DSGVO-Verstoß: Grenzen und Beweislast im Datenschutzrecht

Ein Fall beim Oberlandesgericht Stuttgart (Urteil vom 22. November 2023, Aktenzeichen: 4 U 20/23) betrifft einen Datenschutzverstoß durch das soziale Netzwerk Facebook, wobei persönliche Daten des Klägers durch sogenanntes abgegriffen wurden. Der Kläger verlangte Schadenersatz und die Feststellung weiterer Ersatzpflicht sowie Unterlassung. Das OLG arbeitet dabei heraus:

➡️ Art. 5 Abs. 1 lit. f) DSGVO verlangt, dass in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter/unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit”).

➡️ „Vertraulichkeit“ zielt auf Schutz der Daten vor unbefugter Kenntnisnahme und damit unbefugter Verarbeitung. Die Daten sollen vor geplanten Zugriffen und unbeabsichtigten Beeinträchtigungen geschützt werden. Hierzu gehört, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie verarbeitet werden. Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere vom Risiko eines unberechtigten Zugriffs ab

➡️ Art. 32 Abs. 1 DSGVO konkretisiert, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

➡️ Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist

➡️ Neben der Verpflichtung aus Art. 25 Abs. 1 DSGVO, die Datenschutzgrundsätze wirksam umzusetzen regelt Art. 25 Abs. 2 DSGVO die Verpflichtung des Verantwortlichen, datenschutzfreundliche Voreinstellungen vorzunehmen (Data-Protection-by-Default [Abs. 2] und Privacy-by- [Abs. 1]). Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist (Art. 25 Abs. 2 Satz 1 DSGVO). Die Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit (Art. 25 Abs. 2 Satz 2 DSGVO).

Rechtliche Analyse

Voraussetzungen eines Schadens bei einem DSGVO-Verstoß

Das OLG Stuttgart prüft, ob ein immaterieller Schaden vorliegt. Der Schadensbegriff ist weit zu verstehen, umfasst aber keine bloß subjektiven Wahrnehmungen wie Ärger oder Verunsicherung. Erforderlich ist ein objektiv nachvollziehbarer Nachteil.

Beweislast

Die liegt beim Kläger. Er muss einen kausalen Schaden und dessen Höhe nachweisen. Das Gericht stellt fest, dass der Kläger keinen individuellen spürbaren Schaden dargelegt hat.

Ausreichende Sicherungsmaßnahmen (Art. 5 Abs. 1 lit. f) DSGVO)

Das Gericht stellt fest, dass Facebook seine Pflichten zur Implementierung angemessener Sicherheitsmaßnahmen nicht verletzt hat. Die getroffenen Anti-Scraping-Maßnahmen und Einstellungsmöglichkeiten wurden als ausreichend angesehen. Hintergrund: Art. 5 Abs. 1 lit. f) DSGVO fordert von Datenverarbeitern, personenbezogene Daten so zu verarbeiten, dass sie angemessen vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung geschützt sind. In diesem speziellen Fall ging es um den Schutz der Daten vor unbefugten Zugriffen durch Scraping, also dem Abgreifen von Daten aus dem Kontakt-Import-Tool von Facebook.

Das Gericht stellt fest, dass Facebook Anti-Scraping-Maßnahmen ergriffen hat, die regelmäßig überprüft und angepasst werden. Es wird anerkannt, dass ein vollständiges Verhindern von Scraping aufgrund der Natur des Internets und der technischen Möglichkeiten nicht immer möglich ist. Entscheidend ist, dass angemessene Schutzmaßnahmen vorhanden sind und dass diese auch aktiv gepflegt und angepasst werden, um den Risiken Rechnung zu tragen.

Die Entscheidung zeigt, dass das Gericht die Anstrengungen des Netzwerks in Bezug auf die Implementierung und kontinuierliche Anpassung seiner Sicherheitsmaßnahmen zur Verhinderung des unbefugten Zugriffs auf Nutzerdaten anerkennt. Die Berücksichtigung der Aktualität und Wirksamkeit dieser Maßnahmen im Kontext der sich ständig weiterentwickelnden Bedrohungslandschaft im Internet spielt eine wesentliche Rolle in der Beurteilung der Angemessenheit dieser Maßnahmen.

Das Urteil hebt hervor, dass bei der Beurteilung der Angemessenheit von Sicherheitsmaßnahmen der Kontext und die Natur der Datenverarbeitung, das Risikopotenzial sowie die technischen Möglichkeiten und deren Kosten eine Rolle spielen. Insbesondere in einem Bereich wie dem sozialen Netzwerk, in dem Nutzerinteraktion und Datenverfügbarkeit wesentliche Merkmale sind, muss ein Gleichgewicht zwischen Nutzerfreundlichkeit, Funktionalität und Datensicherheit gefunden werden.

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Es wird angenommen, dass die Telefonnummer standardmäßig suchbar war, um eine leichtere Kontaktaufnahme zwischen Nutzern zu ermöglichen. Dies wird als konform mit Art. 25 Abs. 2 DSGVO betrachtet, da Nutzer die Möglichkeit hatten, die Suchbarkeit ihrer Telefonnummer einzuschränken.

