Stellen Sie sich vor, ein mittelständisches Unternehmen kauft für teures Geld eine Personalverwaltungssoftware – modern, funktional, vom etablierten Anbieter. Zwei Jahre später steht die Aufsichtsbehörde im Haus, weil sich Bewerberdaten nicht löschen lassen, jeder Sachbearbeiter sämtliche Personalakten einsehen kann und im Hintergrund Datenbestände schlummern, von denen niemand wusste. Das Bußgeld trifft nicht den Hersteller, sondern den Käufer. Genau hier liegt der wunde Punkt, an dem datenschutzfreundliche Technikgestaltung von einer abstrakten Programmieridee zum handfesten wirtschaftlichen Risiko wird – und an dem sich entscheidet, wer am Ende für die Versäumnisse haftet.
(mehr …)Schlagwort: 25 DSGVO
Art. 25 DSGVO: Ein Verstoß gegen Art. 25 DSGVO liegt vor, wenn vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) nicht ordentlich umgesetzt sind.
Designprinzipien für LLM-basierte Systeme des BSI
Ein aktuelles BSI-Whitepaper zu Designprinzipien für LLM-basierte Systeme mit „Zero Trust“-Ansatz enthält zentrale Empfehlungen zur sicheren Implementierung von KI-Systemen in Unternehmen und Behörden. Die Vorgaben reichen von der Authentifizierung und dem Input-/Output-Schutz bis hin zum Monitoring und Hintergrundwissen für die Awareness.
Doch Vorsicht, diese Empfehlungen sind mehr als reine IT-Empfehlungen: Sie berühren unmittelbar haftungsrechtliche Fragen und betreffen die konkrete Umsetzung datenschutzrechtlicher Vorgaben gemäß Art. 25 DSGVO („Privacy by Design“ und „Privacy by Default“).
(mehr …)
Datenkontrolle und digitale Verantwortung: OLG Köln erkennt immateriellen Schadenersatz nach Scraping-Vorfall zu
Mit Urteil vom 3. April 2025 (Az. 15 U 40/23) hat das Oberlandesgericht Köln seine Rechtsprechung zum immateriellen Schadenersatz nach Datenschutzverstößen weiter konkretisiert und zugleich ein wichtiges Signal für den Schutz der digitalen Selbstbestimmung gesetzt. Im Zentrum stand der unautorisierte Zugriff auf Nutzerdaten durch sogenanntes „Scraping“ bei einer großen Online-Plattform. Der Kläger hatte seine Mobilfunknummer auf der Plattform hinterlegt – und fand sie später gemeinsam mit seinem Pseudonym in einem öffentlich zugänglichen Datensatz im Netz wieder. Die Entscheidung beleuchtet nicht nur die Reichweite von Art. 82 DSGVO, sondern auch die Voraussetzungen wirksamer Einwilligung und die Verantwortung von Plattformbetreibern für datenschutzfreundliche Voreinstellungen.
(mehr …)
Kontrollverlust bei Scraping trotz vorheriger Bekanntgabe an ausgewählte Empfänger
Das Oberlandesgericht Koblenz hat in seiner Entscheidung vom 11. Februar 2025 (Az. 3 U 145/24) eine zentrale Frage des Datenschutzrechts beantwortet: Kann ein Nutzer die Kontrolle über seine personenbezogenen Daten verlieren, wenn diese durch einen Scraping-Vorfall aus einem sozialen Netzwerk extrahiert werden, selbst wenn er diese Daten bereits zuvor bewusst an ausgewählte Empfänger außerhalb des Netzwerks weitergegeben hat?
Diese Frage hat das Gericht bejaht und damit eine differenzierte Sicht auf die Bedeutung der Kontrolle über persönliche Daten entwickelt. Die Entscheidung wirft ein Schlaglicht auf die Anwendung von Art. 5, Art. 25 und Art. 82 der Datenschutz-Grundverordnung (DSGVO) und setzt neue Maßstäbe für die Beurteilung von Datenschutzverstößen in sozialen Netzwerken. Doch die Sache bleibt streitig.
