Gewährleistung eines angemessenen Datenschutzniveaus

Getroffene Sicherheitsmaßnahmen müssen geeignet sein, ein angemessenes Datenschutzniveau zu gewährleisten. Es ist nicht ausreichend, wenn nur diverse Maßnahmen schlagwortartig benannt werden.

Tatbestand

Die Klägerin macht gegen die Beklagte Ansprüche wegen datenschutzrechtlichen Verstößen geltend.

Die Klägerin hatte bei der Beklagten ein Konto zur Nutzung einer Social-Media-Plattform erstellt. Dazu hat sie ihren Vornamen, ihren Nachnamen, ihr Geschlecht und ihre Mobiltelefonnummer angegeben. Ihr wurde eine Nutzer-ID zugewiesen.

Bei dem Namen, dem Geschlecht und der Nutzer-ID handelt es sich um zwingende und immer öffentlich einsehbare Nutzerinformationen, damit Nutzer mit anderen Nutzern auf der Plattform in Kontakt treten können. Andere Informationen, wie Telefonnummer, Wohnort, Stadt, Beziehungsstatus, Geburtstag und E-Mail-Adresse, können optional eingegeben werden und sind nur dann einsehbar, wenn dies durch die Einstellungen zur sog. „Zielgruppenauswahl“ auf Objektebene ermöglicht wird. Die Standard-Einstellung der Beklagten zur Zielgruppenauswahl war „Freunde“ (also nicht „öffentlich“). Zu unterscheiden ist diese Zielgruppenauswahl von der Suchbarkeitseinstellung, die festlegt, wer das Profil eines Nutzers anhand einer Telefonnummer finden kann. Die Standard-Einstellung für die Suchbarkeit von Telefonnummern war „Alle“. Neben der Option „Alle“ konnten Nutzer in den Privatsphäre-Einstellungen festlegen, dass nur „Freunde von Freunden“ oder „Freunde“ ihr Profil auf diese Art finden können.

Aufgrund der Voreinstellung „Alle“ konnte im vorliegenden Fall jedermann anhand der Telefonnummer der Klägerin das Nutzerprofil der Klägerin samt den hierzu hinterlegten immer öffentlichen Daten suchen und finden.

Die Möglichkeiten zur Suchbarkeit wurden von der Beklagten auch für eine sog. „Kontakt-Importer-Funktion“ nutzbar gemacht: Danach können Telefonnummern, die in den Kontakten von Mobilgeräten gespeichert sind, mit den Daten der Nutzerkonten bei der Beklagten abgeglichen werden, um Nutzer der Social-Media-Plattform zu suchen und zu finden. In technischer Hinsicht werden dabei die Telefonnummern über eine Programmierschnittstelle (API) auf einen Server der Beklagten hochgeladen. Dieser sucht in der Datenbank der Beklagten, ob die hochgeladenen Telefonnummern dort auch im Rahmen von Nutzerkonten gespeichert sind. Bei der Beklagten gespeicherte Telefonnummern werden dabei nur durchsucht bzw. gefunden, wenn die Suchbarkeit für das zugehörige Konto auf „Alle“ eingestellt worden ist. Wird eine hochgeladene Telefonnummer in der Datenbank der Beklagten gefunden, so werden dem anfragenden Gerät, das die abzufragenden Telefonnummern hochgeladen hatte, unter Bezugnahme auf diese Anfrage die für dieses Konto, dem die Telefonnummer bei der Beklagten zugeordnet war, ebenfalls gespeicherten, immer öffentlichen Daten zum Namen, Geschlecht und Nutzer-ID übermittelt.

Diese Funktionalität machten sich Unbekannte zunutze. Sie erzeugten anhand von tatsächlich oder auch nur vermuteten Bildungsregeln für Telefonnummern, eine Liste mit sequentiellen Nummern als Zeichenkette. Hieraus erstellten sie auf Mobilgeräten Kontaktlisten. Diese luden sie über die Kontakt-Importer-Funktion auf den Server der Beklagten hoch. Das IT-System der Beklagten suchte in ihrer Datenbank unter den gespeicherten Telefonnummern nach diesen hochgeladenen Nummern. Sofern eine der Nummern auch in der Datenbank der Beklagten gespeichert war, wurden dem anfragenden Gerät der Unbekannten – entsprechend dem Standardprozess – die Daten zum Namen, Geschlecht und zur Nutzer-ID des zugehörigen Kontos übermittelt. Diese Informationen ordneten die Unbekannten den übermittelten Nummern zu. Hieraus erzeugten die Unbekannten eine Liste mit „verifizierten“ Telefonnummern nebst den weiteren Daten, die im Internet verbreitet wurde (sog. Scraping).

