• 1060 Wien, Mariahilfer Straße 35/28
  • (+43) 664 416 18 81
  • contact@rekono.io

© 2025 rekono.io – sammeln, wissen, lehren, lösen

Entscheidung des Tages vom 18.11.2024

Sicherheitsmaßnahmen

Allein die Tatsache, dass es zu einem Data Breach gekommen ist, ist kein Beweis dafür, dass die Verantwortliche im Vorfeld ungeeignete Maßnahmen ergriffen hat.

Germany. AG Lichtenberg. Gefordert wurde immaterieller Schadenersatz. Der Schaden sei durch einen Scraping-Vorfall in einem sozialen Netzwerk entstanden. Im Jahr 2019 hätten unbekannte Dritte persönliche Daten des Klägers über die so genannte Kontaktimport-Funktion erhoben. Diese Daten, darunter Telefonnummer und Namen, gelangten später sogar in das Darknet. Dadurch sei dem Kläger ein Kontrollverlust, Unwohlsein und einem Anstieg unerwünschter Kommunikation widerfahren.

Die Betreiberin des sozialen Netzwerks argumentierte, dass keine Sicherheitslücken vorgelegen habe und die Verantwortung beim Kläger als Nutzer der Plattform liege, weil dieser selbst entschieden habe, seine Daten öffentlich zugänglich zu machen. Zudem habe man Maßnahmen ergriffen, um Scraping zu verhindern, wie etwa die Einschränkung der Suchfunktionen.

Zum Auskunftsanspruch:

  • Der Auskunftsanspruch ist grundsätzlich erfüllt, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen.
  • Die Auskunftserteilung mittels Fernzugriffs auf ein elektronisches Auskunftssystem des Verantwortlichen genügt den an die Auskunftserteilung zu stellenden formellen Anforderungen.
  • Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen.
  • Die Behauptung der betroffenen Person, die Verantwortliche verfüge über weitere Informationen, kann als „ins Blaue hinein“ aufgestellt angesehen werden und gibt keinen Grund zu der Annahme, dass die Auskunft nicht mit der erforderlichen Sorgfalt erteilt worden wäre.

Zu Privacy by Design:

  • Der Verantwortliche hat die Voreinstellungen und Optionen für die Verarbeitung so auszuwählen, dass nur die Verarbeitung standardmäßig ausgeführt wird, die (unbedingt) erforderlich ist, um den vorgegebenen rechtmäßigen Zweck zu erreichen.
  • Ein Verstoß gegen die Pflicht zur Wahl datenschutzfreundlicher Voreinstellungen stellt zugleich einen Verstoß gegen die Grundsätze der Zweckbindung, Datenminimierung und Speicherbegrenzung dar.
  • Werden vom Verantwortlichen die erforderlichen Sicherheitsmaßnahmen eingehalten und kommt es dennoch zu einem unbefugten Datenzugriff, fehlt es an einem Verschulden.

Zum Data Breach: Allein die Tatsache, dass es zu einem Data Breach gekommen ist, ist kein Beweis dafür, dass die Verantwortliche im Vorfeld ungeeignete Maßnahmen ergriffen hat.

Zur Haftung und dem Recht auf Schadenersatz:

  • Art 82 EU-DSGVO erfasst jedweden Verstoß gegen die EU-DSGVO.
  • Dementsprechend ist nicht vorausgesetzt, dass eine Schutznorm verletzt wird oder eine rechtswidrige Datenverarbeitung vorliegt, es genügt jede Verletzung materieller oder formeller Bestimmungen der EU-DSGVO.
  • Bereits in der ungeschützten Bereitstellung der Daten kann ein Datenschutzverstoß liegen.
  • Die betroffene Person trägt die Beweislast für die tatbestandsbegründenden Umstände.
  • Hingegen trägt die Verantwortliche die Beweislast dafür, dass die von ihr getroffenen Sicherheitsmaßnahmen iSv Art 32 EU-DSGVO geeignet waren.
  • Da Art 32 EU-DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist.
  • Entlastung nach Art 82 Abs 3 EU-DSGVO nur, wenn die Verantwortliche sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist.
  • Hat die betroffene Person im Rahmen des vorliegenden Verfahrens keinen konkreten materiellen Schaden dargelegt oder geltend gemacht, erscheint es als nicht vorstellbar, dass der betroffenen Person zukünftig noch materielle Schäden entstehen, die auf den Data Breach zurückzuführen sind.

Erhalten Sie die Entscheidung des Tages täglich und kostenlos mit Quellenzitat, Direktlink zur Entscheidung und den Rekono-Leitsätzen per E-Mail.

Zur Rekono EdTplus jetzt kostenlos anmelden
Letzte Entscheidung des Tages
Nächste Entscheidung des Tages
DatenschutzinformationAGB & LizenzKontaktImpressum