Wie ist es eigentlich um den Schutz von sensiblen Daten beim Datenscraping und Schadensersatzansprüchen von Betroffenen bestellt?
Kurz vorweg: Beim Datenscraping geht es darum Daten vom Bildschirm zu kratzen. Mit einem Programm – dem Srcaper – ist es möglich eine Website aufzurufen, dessen Inhalte als HTML-Code herunterzuladen und diesen Code dann nach den gewünschten Informationen zu filtern.
Nun zum Fallbeispiel aus der Praxis, mit welchem sich das Landgericht Mannheim befassen durfte:
Ein Unternehmen hatte die persönlichen Daten einer Klägerin, die sich auf einer Social-Media-Plattform registriert hatte, nicht ausreichend geschützt. So kam es zu einer unbefugten Offenlegung sensibler Informationen wie Namen, Adressen und Kommunikationsinhalte.
Die Klägerin erlitt nach eigenen Angaben dadurch erhebliche emotionale Belastungen und verlangte Schadensersatz.
Technisch organisierte Maßnahmen & Immaterieller Schaden gem. DSGVO
Das Gericht stellte zunächst fest, dass die Sicherheitsmaßnahmen des Unternehmens, wie Passwortschutz und der eingeschränkte Mitarbeiterzugriff, nicht ausreichten. Vor allem in Branchen mit hohem Risiko sind weitergehende Maßnahmen wie umfassende Verschlüsselung und regelmäßige Sicherheitsüberprüfungen erforderlich.
Außerdem wurde klargestellt, dass der Verlust oder die unbefugte Offenlegung personenbezogener Daten einen immateriellen Schaden darstellen kann. Es kommt nicht auf einen finanziellen Nachweis an, sondern darauf, dass der Betroffene einen Nachteil in Form von Stress, Angst oder anderen negativen Auswirkungen erlitten hat.
Bemessung der Schadenshöhe & Ausblick
Die Schadenshöhe wurde anhand der Schwere der Verletzung, der Sensibilität der Daten und der subjektiven Betroffenheit der Klägerin bemessen. Grundsätzlich gibt es aber keine festen Beträge für immaterielle Schäden, jeder Fall wird individuell bewertet.
Datenscraping ist nicht verboten oder ein Verbrechen. Die Entscheidung des LG Mannheim setzt jedoch wichtige Akzente in der Auslegung und Anwendung der DSGVO. Insbesondere im Hinblick auf die Anforderungen der technischen und organisatorischen Maßnahmen, aber auch durch die Anerkennung immaterieller Schäden und deren Berücksichtigung bei der Bemessung von Schadensersatz.