Aus den gerichtlichen Entscheidungsgründen

Im vorliegenden Fall trägt die Klägerin schlüssig vor, dass die Beklagte ihr Datenschutzgrundrecht aus Art. 8 GRCh bzw. Art. 16 AEUV verletzt hat. Danach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. In Art. 8 Abs. 2 GRCh heißt es weiter, dass diese Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Erfolgt eine Datenverarbeitung nicht im Einklang mit den Vorgaben der DSGVO, wird dieses Recht verletzt. Dem entspräche im Wesentlichen das hier – aufgrund des Anwendungsvorranges der DSGVO als vollharmonisiertem Recht (vgl. BVerfG, Beschluss vom 06.11.2019 – 1 BvR 276/17) – nicht heranzuziehende Recht auf informationelle Selbstbestimmung als Ausdruck des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG. Dieses Recht gewährleistet (ebenfalls) die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu entscheiden (vgl. BVerfG, Beschluss vom 07.12.2011 – 2 BvR 2500/09, Rn. 137). Angesichts dieser Verletzung eines absoluten Rechtes genügt im vorliegenden Fall allein die Möglichkeit des Eintritts eines Schadens. Es ist durchaus möglich, dass die personenbezogenen Daten der Klägerin aufgrund der Offenlegung (weitere) Verwendung durch Unbefugte in Zukunft finden und ihr so – je nach Art der Verwendung – ein Schaden entstehen kann. Ist ihre Mobiltelefonnummer durch einen Verstoß der Beklagten als Teil einer „Leak-Liste“ offengelegt worden, so liegt es sogar nahe, dass (auch) ihre Nummer von Unbefugten verwendet werden wird. Es kann von einer Vielzahl von Umständen abhängen, ob aus dieser Verwendung auch ein Schaden resultiert. Dass aber kein Grund bestünde mit dem Eintritt eines Schadens nicht wenigstens zu rechnen, lässt sich auf dieser Grundlage nicht feststellen. Zwar mag es – wie in der mündlichen Verhandlung erörtert – für die Klägerin in Zukunft auf Grundlage der begehrten Feststellung eine Herausforderung darstellen, auch den Nachweis zu führen, dass weitere Schäden als mit der vorliegenden Klage geltend gemacht gerade auf diesen Vorfall zurückzuführen sind. Die Schwierigkeit einen Beweis zu führen, steht aber der Möglichkeit eines kausalen Schadens nicht entgegen.

Die Klägerin begehrt mit dem Unterlassungsantrag von der Beklagten, dass ihre Daten nicht über eine Software zum Importieren von Kontakten zugänglich gemacht werden, wenn diese nicht durch Sicherheitsmaßnahmen nach dem Stand der Technik geschützt sind. Unerheblich ist dabei, dass die Klägerin die Sicherheitsmaßnahmen lediglich abstrakt beschreibt. Als Laiin ist sie nicht zu einer substantiierteren Beschreibung in der Lage. Ihr Rechtschutz liefe leer, wollte man von ihr die Angabe konkreter Maßnahmen verlangen, die diesen Stand der Technik umsetzen. Vielmehr obliegt es der Beklagten – im Rahmen des ihr zustehenden Ermessens – zu entscheiden, auf welchem Wege sie diesen Erfolg herbeiführt.

Es steht zur Überzeugung des Gerichtes fest, dass die Klägerin von dem gegenständlichen Scraping-Vorfall betroffen ist und ihre Daten auf eine Anfrage anhand einer sequentiell erstellten Nummer, die mit ihrer Telefonnummer übereinstimmte, übermittelt wurden.

Dies beruht zum einen auf den Angaben der Klägerin selbst, die angegeben hatte, dass sie sich zu jener Zeit auf einmal nicht mehr bei ihrem Nutzerkonto anmelden konnte. Zwar liegt aufgrund der technischen Zusammenhänge nicht nahe, dass auch das Passwort der Klägerin den unbekannten Dritten offengelegt worden sein sollte. Doch liegt es nahe, dass anhand des von der Beklagten übermittelten Nutzernamens für eine Mobiltelefonnummer versucht wurde durch „Erraten“ des Passwortes den Wert der erhaltenen Daten weiter zu vergrößern. Allerdings stellt das lediglich ein Indiz dar und kann für sich nicht die volle Überzeugung von der Betroffenheit der Klägerin rechtfertigen.

