Na een datalek is de vermogensbeheerder Scalable Capital door de rechtbank München I veroordeeld tot schadevergoeding wegens schending van de Algemene Verordening Gegevensbescherming – AVG.
Gegevens zijn een vertrouwenskwestie en klanten hebben recht op passende bescherming. Dit geldt natuurlijk vooral wanneer het om gevoelige persoonlijke gegevens gaat. Bij datadiefstal kunnen consumenten volgens de Algemene Verordening Gegevensbescherming recht hebben op schadevergoeding, legt de zakelijke advocatenkantoor MTR Rechtsanwälte uit.
Dit wordt duidelijk aan een uitspraak van de rechtbank München I tegen Scalable Capital (Az. 31 O 16606/20). In oktober 2020 deelde de online broker mee dat er een datalek had plaatsgevonden. Onbevoegden kregen daardoor toegang tot uiterst gevoelige persoonsgegevens zoals adres, e-mailadres, rekeningnummer, belasting-ID of kopieën van identiteitsbewijzen van meer dan 33.000 klanten. Scalable gaf toe dat er na een hackeraanval op een voormalige dienstverlener ook beveiligingslekken in hun eigen toegangsgebied waren ontstaan en dat de hackers daardoor de gegevens bemachtigden.
De eiser had een klantenrekening bij Scalable Capital, die hij gebruikte voor beleggingen in effecten en aandelen. Als slachtoffer van de datadiefstal stelde hij schadeclaims in. Door de gestolen gegevens liep hij het risico van identiteitsdiefstal, poging tot toegang tot zijn gebruikte diensten en andere pogingen tot fraude.
De claim was succesvol. De rechtbank München was van mening dat de veiligheidslek vermijdbaar was geweest. Scalable Capital had echter verzuimd passende organisatorische maatregelen te nemen. Zo waren de toegangsgegevens voor de dienstverlener na beëindiging van de zakelijke relatie niet gewijzigd. Hoewel de eiser na de datadiefstal geen materiële verliezen leed, had hij volgens art. 82 lid 1 AVG recht op immateriële schadevergoeding van 2.500 euro vanwege de diefstal van zijn persoonlijke gegevens, aldus de rechtbank München. Daarnaast moet Scalable opdraaien voor alle toekomstige schade als gevolg van de datadiefstal.
Ook de rechtbank Keulen heeft aan een slachtoffer van de datadiefstal bij Scalable Capital schadevergoeding toegekend (Az.: 28 O 328/21).
De uitspraken tonen aan dat de AVG bij datadiefstal een goede juridische grondslag voor schadeclaims biedt. Bedrijven moeten daarom des te meer letten op voldoende bescherming van de gegevens van hun klanten.
Advocaten met ervaring in IT-recht kunnen adviseren.
