Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping

Was geeignete Anti-Scraping-Maßnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoß gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.

Anlässlich eines Scraping-Vorfalls bei einem großen und bekannten sozialen Netzwerk betont das Gericht, dass insoweit nicht eine ex post, sondern vielmehr eine ex ante Betrachtung angezeigt ist. Die bestehenden Maßnahmen genügten dem Gericht insoweit:

• Einrichtung eines EDM-Teams zur Identifizierung von Aktivitätsmustern und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten verbunden sind.
• Einführung von Übertragungsbeschränkungen, die die Anzahl der Abfragen bestimmter Daten begrenzen, die pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gestellt werden können
• Unterlassungsanordnungen, Kontensperrungen und Gerichtsverfahren gegen Scraper durchsetzen
• Anpassung des Systems an die entwickelten Scraping-Taktiken, um sicherzustellen, dass die Verknüpfung von Telefonnummern mit bestimmten Facebook-Nutzern über die Kontakt-Import-Funktion nicht mehr möglich ist
• Durchführung von Captcha-Abfragen (vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen), d.h. die Möglichkeit herauszufinden, ob sich hinter der Abfrage ein menschlicher Nutzer verbirgt oder nicht.

Das Landgericht stellte fest, dass es sich beim Scraping um ein bekanntes und immer wieder auftretendes Problem handelt, das vom „Hacking“ zu unterscheiden ist. Die Möglichkeiten der Risikominimierung sind insoweit naturgemäß begrenzt, da die Preisgabe personenbezogener Daten im Internet immer mit einem gewissen Risiko verbunden ist. Die Kammer hat daher die von der Beklagten getroffenen Maßnahmen für ausreichend erachtet, da in diesen Fällen insbesondere die Anpassung an sich entwickelnde Scraping-Methoden immer erst im Nachgang zu einem Scraping-Vorfall erfolgen kann.

Auch sei nicht auf einzelne Sicherheitsmechanismen abzustellen: Insoweit besteht ein Ermessensspielraum des Anbieters, welche einzelnen technischen und organisatorischen Maßnahmen umgesetzt werden, um im Rahmen einer Gesamtabwägung aller Maßnahmen ein angemessenes Schutzniveau zu gewährleisten. Und abschließend: Allein aus der Tatsache, dass es zu einem Scraping-Vorfall gekommen ist, kann nicht geschlossen werden, dass das Sicherheitssystem gegen die DSGVO verstoßen hat.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.

Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

• Keine Beihilfe zur Einfuhr bei beendeter Tat - 29. April 2024
• Zumutbarkeit der Weiterbeschäftigung - 29. April 2024
• Arbeit auf Abruf – Dauer der wöchentlichen Arbeitszeit - 29. April 2024