Datenschutz und Scraping – Bundesgerichtshof entscheidet über Facebook-Datenvorfall

Hintergrund: Der Scraping-Skandal bei Facebook

Der Bundesgerichtshof (BGH) hat sich mit einem bedeutenden Fall zum Thema Datenschutz und sogenanntem Scraping beschäftigt. Dabei ging es um die automatisierte Sammlung öffentlich zugänglicher Daten von Facebook-Nutzern durch Drittanbieter. Dieses Verfahren, bei dem Nutzerdaten wie Namen, Telefonnummern und andere persönliche Informationen ohne Zustimmung der Betroffenen gesammelt werden, hat große rechtliche Fragen aufgeworfen.

Im konkreten Fall ging es um die massenhafte Sammlung von Facebook-Daten durch eine nicht autorisierte Partei, was zu einem erheblichen Datenschutzvorfall führte. Betroffen waren Millionen von Nutzern weltweit. Facebook sah sich Vorwürfen ausgesetzt, unzureichende Sicherheitsvorkehrungen getroffen zu haben, um solche Datenlecks zu verhindern.

Was ist Scraping?

Scraping bezeichnet den automatisierten Zugriff auf Daten von Websites durch sogenannte Bots. Diese Programme durchsuchen Webseiten und speichern Daten lokal ab. Während Scraping in vielen Fällen für legale Zwecke eingesetzt wird, wie z. B. zur Analyse von Marktpreisen, wirft es im Kontext personenbezogener Daten erhebliche rechtliche Fragen auf.

Probleme beim Scraping personenbezogener Daten:

1. Fehlende Zustimmung: Daten werden oft ohne die Zustimmung der Betroffenen gesammelt, was gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen kann.
2. Verletzung von Plattformrichtlinien: Social-Media-Plattformen wie Facebook verbieten Scraping in ihren Nutzungsbedingungen.
3. Missbrauchspotenzial: Die gesammelten Daten können für betrügerische Zwecke oder gezielte Werbung genutzt werden.

Relevante rechtliche Grundlagen

Der Fall wird vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) und des deutschen Datenschutzrechts diskutiert.

1. Artikel 5 DSGVO – Grundsätze der Datenverarbeitung:
   • Personenbezogene Daten dürfen nur rechtmäßig und transparent verarbeitet werden.
   • Datenminimierung und Zweckbindung sind zentrale Grundsätze.
2. Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung:
   • Eine Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine Rechtsgrundlage, z. B. die Einwilligung der betroffenen Person, vorliegt.
3. Artikel 32 DSGVO – Sicherheit der Verarbeitung:
   • Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um personenbezogene Daten zu schützen.

Das Urteil des Bundesgerichtshofs

Der BGH hat entschieden, dass Social-Media-Plattformen wie Facebook verpflichtet sind, ihre Nutzerdaten besser zu schützen. Obwohl das Gericht den eigentlichen Scraping-Vorfall einem externen Akteur zuschrieb, wurde betont, dass Facebook unzureichende Sicherheitsmaßnahmen implementiert hatte.

Kernaussagen des Urteils:

1. Verantwortung der Plattformen: Unternehmen wie Facebook müssen sicherstellen, dass ihre Systeme vor Scraping geschützt sind.
2. Haftung: Plattformen können haftbar gemacht werden, wenn sie nachweislich nicht ausreichende Vorkehrungen getroffen haben, um Datenlecks zu verhindern.
3. Betroffenenrechte: Nutzer haben das Recht, über die Verarbeitung ihrer Daten informiert zu werden und gegebenenfalls Schadensersatz zu verlangen (Artikel 82 DSGVO).

Auswirkungen auf Nutzer und Unternehmen

Für Nutzer:

• Nutzer sollten ihre Datenschutzeinstellungen regelmäßig überprüfen und so wenig persönliche Informationen wie möglich öffentlich zugänglich machen.
• Betroffene von Scraping-Angriffen können Schadensersatzansprüche geltend machen, wenn nachweisbar ist, dass sie durch den Vorfall geschädigt wurden.

Für Unternehmen:

• Plattformbetreiber müssen ihre Sicherheitsmaßnahmen erhöhen, um Scraping-Angriffe zu verhindern. Dazu gehören stärkere Zugriffskontrollen und der Einsatz von Captcha-Systemen.
• Unternehmen, die Scraping betreiben, riskieren rechtliche Konsequenzen, wenn sie personenbezogene Daten ohne Einwilligung sammeln.

Ähnliche Fälle in der Rechtsprechung

1. Cambridge Analytica (2018): Dieser Skandal zeigte bereits, wie Scraping-Daten für gezielte politische Kampagnen missbraucht werden können.
2. EuGH-Urteil zur Datenverarbeitung (2020): Der Europäische Gerichtshof stellte klar, dass die Einwilligung der Betroffenen bei der Verarbeitung personenbezogener Daten zwingend erforderlich ist.
3. Urteil des LG München (2022): Ein Unternehmen wurde zur Zahlung von Schadensersatz verurteilt, weil es Daten über Scraping gesammelt hatte, ohne die Betroffenen zu informieren.

Kritik und Herausforderungen

Während das Urteil die Verantwortung von Plattformen betont, gibt es Stimmen, die darauf hinweisen, dass Scraping-Angriffe oft schwer zu verhindern sind. Zudem stellt sich die Frage, wie effektiv Datenschutzbehörden solche Vorfälle ahnden können.

Fazit

Das Urteil des BGH setzt ein klares Signal: Plattformbetreiber müssen den Schutz personenbezogener Daten ernst nehmen. Scraping bleibt ein kontroverses Thema, das sowohl rechtliche als auch technische Herausforderungen mit sich bringt. Nutzer und Unternehmen sind gleichermaßen gefordert, um den Missbrauch von Daten zu verhindern.