Zum anderen (und vor allem) wird bei einer Suche nach der Mobiltelefonnummer auf der Seite www.haveibeenpwnd.com angegeben, dass diese Nummer von dem Scraping erfasst war, das die Social Media-Plattform der Beklagten betraf. Das Angebot der Seite www.haveibeenpwnd.com wird allgemein als verlässliche Quelle angesehen, um die Betroffenheit von Sicherheitsvorfällen zu überprüfen. So verweist selbst das Bundesamt für Sicherheit in der Informationstechnik für diese Zwecke auf den Dienst dieser Seite (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html; abgerufen am 14.03.2024). Zwar kann das Bundesamt für Sicherheit in der Informationstechnik nach den dortigen Angaben keine Angaben zu Qualität und Aktualität der dort hinterlegten Daten treffen. Das ändert jedoch nichts daran, dass den Verantwortlichen dieses Dienstes eine Datensammlung in Bezug auf das gegenständliche Scraping vorlag, in dem die Mobiltelefonnummer der Klägerin aufgeführt war. Denn die Verantwortlichen sammeln nach eigenen Angaben Daten aus derartigen Vorfällen und ermöglichen Nutzern festzustellen, ob und in welchen Fällen ihre Daten offengelegt wurden. Dabei werden verschiedene Kriterien herangezogen, um zu prüfen, ob es sich um einen „echten“ Vorfall handelt. Also muss die Mobiltelefonnummer der Klägerin in einer solchen Datensammlung enthalten gewesen sein und die Prüfung ergeben haben, dass die Daten aus einem „echten“ Vorfall stammen und dabei offengelegt wurden.

Verstoß gegen Art. 25 DSGVO

Die Beklagte hat gegen Art. 25 Abs. 2 Satz 1 und 3 DSGVO verstoßen. Danach trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Die Beklagte hat die Voreinstellung für die Suchbarkeit auf „alle“ geschaltet, also nicht sichergestellt, dass ohne Eingreifen der Klägerin eine Suche der zum Nutzerkonto der Klägerin hinterlegten Daten anhand der Telefonnummer einer unbestimmten Zahl von natürlichen Personen nicht möglich war.

Irrig stellt die Beklagte dabei darauf ab, dass dem abrufenden Gerät lediglich die Daten übermittelt wurden, die stets öffentlich einsehbar sind (Name, Geschlecht etc.). Damit verkürzt sie den Kommunikationsprozess im Rahmen der Kontakt-Import-Funktion in unzulässiger Weise.

Zunächst umfasst nach Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verarbeitung im vorliegenden Fall erfolgte initial durch Auslesen der Telefonnummern, die in der eigenen Datenbank für die Nutzerkonten im Rahmen der Suchbarkeit hinterlegt sind. Dieses Auslesen der Telefonnummer als personenbezogenes Datum (vgl. dazu Art. 4 Nr. 1 DSGVO) war den Unbekannten indessen nur möglich aufgrund der von der Beklagten vorgegebenen Voreinstellung, wonach „alle“ anhand der Telefonnummer nach Nutzern suchen konnten, was umgekehrt bedeutet, dass die Beklagte einer unbestimmten Zahl natürlicher Personen über das Auslesen die Telefonnummern der Nutzer zugänglich machte. Außerdem verwendete die Beklagte die Telefonnummern der Nutzer insoweit, als sie hierauf die weiteren Daten für das Nutzerkonto auf die Anforderung an das anfragende Gerät übermittelte.

Es kommt nicht darauf an, dass die Beklagte dabei (in der JSON-Payload nach ihrer eigenen Darstellung) nicht ausdrücklich die Telefonnummer des Nutzers als Zeichenkette übermittelte. Dies wäre informationstechnisch widersinnig gewesen. Denn die Telefonnummer als Zeichenkette lag dem anfragenden Gerät schließlich vor. Es genügte also in der Vorgangsreihe von Abfrage und Antwort lediglich auf die Anfrage (request) des externen Gerätes technisch zu referenzieren, um hierzu die weiteren Daten zu übermitteln. Auch dann verwendet aber die Methode der Beklagten die – zunächst ausgelesene – Telefonnummer der Nutzer, um gerade für diese Nummer weitere Daten zu übermitteln. Entsprechend kann aufgrund der Antwort durch das System der Beklagten zum einen festgestellt werden, dass die in Form einer Telefonnummer generierte Zeichenkette tatsächlich existiert und welche Daten mit dieser verbunden sind. Das lässt sich in keiner Weise auf die Bereitstellung der stets öffentlichen Daten der Nutzer reduzieren, da insoweit der Bezug zur Telefonnummer fehlt. Vielmehr war die Telefonnummer bei den Zielgruppensucheinstellungen gerade ausgenommen von den stets öffentlichen Daten. Durch die Suchbarkeitseinstellung wurde aber aufgrund der angefragten Zeichenkette jedoch die Telefonnummer nebst weiterer Daten für das anfragende Gerät und damit eine unbestimmte Zahl an Personen zugänglich gemacht.

