OLG Hamm zu Anforderungen an Schutzmaßnahmen gegen Scraping-Vorfälle

OLG Hamm zu Anforderungen an Schutzmaßnahmen gegen Scraping-Vorfälle - Rechtsanwalt Ferner

Das Urteil des Oberlandesgerichts Hamm (22. November 2024, Az. 25 U 33/24) geht auf verschiedene Kriterien im Bereich des Datenschutzes und der Anwendung der im Zivilrecht ein. Insbesondere beleuchtet das Gericht die datenschutzrechtliche , die Vertragszweckbindung und die Anforderungen an Schutzmaßnahmen gegen -Vorfälle, was im Ergebnis nochmals eine wirklich spannende Entscheidung ist.

Inhalte Anzeigen

Sachverhalt

Gegenstand des Verfahrens war ein sogenannter Scraping-Vorfall auf einer großen Online-Plattform, bei dem von Millionen Nutzern gesammelt und veröffentlicht wurden. Die Klägerin, eine Nutzerin der Plattform, erhob Ansprüche auf Schadensersatz, Unterlassung und Auskunft, da ihre Daten unter den geleakten Informationen waren. Die Beklagte hatte die Standardeinstellung für die Suchbarkeit von Nutzerdaten auf „alle“ belassen, was Scraping erleichterte. Es wurde argumentiert, dass diese Voreinstellungen gegen die Grundprinzipien der DSGVO verstoßen.

Darlegungs- und Beweislast im Rahmen der Datenschutz-Grundverordnung (DSGVO)

Rechtliche Analyse

1. Datenschutzrechtliche Beweislast

Das Gericht stellte klar, dass die DSGVO (Art. 5 Abs. 2) eine Verschiebung der Beweislast bewirkt. Unternehmen sind verpflichtet, die Rechtmäßigkeit der Datenverarbeitung darzulegen und nachzuweisen. Dies umfasst nicht nur technische und organisatorische Schutzmaßnahmen, sondern auch eine fundierte Dokumentation. Besonders relevant ist dies in Fällen, in denen die Rechenschaftspflicht des Verantwortlichen zur Diskussion steht.

2. Vertragszweck und Datenminimierung

Ein zentraler Punkt des Urteils war die Prüfung, ob die Verarbeitung personenbezogener Daten zur Erfüllung des Vertragszwecks erforderlich war (Art. 6 Abs. 1 lit. b DSGVO). Das Gericht setzte hier strenge Maßstäbe: Wirtschaftliche Interessen des Plattformbetreibers reichen nicht aus, um umfassende Suchbarkeitsfunktionen zu rechtfertigen. Vielmehr müssen Unternehmen nachweisen, dass der Hauptzweck des Vertrags ohne diese Verarbeitung nicht realisierbar wäre. Dies stärkt den Grundsatz der Datenminimierung und „Privacy by Default“.

3. Technische und organisatorische Schutzmaßnahmen

Das Urteil betont, dass die Anforderungen des Art. 32 DSGVO eine Einzelfallbetrachtung erfordern. Die gewählten Maßnahmen müssen ein hinreichendes Schutzniveau gewährleisten, wobei technische und qualitative Standards einzuhalten sind. Im vorliegenden Fall genügte die bloße Deaktivierung einzelner Funktionen nicht den Anforderungen. Alternativen, die einen effektiveren Schutz vor Scraping ermöglicht hätten, wurden von der Beklagten nicht genutzt.

4. Immaterieller Schadensersatz

Der immaterielle Schadensersatz gemäß Art. 82 DSGVO war ein weiterer Aspekt. Das Gericht verlangte von der Klägerin den Nachweis, dass der Kontrollverlust über ihre Daten zu einer persönlichen oder psychologischen Beeinträchtigung geführt hat. Zugleich musste dargelegt werden, dass die Hoheit über die Daten nicht durch frühere Handlungen der Klägerin bereits verloren gegangen war, beispielsweise durch freiwillige Veröffentlichung.

Bedeutung für die Praxis

Dieses Urteil hat erhebliche Auswirkungen auf die Praxis der Datenverarbeitung. Unternehmen sind stärker gefordert, ihre Datenschutzkonzepte zu überprüfen und anzupassen. Folgende Maßnahmen sind essenziell:

  • Beweislast erfüllen: Präzise Dokumentation aller Verarbeitungsvorgänge und Schutzmaßnahmen.
  • Privacy by Default umsetzen: Standardeinstellungen auf minimalen Datenschutzbedarf ausrichten.
  • Risikobasierter Ansatz: Regelmäßige Überprüfung und Anpassung technischer Schutzmechanismen.

Die Entscheidung des OLG Hamm betont die strengen Anforderungen der DSGVO und setzt Maßstäbe für die Rechtsprechung im Zivilrecht. Sie zeigt auf, dass Unternehmen in der Pflicht stehen, nicht nur rechtliche, sondern auch technische und organisatorische Vorgaben stringent umzusetzen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.