Das Oberlandesgericht Dresden befasste sich in mehreren aktuellen Urteilen (4 U 1398/23, 4 U 709/23 und 4 U 1094/23) mit dem Thema Scraping und DSGVO, wobei der Fokus auf Art. 25 DSGVO und den erforderlichen Sicherungsmaßnahmen lag. Diese Entscheidungen beleuchten, wie Datenschutz im digitalen Raum verstanden und umgesetzt werden sollte.
Kernaspekte der Urteile
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
- Voreinstellungen in sozialen Netzwerken sollten gemäß dem Grundsatz der Datenschutzfreundlichkeit gestaltet sein.
- Das OLG Dresden stellte fest, dass die Suchbarkeitseinstellung für Telefonnummern auf „alle“ nicht datenschutzkonform war, da nur die für den jeweiligen Zweck erforderlichen Daten standardmäßig verarbeitet werden sollten.
So führt das OLG aus:
Nach Art. 25 Abs. 2 DSGVO muss die Beklagte geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden.
Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Bei der Registrierung soll dem Betroffenen nämlich gewährleistet werden, dass er nur in eine solche Verarbeitung einwilligt, die die Veröffentlichung seiner Daten ohne sein Eingreifen kategorisch ausschließt (vgl. LG Freiburg (Breisgau), Urteil vom 15.09.2023 – 8 O 21/23, Rn 122 – juris).
Der Betreiber eines sozialen Netzwerks soll damit verpflichtet werden, die Default-Einstellungen so zu treffen, dass Inhalte der Nutzer nicht standardmäßig mit anderen Nutzern oder Dritten geteilt werden (vgl. LG Freiburg a.a.O.). Als Voreinstellung ist daher der kleinstmögliche Empfängerkreis vorzusehen (vgl. LG Freiburg (Breisgau), Urteil vom 15.09.2023 – 8 O 21/23, Rn 122 – juris). Da der Kläger sich bereits vor dem 25.05.2018 registriert hat, hatte die Beklagte sicherzustellen, dass die datenschutzunfreundliche Voreinstellung zum 25.05.2018 unter Abkehr des „opt-out“ Systems geändert wird (vgl. OLG Hamm, Urteil vom 15.08.2023 – 7 U 19/23, Rn 128 – juris).
OLG Dresden, 4 U 709/23
Beweislast im Schadensersatzprozess
- Bei Datenschutzverletzungen liegt die Beweislast für einen Schaden und dessen Kausalität beim Anspruchsteller.
- Ein abstrakter Kontrollverlust über Daten reicht für einen immateriellen Schaden nach Art. 82 DSGVO nicht aus.
Angemessene Sicherungsmaßnahmen
- Die Erfüllung der Pflicht zur Implementierung angemessener Sicherheitsmaßnahmen gemäß Art. 5 Abs. 1 lit. f DSGVO war ein zentraler Punkt.
- Das Gericht ließ offen, ob ausreichende Maßnahmen gegen Scraping ergriffen wurden. Wichtig ist, dass die Maßnahmen den technischen Standards und der Risikoeinschätzung entsprechen müssen.
Schlussfolgerungen und Empfehlungen
- Unternehmen müssen die Balance zwischen Nutzerfreundlichkeit und Datenschutz wahren, besonders in Bezug auf Voreinstellungen.
- Der Nachweis eines konkreten Schadens durch Datenschutzverletzungen erfordert klare Belege und kann nicht allein auf theoretischen Überlegungen basieren.
- Die Bedeutung von präventiven Sicherheitsmaßnahmen gegen Datenmissbrauch, wie Scraping, wird unterstrichen.
Fazit
Die Urteile des OLG Dresden heben die Komplexität und Bedeutung des Datenschutzes in der digitalen Welt hervor. Sie zeigen, dass datenschutzfreundliche Voreinstellungen und angemessene Sicherheitsmaßnahmen wesentliche Aspekte sind, um die Integrität personenbezogener Daten zu wahren.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.