Das LG Ravensburg hat Facebook kürzlich zu einem Schadensersatz in Höhe von 1.000 Euro verurteilt. Grund dafür ist, dass Facebook seine Nutzerinnen und Nutzer nicht ausreichend gegen einen Web-Scraping-Angriff geschützt hat.
Als Web-Scraping oder Screen-Scraping wird ein Verfahren bezeichnet, durch das mithilfe von Programmen automatisiert und gezielt Informationen und Daten von Websites extrahiert werden können. Die Methode wird für verschiedene Zwecke, wie Marktforschung, Finanzanalyse, Content-Aggregation oder Forschung und Datenanalyse genutzt. Beispielsweise können so Preise von einem Produkt auf verschiedenen Websites verglichen werden. In den letzten Jahren hat das Web-Scraping mehr und mehr an Bedeutung gewonnen und stellt uns vor neue Herausforderungen, einen ausreichenden Datenschutz zu gewährleisten. Problematisch wird es nämlich, wenn personenbezogene Daten oder vertrauliche Informationen im Spiel sind.
Im genannten Fall lasen Dritte im Zeitraum Januar 2018 bis September 2019 personenbezogene Daten verschiedener Nutzerinnen und Nutzer aus. Einer der Betroffenen verklagte Facebook auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Das Gericht gab dem Kläger recht. Facebook hätte sogenannte “Sicherheitscaptchas” oder gleich effektive Maßnahmen einsetzen müssen, um Angriffe zu verhindern oder zumindest zu erschweren. Zudem meldete das Unternehmen den Vorfall nicht rechtzeitig (innerhalb von 72 Stunden nach dem Bekanntwerden) bei der zuständigen Behörde und informierte den Kläger nicht.
Web-Scraping kann bei öffentlich zugänglichen Daten grundsätzlich legal sein. Trotzdem müssen die Nutzungsbedingungen von Websites sowie das Urheberrecht respektiert werden. Beim Scraping von personenbezogenen oder besonderen Kategorien von personenbezogenen Daten muss stets eine Rechtsgrundlage vorhanden sein. Insbesondere bei besonderen personenbezogenen Daten, wie religiösen oder weltanschaulichen Überzeugungen oder der Gewerkschaftszugehörigkeit, könnte dies regelmäßig schwierig werden. Webseitenbetreiber sollten auf einen ausreichenden Schutz der Daten ihrer Nutzerinnen und Nutzer achten. Sonst kann es für sie unter Umständen teuer werden.
Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.
„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“