Bei Art. 25 Abs. 2 DSGVO geht es um das Prinzip der Datenminimierung und des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Die Entscheidung zeigt hierzu, dass das Gericht die Balance, die Facebook zwischen Nutzerfreundlichkeit und gefunden hat, anerkennt. Das Gericht sieht es als zumutbar an, dass Nutzer, die einer Plattform beitreten, sich mit deren Funktionsweisen vertraut machen und gegebenenfalls ihre Datenschutzeinstellungen anpassen. Es wird davon ausgegangen, dass ein informierter Nutzer die Kontrolle über seine Datenschutzeinstellungen hat und entsprechend handeln kann.

Wichtig ist hierbei die Erkenntnis, dass die datenschutzfreundlichen Voreinstellungen nicht unbedingt eine maximale Datenschutzstufe für jeden einzelnen Nutzer bedeuten müssen. Vielmehr geht es um eine angemessene Voreinstellung, die den Nutzern einen gewissen Grad an Kontrolle und die Möglichkeit gibt, ihre Datenschutzpräferenzen selbst zu gestalten:

Art. 25 Abs. 2 DSGVO enthält damit nach Wortlaut und Systematik ein sogenanntes Opt-out-Verbot für nicht erforderliche Daten. Erforderlich sind Daten, wenn der Verarbeitungszweck ohne sie nicht zu erreichen ist. Diese Voraussetzung ist restriktiv auszulegen; Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten müssen sich auf das absolut Notwendige beschränken (EuGH GRUR 2021, 1067 Rn. 110; BGH Urteil vom 12.10.2021, VI ZR 488/19 Rn. 30). In der Wahl des Verarbeitungszwecks ist der Verantwortliche allerdings weitgehend frei. Art. 5 Abs. 1 lit. b) DSGVO gebietet es lediglich, einen eindeutigen und legitimen, rechtlich zulässigen Zweck zu wählen. Nicht erforderliche Daten sind demnach solche, die der Verantwortliche nicht notwendig verarbeiten muss. Hinsichtlich der Voreinstellungen ist die bloße Abwahlmöglichkeit insoweit dann nicht ausreichend (Martini in Paal/Pauly, , 3. Aufl. 2021, Art. 25 Rn. 45 – 46; Nolte/Werkmeister in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 25 Rn. 31).

Danach ist durch die standardmäßige Konfiguration von (Privatsphäre-) Einstellungen zu gewährleisten, dass Nutzer eines sozialen Netzwerks die nicht erforderlichen Daten nur den Personenkreisen und nur in dem Umfang zugänglich machen, den sie vorab selbst festgelegt haben (Nolte/Werkmeister in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 25 Rn. 28). Die Verpflichtung gilt nach Art. 25 Abs. 2 Satz 3 DSGVO insbesondere auch für die Zugänglichkeit der Daten, also die tatsächliche Möglichkeit, auf die Daten zuzugreifen.

Die auf soziale Netzwerke zugeschnittene Regelung soll es den betroffenen Nutzern ermöglichen, den Kreis der Empfänger ihrer Nachrichten oder sonstigen Aktivitäten selbst zu steuern. Als Voreinstellung ist der kleinstmögliche Empfängerkreis vorzusehen (Nolte/Werkmeister in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 25 Rn. 31). Deshalb kann der Auffassung der Beklagten nicht gefolgt werden, dass Art. 25 DSGVO keine Vorgaben für konkrete Datenverarbeitungsvorgänge macht – die Frage der möglichst engen Voreinstellungen betrifft konkret die Verarbeitung von Daten.

Erkenntnisse aus der Entscheidung

  • Für Betroffene ist es wesentlich, den Nachweis eines konkreten Schadens und dessen Kausalität zu erbringen.
  • Unternehmen sollten angemessene Sicherheitsmaßnahmen implementieren und transparente Einstellungsmöglichkeiten bieten.
  • Ein Verstoß gegen Datenschutzregelungen führt nicht automatisch zu Schadenersatzansprüchen. Die individuelle Betroffenheit und ein spürbarer Nachteil sind entscheidend.
  • Dieses Urteil betont die Bedeutung der Eigenverantwortung der Nutzer in Bezug auf Datenschutzeinstellungen und unterstreicht die Notwendigkeit, sich mit Plattformrichtlinien und Sicherheitseinstellungen auseinanderzusetzen.

Fazit

Dieses Urteil des OLG Stuttgart verdeutlicht die Komplexität des Datenschutzrechts im digitalen Zeitalter und zeigt auf, dass sowohl Nutzer als auch Plattformbetreiber Verantwortlichkeiten im Umgang mit persönlichen Daten haben.

Gerade was die datenschutzfreundlichen Voreinstellungen angeht, sollte man hier zunehmend einen Fokus entwickeln: Zwar lässt sich vorliegend feststellen, dass das Urteil des OLG Stuttgart die Verantwortung der Nutzer hervorhebt, sich aktiv mit den Datenschutzeinstellungen auseinanderzusetzen und diese entsprechend ihren individuellen Bedürfnissen anzupassen. Gleichzeitig unterstreicht es aber auch, dass die Anforderungen von Art. 25 Abs. 2 DSGVO in einem dynamischen Verhältnis zu den funktionellen Notwendigkeiten und der Nutzerfreundlichkeit einer Plattform stehen.

Weiterhin unterstreicht das OLG die Bedeutung der fortlaufenden Anpassung und Überprüfung von Datenschutzmaßnahmen in einer sich ständig verändernden digitalen Umgebung. Es hebt auch hervor, dass trotz der Implementierung solcher Maßnahmen ein Restrisiko verbleiben kann, welches jedoch im Rahmen der Beurteilung der Angemessenheit der Sicherheitsmaßnahmen zu berücksichtigen ist.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.