Die automatisierte Extraktion öffentlich zugänglicher Personendaten, sogenanntes Data Scraping, ist längst kein technisches Nischenthema mehr. Mit dem Aufkommen generativer KI-Systeme haben die Fälle illegalen Data Scrapings stark zugenommen. Um dem entgegenzuwirken, veröffentlichten der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sowie weitere Datenschutzbehörden zwei Erklärungen. Wir erläutern die behördlichen Vorgaben zum Data Scraping und deren Umsetzung in der Praxis.
Wie genau funktioniert Data Scraping?
Data Scraping bezeichnet den automatisierten Abruf und die Extraktion von Informationen, die auf Websites veröffentlicht sind, etwa über Bots, Crawler oder automatisierte Skripte. Zwar handelt es sich dabei oft um öffentlich zugängliche Inhalte, doch bedeutet dies nicht automatisch, dass deren massenhafte Verarbeitung zulässig ist, insbesondere dann nicht, wenn Personendaten betroffen sind.
Mit Data Scraping gehen einige Risiken für den Datenschutz einher, etwa Identitätsdiebstahl, unerwünschtes Profiling oder gezielte Cyberangriffe.
Die internationale Abschlusserklärung – ein Schulterschluss der Datenschutzbehörden
Im Oktober 2024 veröffentlichten 16 Datenschutzaufsichtsbehörden – darunter der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) – eine gemeinsame Abschlusserklärung zur Datenextraktion. Sie knüpft an eine erste Erklärung vom August 2023 an und konkretisiert die Erwartungen gegenüber Organisationen, die eine Menge an Personendaten öffentlich zugänglich machen oder speichern.
Eine der Kernaussagen: Auch öffentlich zugängliche Personendaten unterliegen dem Datenschutzrecht. Organisationen, insbesondere Betreiber von Social-Media-Plattformen, aber auch anderen datenintensiven Webdiensten, sind gemäß den Gesetzen zum Daten- und Persönlichkeitsschutz dazu verpflichtet, Massnahmen gegen unbefugte Datenextraktion zu treffen.
Die Haltung der Schweiz: Datenschutz kennt keine Sichtbarkeitsschranke
Die Behörden machen in der Abschlusserklärung klar: Der Schutz von Personendaten endet nicht an der Schwelle zur Öffentlichkeit. Ob veröffentlich oder nicht, Personendaten sind grundsätzlich durch die Datenschutzgesetze, in der Schweiz etwa das Datenschutzgesetz (DSG), geschützt. Das bedeutet konkret: Websitebetreiber in der Schweiz, die Personendaten der Öffentlichkeit zugänglich machen, müssen sicherstellen, dass bestimmte Schutzmassnahmen getroffen werden, um Daten vor unbefugtem Zugriff zu schützen.
Empfehlungen und Pflichten für Datenverantwortliche
Die Erklärung führt zahlreiche Massnahmen auf, die Unternehmen – grosse wie kleine – implementieren sollten:
- Sperren der IP-Adresse bei verdächtigen Aktivitäten
- Begrenzung des Datenabrufs pro Nutzerkonto (Rate-Limiting)
- Überwachung automatisierter Zugriffe
- Rechtliche Schritte gegen identifizierte Datenextraktoren
- Vertragsklauseln zur Regelung legitimer Datenzugriffe
- Nutzung kontrollierter Schnittstellen (APIs) zur Datenfreigabe
Insgesamt betonen die Datenschutzbehörden, dass ein mehrschichtiger, dynamischer Schutzansatz notwendig sei, zumal beim illegalen Data Scraping zunehmend künstliche Intelligenz zum Einsatz komme, um Schutzmassnahmen zu umgehen.
Auch kleine Unternehmen in der Pflicht
Die Abschlusserklärung macht zudem deutlich, dass die Einhaltung der Datenschutzgesetze keine Frage der Unternehmensgrösse sei. Auch kleine und mittlere Unternehmen (KMU) sind verpflichtet, angemessene Schutzmassnahmen zu ergreifen. Dabei wird hervorgehoben, dass nicht alle Massnahmen hochkomplex oder teuer sein müssen, einfache Mittel wie die Begrenzung des Datendurchsatzes oder Captcha-Tests zur Bot-Erkennung können bereits wirksam sein. Drittanbieter können unterstützend zum Einsatz gebracht werden, entbinden die Unternehmen jedoch nicht von ihrer eigenen Verantwortung.
Rechtmässige Datenfreigabe – unter klaren Bedingungen
Nicht jede Form der Datenextraktion ist unrechtmässig. Die Erklärung unterscheidet klar zwischen autorisierter und nicht autorisierter Datenextraktion. Mehrere Social-Media-Unternehmen haben im Rahmen der Abschlusserklärung angegeben, dass sie unter bestimmten Voraussetzungen die Extraktion oder andere Formen massenhafter Datenerhebung auf ihren Plattformen zulassen, insbesondere zur Förderung eigener Geschäftsinteressen oder der Interessen Dritter. Dies erfolgt in der Regel über die Bereitstellung von Programmierschnittstellen (APIs).
Die Autorisierung solcher Datennutzungen wird durch entsprechende vertragliche Regelungen in den Nutzungsbedingungen der Plattformbetreiber sichergestellt.
Gleichzeitig wird das Problem aufgeworfen, dass es schwierig sei zu überprüfen, ob die extrahierten Daten tatsächlich ausschliesslich zu den vertraglich vereinbarten Zwecken verwendet werden.
Die Datenschutzbehörden heben hervor, dass klare vertragliche Bestimmungen zwar einen wichtigen Schritt darstellen. Sie allein genügten jedoch nicht. Es brauche ergänzender effektiver Kontroll- und Durchsetzungsmechanismen, etwa:
- Eine legitime Grundlage für die Datenverarbeitung nachweisen,
- die betroffenen Personen transparent informieren,
- gegebenenfalls Einwilligungen einholen und/oder
- die Datennutzung technisch und organisatorisch absichern.
Vertragsklauseln sind zwar ein guter Schritt in die richtige Richtung. Sie allein genügen jedoch nicht, es braucht auch effektive Kontroll- und Durchsetzungsmechanismen.
Fazit: Schweiz zeigt klare Kante gegen unrechtmässiges Data Scraping
Die Abschlusserklärung unterstreicht die wachsende internationale Einigkeit der Datenschutzbehörden beim Schutz von Personendaten im digitalen Raum.
Zwar enthält sie keine grundlegend neuen rechtlichen Vorgaben, erinnert jedoch nachdrücklich an die bestehenden Verpflichtungen, denen insbesondere Social-Media-Unternehmen unterliegen.
Unternehmen, ob Plattformbetreiber oder Website-Hosts veröffentlichter Daten – sind gefordert, präventive Massnahmen zu ergreifen, um illegalem Data Scraping entgegenzuwirken.
Die Datenschutzbehörden, einschliesslich des EDÖB, werden künftig verstärkt an der Durchsetzung der gesetzlichen Anforderungen arbeiten. Sie streben dabei eine enge Zusammenarbeit mit den betroffenen Organisationen an, um gemeinsame Lösungen zu entwickeln und insbesondere der zunehmenden Bedrohung durch KI-gestütztes Data Scraping wirksam entgegenzutreten.
