Na een datalek is de vermogensbeheerder Scalable Capital door de rechtbank te München I veroordeeld tot schadevergoeding wegens overtreding van de Algemene Verordening Gegevensbescherming – AVG.
Gegevens zijn een zaak van vertrouwen en klanten hebben recht op passende bescherming. Dat geldt natuurlijk in het bijzonder wanneer het om gevoelige persoonlijke gegevens gaat. Bij datadiefstal kunnen consumenten volgens de Algemene Verordening Gegevensbescherming recht hebben op schadevergoeding, legt het advocatenkantoor MTR Rechtsanwälte uit.
Dit blijkt uit een uitspraak van de rechtbank München I inzake Scalable Capital (Az. 31 O 16606/20). In oktober 2020 deelde de online broker mee dat er een datalek was ontstaan. Onbevoegden kregen daardoor toegang tot zeer gevoelige persoonsgegevens zoals adres, e-mailadres, rekeningnummer, belasting-ID of kopieën van identiteitsbewijzen van meer dan 33.000 klanten. Scalable gaf toe dat er na een hacker-aanval op een voormalige dienstverlener ook veiligheidslekken in het eigen toegangsbereik zijn ontstaan waardoor de hackers toegang kregen tot de gegevens.
De eiser had een klantenrekening bij Scalable Capital die hij gebruikte voor beleggingen in effecten en aandelen. Als slachtoffer van de datadiefstal maakte hij aanspraak op schadevergoeding. Door de gestolen gegevens liep hij risico op identiteitsdiefstal, pogingen tot toegang tot zijn gebruikte diensten en andere fraudele pogingen.
De vordering had succes. De rechtbank München was ervan overtuigd dat het veiligheidslek vermijdbaar zou zijn geweest. Scalable Capital had echter nagelaten de juiste organisatorische maatregelen te treffen. Zo waren de toegangsgegevens voor de dienstverlener na beëindiging van de zakelijke relatie niet gewijzigd. Hoewel de eiser na de datadiefstal geen materiële verliezen heeft geleden, heeft hij volgens art. 82 lid 1 AVG recht op een immateriële schadevergoeding van 2.500 euro vanwege de diefstal van zijn persoonlijke gegevens, aldus de rechtbank München. Bovendien moet Scalable alle toekomstige schade ten gevolge van de datadiefstal vergoeden.
Ook de rechtbank Keulen heeft een slachtoffer van de datadiefstal bij Scalable Capital schadevergoeding toegekend (Az.: 28 O 328/21).
De uitspraken tonen aan dat de AVG bij datadiefstal een goede basis biedt voor schadevergoedingsaanspraken. Bedrijven moeten daarom des te meer letten op de adequate bescherming van de gegevens van hun klanten.
Deskundig in IT-recht, kunnen advocaten advies geven.
