法庭:BGH
判决日期:31.10.2024
案件编号:VI ZR 10/24
类型:裁定
社交平台未经用户明确同意,导致第三方可以通过手机号搜索到用户账号的,违反了GDPR的相关规定。
用户即使是短暂失去对个人数据的控制,也可以被视为《通用数据保护条例》(DSGVO)第 82 条所规定的非物质损害,本案中的赔偿金额应为100欧元/条
受害者只需证明自己是事件的受害方即可,不必提供数据被滥用的证据,也无需证明他们的生活因担忧或恐惧而受到了特殊影响。
案件背景
原告指控 Facebook 母公司 Meta 违反《通用数据保护条例》(GDPR),要求赔偿因数据泄露造成的非物质损害。根据原告提交的起诉状内容,2018 年 1 月至 2019 年 9 月期间,第三方黑客通过在网络的联系人导入功能中输入随机号码序列,将电话号码与用户账户匹配,并获取相关用户的数据(即所谓的 Scraping)。由此获取的数据(包括与电话号码关联的用户 ID、姓名、性别和工作地点)在 2021 年 4 月被公开发布。原告的个人信息(包括其电话号码和账户信息)也在泄露数据之列。据原告称,被告未将此事件告知相关的数据保护机构或其本人。
原告要求赔偿非物质损失,理由是被告多次违反GDPR,未能充分保护其数据。他声称因此失去了对其数据的控制权,导致欺诈性联系尝试大幅增加。此外,原告还要求确认被告有义务在未来赔偿由此引起的所有损失,并提出禁止和信息披露的请求。在 2021 年 8 月 23 日,被告向原告提供了其存储的相关数据清单。
地方法院部分支持了原告的诉讼请求,依据GDPR第 82 条第 1 款判给其 250 欧元的赔偿以及部分法律费用。其余部分的诉求被驳回。被告对地方法院的判决提出上诉,而原告则提出附带上诉。上诉法院修改了地方法院的判决,并驳回了原告的全部请求。原告在获得上诉法院许可后,提起了再审。
本次再审程序中,BGH民六庭的主审法官斯蒂芬·塞特斯(Stephan Seiters)认为本案的赔偿标准为100欧元。他明确表示,在仅仅失去控制的情况下,损害赔偿不能太高。
为什么这个案件具有重要意义?
目前德国各地的方法院和高级法院涉及 Facebook 数据泄露事件案件数量达到数千起,联邦最高法院(BGH)也接到了多起相关案件的上诉请求。然而,各级法院对于相关法律问题的解释不一,尤其是在对欧洲法院(EuGH)判例的解读上存在差异。联邦最高法院依据民事诉讼法的规定将本案确定为指导性判决程序,通过该程序,联邦最高法院可以就本案中的上述特定法律问题做出具有指导意义的判决。
值得注意的是,BGH 在此次案件中首次依据《德国民事诉讼法》第552b条的规定启动了“指导性裁决程序”,对于数千起类似诉讼具有重要的指引作用。目前,这些案件正在德国各地的法院审理中,该判决将帮助这些案件更快地达成裁决。
