgjør et godt grunnlag for erstatningskrav ved datatyveri. Selskaper bør derfor være desto mer oppmerksomme på å beskytte kundenes data tilstrekkelig.
Advokater med erfaring innen IT-rett kan gi rådgivning.