Verstoß gegen Art. 32 DSGVO

Schon Art. 5 Abs. 1 Buchstabe f DSGVO verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit”). Art. 32 Abs. 1 DSGVO konkretisiert, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Es oblag der Beklagten aufgrund ihrer Rechenschaftspflicht in Art. 5 Abs. 2, 24 Abs. 1 DSGVO darzulegen und zu beweisen, dass die von ihr getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO in diesem Sinne geeignet waren (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21).

Dies hat die Beklagte nicht schlüssig getan. Die Beklagte hat sich in ihrem Vortrag darauf beschränkt, Maßnahmen wie Übertragungsgrenzen oder Bot-Erkennung schlagwortartig zu benennen. Die Anforderungen des Art. 32 DSGVO liegen jedoch weit höher. Richtig weist die Beklagte darauf hin, dass ihr ein Entscheidungs- bzw. Ermessensspielraum bei der Wahl der geeigneten technischen und organisatorischen Maßnahmen zugestanden habe. Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten. Es muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen. Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 43).

Gemessen hieran hat die Beklagte nicht schlüssig vorgetragen, dass sie ihr Ermessen pflichtgemäß ausgeübt hat. So hätte es zunächst einer Bewertung des Schutzniveaus der Daten (nach BSI-Grundschutz 200-2: „Schutzbedarfsfeststellung“; ebenso das Standard-Datenschutzmodell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) bedurft. Jedoch fehlt jeglicher Vortrag der Beklagten zu dem Schutzniveau nicht nur der stets öffentlichen Daten, sondern vor allem der Telefonnummer. Weiter bedarf es einer Betrachtung der Daten in den verschiedenen Verarbeitungsvorgängen, hier also speziell der Kontakt-Import-Funktion (nach BSI-Grundschutz 200-2: „Erfassung der Geschäftsprozesse“; nach Standard-Datenschutzmodell: „Verarbeitungstätigkeit (Geschäftsprozesse)“. Ob die Beklagte die Verarbeitung der Telefonnummer bei diesem Verarbeitungsvorgang überhaupt beachtet hat, ist weder vorgetragen noch ersichtlich.

Ausgehend von dem Schutzniveau der Daten und dem Verarbeitungsvorgang war es erforderlich etwaige Risiken zu identifizieren und zu bewerten (nach BSI-Grundschutz: Risikoanalyse; nach Standard-Datenschutzmodell: Risikobetrachtung). Auch hierzu fehlt konkreter Vortrag. Die Beklagte gibt zwar pauschal an, dass das Risiko von Scraping schon immer bestanden habe. Ob und zu welchem Ausmaß die Beklagte sich jedoch gerade für die Kontakt-Import-Funktion der Möglichkeit eines Missbrauchs durch das gegenwärtige Angriffsszenario der sequentiellen Telefonnummernerstellung und -abfrage bewusst war, bleibt offen.

Erst jetzt, also wenn das Schutzniveau der personenbezogenen Daten bestimmt, die beteiligten Verarbeitungsvorgänge (Geschäftsprozesse) analysiert und die einzelnen Risiken diesbezüglich festgestellt und bewertet worden sind, kommt es auf die konkreten technischen und organisatorischen Maßnahmen an, um den jeweiligen Risiken in geeigneter und angemessener Weise zu begegnen (nach BSI-Grundschutz 200-2: „Modellierung“). Entsprechend unterscheidet auch der Europäische Gerichtshof zwischen zwei Schritten: Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 42).

Den Ausführungen der Beklagten ist nach alledem schon nicht zu entnehmen, dass sie in dieser strukturierten Weise vorgegangen wäre. Dabei ist organisatorischer Datenschutz ein wesentlicher Bestandteil, um die Sicherheit der Verarbeitung zu gewährleisten (ausführlich zur Methodik: BSI-Grundschutz 200-2 oder auch das Standard-Datenschutzmodell). Die schlagwortartig bezeichneten technisch-organisatorischen Maßnahmen bleiben vor diesem Hintergrund ohne erhebliche Aussagekraft. Irgendwelche Maßnahmen in den Raum zu stellen, ohne auf die weiteren Schritte der notwendigen Gesamtbetrachtung einzugehen, ermöglicht dem Gericht nicht, die ergriffenen Maßnahmen – wie es von ihm verlangt wird (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 45) – im Rahmen von Art. 32 DSGVO beurteilen zu können.

Fundstelle:

Urteil des LG Mannheim vom 15.03.2024, Az.: 1 O 93/23 – abrufbar im Internet unter https://www.landesrecht-bw.de/perma?d=NJRE001569921