(mehr …)
Zulässigkeit und prozessuale Probleme einer Videoüberwachung
Das Urteil des Amtsgerichts Brandenburg vom 5. Dezember 2024 (Az. 30 C 190/22) setzt neue Akzente im Bereich der Videoüberwachung und des Datenschutzrechts. Diese Entscheidung fügt sich in die jüngere Rechtsprechung ein, die zunehmend die Rechte auf informationelle Selbstbestimmung und den Schutz der Privatsphäre stärkt, insbesondere vor unzulässigen Überwachungsmaßnahmen.
(mehr …)
Datenschutz im Zeitalter des Scraping: Einblicke in die Urteile des OLG Dresden
Das Oberlandesgericht Dresden befasste sich in mehreren aktuellen Urteilen (4 U 1398/23, 4 U 709/23 und 4 U 1094/23) mit dem Thema Scraping und DSGVO, wobei der Fokus auf Art. 25 DSGVO und den erforderlichen Sicherungsmaßnahmen lag. Diese Entscheidungen beleuchten, wie Datenschutz im digitalen Raum verstanden und umgesetzt werden sollte.
(mehr …)
DSGVO-Verstoß: Grenzen und Beweislast im Datenschutzrecht
Ein Fall beim Oberlandesgericht Stuttgart (Urteil vom 22. November 2023, Aktenzeichen: 4 U 20/23) betrifft einen Datenschutzverstoß durch das soziale Netzwerk Facebook, wobei persönliche Daten des Klägers durch sogenanntes Scraping abgegriffen wurden. Der Kläger verlangte Schadenersatz und die Feststellung weiterer Ersatzpflicht sowie Unterlassung. Das OLG arbeitet dabei heraus:
➡️ Art. 5 Abs. 1 lit. f) DSGVO verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter/unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit”).
➡️ „Vertraulichkeit“ zielt auf Schutz der Daten vor unbefugter Kenntnisnahme und damit unbefugter Verarbeitung. Die Daten sollen vor geplanten Zugriffen und unbeabsichtigten Beeinträchtigungen geschützt werden. Hierzu gehört, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie verarbeitet werden. Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere vom Risiko eines unberechtigten Zugriffs ab
➡️ Art. 32 Abs. 1 DSGVO konkretisiert, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
➡️ Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist
➡️ Neben der Verpflichtung aus Art. 25 Abs. 1 DSGVO, die Datenschutzgrundsätze wirksam umzusetzen regelt Art. 25 Abs. 2 DSGVO die Verpflichtung des Verantwortlichen, datenschutzfreundliche Voreinstellungen vorzunehmen (Data-Protection-by-Default [Abs. 2] und Privacy-by-Design [Abs. 1]). Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist (Art. 25 Abs. 2 Satz 1 DSGVO). Die Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit (Art. 25 Abs. 2 Satz 2 DSGVO).
(mehr …)
Data-Sharing und Datenlizenzvertrag: Rechtliche Aspekte der Datennutzung
Data-Sharing und Datenlizenzvertrag: Im digitalen Zeitalter sind Daten – so das geflügelte Wort – das „neue Gold“. Sie treiben Innovationen voran, ermöglichen fortschrittliche KI-Technologien und sind zentraler Bestandteil vieler Geschäftsmodelle. Doch mit der zunehmenden Bedeutung von Daten wachsen auch die rechtlichen Herausforderungen. In diesem Beitrag werfen wir einen Blick auf einige der wichtigsten rechtlichen Fragen im Kontext der Nutzung von Daten.
(mehr …)Mehr zu konkreten IT-Verträgen finden Sie auf unserer Webseite, wir sind im IT-Vertragsrecht beratend tätig:
Art. 25 DSGVO: Privacy by Design und Privacy by default
Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design“). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, dass bestehende Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten“ Voreinstellungen gesetzt werden („Privacy by default“).
(mehr …)
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping
Was geeignete Anti-Scraping-Maßnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoß gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.
