Was geeignete Anti-Scraping-MaÃnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoà gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.
Anlässlich eines Scraping-Vorfalls bei einem groÃen und bekannten sozialen Netzwerk betont das Gericht, dass insoweit nicht eine ex post, sondern vielmehr eine ex ante Betrachtung angezeigt ist. Die bestehenden MaÃnahmen genügten dem Gericht insoweit:
- Einrichtung eines EDM-Teams zur Identifizierung von Aktivitätsmustern und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten verbunden sind.
- Einführung von Ãbertragungsbeschränkungen, die die Anzahl der Abfragen bestimmter Daten begrenzen, die pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gestellt werden können
- Unterlassungsanordnungen, Kontensperrungen und Gerichtsverfahren gegen Scraper durchsetzen
- Anpassung des Systems an die entwickelten Scraping-Taktiken, um sicherzustellen, dass die Verknüpfung von Telefonnummern mit bestimmten Facebook-Nutzern über die Kontakt-Import-Funktion nicht mehr möglich ist
- Durchführung von Captcha-Abfragen (vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen), d.h. die Möglichkeit herauszufinden, ob sich hinter der Abfrage ein menschlicher Nutzer verbirgt oder nicht.
Das Landgericht stellte fest, dass es sich beim Scraping um ein bekanntes und immer wieder auftretendes Problem handelt, das vom âHackingâ zu unterscheiden ist. Die Möglichkeiten der Risikominimierung sind insoweit naturgemäà begrenzt, da die Preisgabe personenbezogener Daten im Internet immer mit einem gewissen Risiko verbunden ist. Die Kammer hat daher die von der Beklagten getroffenen MaÃnahmen für ausreichend erachtet, da in diesen Fällen insbesondere die Anpassung an sich entwickelnde Scraping-Methoden immer erst im Nachgang zu einem Scraping-Vorfall erfolgen kann.
Auch sei nicht auf einzelne Sicherheitsmechanismen abzustellen: Insoweit besteht ein Ermessensspielraum des Anbieters, welche einzelnen technischen und organisatorischen MaÃnahmen umgesetzt werden, um im Rahmen einer Gesamtabwägung aller MaÃnahmen ein angemessenes Schutzniveau zu gewährleisten. Und abschlieÃend: Allein aus der Tatsache, dass es zu einem Scraping-Vorfall gekommen ist, kann nicht geschlossen werden, dass das Sicherheitssystem gegen die DSGVO verstoÃen hat.
- Rechtliche Fragen beim Recycling von Batterien - 24. September 2023
- Beratung im IT-Recht - 24. September 2023
- Schätzung hinterzogener Steuern bei Steuerhinterziehung - 23. September 2023