Exploitanten van online platforms moeten standaardinstellingen zo inrichten dat persoonlijke gegevens van gebruikers niet zomaar toegankelijk zijn voor het publiek of onbekenden. Dat heeft het Oberlandesgericht (OLG) Frankfurt am Main geoordeeld in een vonnis tegen Meta, het moederbedrijf van Facebook. De rechtbank baseert haar oordeel op het principe van gegevensminimalisatie, zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG).
Meta heeft volgens de rechtbank deze verplichting geschonden. Gebruikers moesten namelijk zelf de standaardinstellingen aanpassen om hun privacy voldoende te beschermen, zo meldt het Hessische rechtbankportaal over de uitspraak van 8 april. Deze uitspraak wordt binnenkort officieel gepubliceerd.
Meta moet de eiser 200 euro schadevergoeding betalen. De eiser had oorspronkelijk 1000 euro geëist. De rechtbank in Wiesbaden had de eis in eerste instantie nog volledig afgewezen, maar in hoger beroep erkende het OLG dat de eiser terecht vreesde voor misbruik van haar via het darknet openbaar gemaakte gegevens, naast het algemene verlies van controle over haar persoonsgegevens.
De 6e civiele kamer van het OLG acht het aannemelijk dat de eiser door deze zorgen ‘psychische klachten’ heeft ontwikkeld, wat het schadebedrag rechtvaardigt. Het Bundesgerichtshof had eerder al geoordeeld dat enkel het verlies van controle over gegevens een schadevergoeding van ongeveer 100 euro kan rechtvaardigen.
Wereldwijd hebben tienduizenden Facebook-gebruikers Meta aangeklaagd vanwege het ongeoorloofd verzamelen (scraping) van persoonlijke gegevens. Bij scraping wordt via geautomatiseerde technieken openbare informatie van websites of via open interfaces (API’s) uitgelezen en verwerkt. Volgens de AVG is dit verboden zonder expliciete toestemming als het om persoonlijke gegevens gaat.
In veel zaken, zoals bij het BGH en nu het OLG Frankfurt, draait het om een grootschalige datalek in 2021 waarbij ongeveer 533 miljoen datasets van Facebook-gebruikers uit 106 landen openbaar werden.
Onbekenden maakten gebruik van een Facebook-functie waarbij gebruikersprofielen via telefoonnummers gevonden konden worden, afhankelijk van de ingestelde zoekopties. Door grote aantallen telefoonnummers te uploaden via de contactimportfunctie en deze te koppelen aan openbaar beschikbare informatie, verzamelden zij op grote schaal persoonsgegevens. In 2022 legde de Ierse gegevensbeschermingsautoriteit DPC Meta hiervoor een boete van 265 miljoen euro op.
Volgens het OLG moet Meta ervoor zorgen dat persoonsgegevens van gebruikers niet via standaardinstellingen toegankelijk zijn voor onbevoegde derden, zoals datascrapers. Gebruikers hebben recht op een wettige en beschermde verwerking van hun gegevens.
emerce
29-04-2025 08:55