(mehr …)
Datenschutzverstoß durch ungewolltes Versenden von Excel-Tabelle mit personenbezogenen Daten
Durch eine Verkettung unglücklicher Umstände wurde in einem Fall eine E-Mail mit einer Excel-Tabelle als Anhang versandt, die zuvor versehentlich nicht gelöscht worden war. So wurde die Excel-Datei, die nicht durch ein Passwort vor einfachem Zugriff geschützt war, an 1200 Empfänger versandt. Unmittelbar nach dem Versand der E-Mail wurde der Fehler bemerkt und die versendete E-Mail zurückgerufen, was in 500 Fällen erfolgreich war.
Besagte Excel-Datei enthielt personenbezogene Daten von ca. 13.000 Personen, die in der von der Beklagten betriebenen Impfstelle einen Impftermin gebucht hatten. Neben Vor- und Nachnamen, Anschrift und Geburtsdatum waren auch Angaben zum vorgesehenen Impfstoff und dazu, ob es sich um die erste oder zweite Impfung handelte, enthalten.
Soweit die Personen bei der Terminbuchung auch eine Telefonnummer und/oder eine E-Mail-Adresse angegeben hatten, waren auch diese Daten in der Datei enthalten. In Bezug auf den Beschwerdeführer enthielt die Liste seinen Vor- und Nachnamen, seine Anschrift, sein Geburtsdatum, seine Mobiltelefonnummer, seine E-Mail-Adresse, den Impfstoff für die geplante zweite Impfung und das Datum der geplanten Impfung. Dies stellt eindeutig eine Verletzung des Datenschutzes dar.
(mehr …)Privacy-by-Default von Rechenschaftspflicht erfasst
Immer noch ein wenig im Schatten steht die Vorgabe des „Privacy-by-Default“ des Art. 25 II DSGVO. Nun hat der EUGH die Bedeutung dieses Prinzips hervorgehoben, indem klargestellt wurde, dass die Rechenschaftspflicht nach Art. 5 II DSGVO sich eben hierauf bezieht:
In diesem Zusammenhang ist darauf hinzuweisen, dass der für die Verarbeitung Verantwortliche nach dem in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatz der Rechenschaftspflicht nachweisen können muss, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält. Folglich obliegt es der lettischen Steuerverwaltung, nachzuweisen, dass sie gemäß Art. 25 Abs. 2 dieser Verordnung versucht hat, die Menge der zu erhebenden personenbezogenen Daten so gering wie möglich zu halten.
EUGH, C‑175/20Die Regel des Art.5 II DSGVO ist im Allgemeinen als Beweislast mit teils erheblichen Dokumentationspflichten zu verstehen für denjenigen, der sich auf die Rechtmäßigkeit einer Datenverarbeitung beruft (dazu nur Gola/Heckmann/Pötters DS-GVO Art. 5 Rn. 31-35). Bisher stand bei Art. 25 DSGVO vor allem die Bußgeldbewährung im Vordergrund – man wird nun umdenken müssen und beachten, dass Art. 25 II DSGVO auch bei dem Nachweis ordnungsgemäßer Datenverarbeitung eine tragende Rolle spielt. Selbiges wird für Art. 25 I DSGVO gelten.
Haftung der Geschäftsführung für IT-Sicherheitslücken
Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar? In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile des Vortrags zur Haftung des Vorstands bei IT-Sicherheitslücken vor.
Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.
(mehr …)
Versand von USB-Stick per Post
Dass das Versenden von elektronischen Dokumenten auf einem USB-Stick per Post – ohne gesonderte Schutzmaßnahmen keinen grundsätzlichen datenschutzrechtlichen Bedenken begegnet, hat das Landgericht Essen, 6 O 190/21, hervorgehoben. Insbesondere sah das Gericht keinen Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO.
(mehr …)Protonmail gibt IP-Adresse heraus
Es gab in der jüngeren Vergangenheit einige Aufregung, weil Protonmail wohl eine IP-Adresse zu einem Account an Ermittler herausgegeben hat. Dazu ist aus juristischer Sicht nur zu sagen: Natürlich haben sie das getan – und sie werden es sicherlich wieder tun. Denn es gibt letztlich keinen absoluten Schutz bei offiziellen Anbietern im geographischen Raum Europa, selbst wenn man sich in der Schweiz befindet, also außerhalb der EU.
(mehr …)