Was geeignete Anti-Scraping-Maßnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoß gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.
Anlässlich eines Scraping-Vorfalls bei einem großen und bekannten sozialen Netzwerk betont das Gericht, dass insoweit nicht eine ex post, sondern vielmehr eine ex ante Betrachtung angezeigt ist. Die bestehenden Maßnahmen genügten dem Gericht insoweit:
- Einrichtung eines EDM-Teams zur Identifizierung von Aktivitätsmustern und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten verbunden sind.
- Einführung von Übertragungsbeschränkungen, die die Anzahl der Abfragen bestimmter Daten begrenzen, die pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gestellt werden können
- Unterlassungsanordnungen, Kontensperrungen und Gerichtsverfahren gegen Scraper durchsetzen
- Anpassung des Systems an die entwickelten Scraping-Taktiken, um sicherzustellen, dass die Verknüpfung von Telefonnummern mit bestimmten Facebook-Nutzern über die Kontakt-Import-Funktion nicht mehr möglich ist
- Durchführung von Captcha-Abfragen (vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen), d.h. die Möglichkeit herauszufinden, ob sich hinter der Abfrage ein menschlicher Nutzer verbirgt oder nicht.
Das Landgericht stellte fest, dass es sich beim Scraping um ein bekanntes und immer wieder auftretendes Problem handelt, das vom „Hacking“ zu unterscheiden ist. Die Möglichkeiten der Risikominimierung sind insoweit naturgemäß begrenzt, da die Preisgabe personenbezogener Daten im Internet immer mit einem gewissen Risiko verbunden ist. Die Kammer hat daher die von der Beklagten getroffenen Maßnahmen für ausreichend erachtet, da in diesen Fällen insbesondere die Anpassung an sich entwickelnde Scraping-Methoden immer erst im Nachgang zu einem Scraping-Vorfall erfolgen kann.
Auch sei nicht auf einzelne Sicherheitsmechanismen abzustellen: Insoweit besteht ein Ermessensspielraum des Anbieters, welche einzelnen technischen und organisatorischen Maßnahmen umgesetzt werden, um im Rahmen einer Gesamtabwägung aller Maßnahmen ein angemessenes Schutzniveau zu gewährleisten. Und abschließend: Allein aus der Tatsache, dass es zu einem Scraping-Vorfall gekommen ist, kann nicht geschlossen werden, dass das Sicherheitssystem gegen die DSGVO verstoßen hat.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024