undefined
Blog > Web Scraping > Post

GDPR-Compliance beim Web-Scraping

Friday, October 14, 2022

Web Scraping ist eine Methode zur Datenextraktion aus dem Internet mithilfe von Automatisierungstools und -technologien. In der Vergangenheit sind die meisten Unternehmen nicht viel auf die Sammlung von Webdaten geachtet. Aber mit dem Inkrafttreten der GDPR-Vorschriften ist die Sorgfaltspflicht bei der Datenextraktion ein Muss. Kürzlich verhängte Polen eine Geldstrafe in Höhe von 220.000 Euro gegen ein Unternehmen, das Daten von rund 7 Millionen Menschen sammelte aber gleichzeitig diese Menschen nicht informierte (Das Informieren der Individuen ist eine Vorschrift in Artikel 14 der EU-GDPR). Im letzten Jahr hat auch die französische DPA Leitlinien zum kommerziellen Web-Scraping herausgegeben. Deshalb würden wir hier detailliert erklären, was GDPR-Bedeutung ist und GDPR für Webseiten bedeutet sowie warum Web Scraping GDPR wichtig ist. In diesem Artikel können Sie alle Nützliches erfahren, mit denen Sie beim Scraping im Internet GDPR-konform werden können.

 

 

 

Wann kommt EU-GDPR ins Spiel?

EU-GDPR wird gewissermaßen als eine Datenschutzerklärung bezeichnet. Deshalb beachten wir zuerst einen ganz wichtigen Punkt, welche Webdaten aus dem Internet gescrapt werden können. Und dann diskutieren wir darüber, welche Art von Daten unter die GDPR/DSGVO fällt und welche nicht.

 

Diese Daten können extrahiert werden:

    • Immobilienanzeigen zur Durchführung von personalisiertem Marketing,

    • Aktienindizes, Nachrichtenportale für Marktinformationen,

    • Stellenangeboten zur Verbesserung Ihres HR-Services,

    • Social-Media-Websites zur Analyse von Kundenstimmungen,

    • Online-Verzeichnisse für die Perspektive,

    • Öffentliche Daten von Regierungswebsites für Einblicke,

    • Produktdaten von E-Commerce-Websites zur Verfolgung von Wettbewerbern und Preisinformationen,

    • Blogs, Videos und dergleichen.

 

Scraping public data ist bei EU-GDPR ohne Zweifel erlaubt. Natürlich sind die Anwendungsfälle der Datenextraktion nicht drauf beschränkt, aber im Großen und Ganzen gibt Ihnen dies eine Vorstellung von verschiedenen Arten von Daten, die Sie scrapen können. GDPR, die für General Data Protection Regulation (EU) 2016/679 steht (GDPR Deutsch heißt DSGVO: Datenschutz-Grundverordnung), ist ein Gesetz der Europäischen Union (EU) über den Datenschutz und den Schutz der Privatsphäre aller Personen innerhalb der EU & des EWR. Die GDPR dient zwei hauptsächliche Zwecken:

    • Kontrolle der Individuen über die Art der Verwendung ihrer Daten

    • Vereinfachung des regulatorischen Umfelds für Unternehmen, die in der EU-Region tätig sind

 

Aber es gibt noch viele Frage: Wann ist Data Scraping GDPR-Compliance? Wann sollten Sie sich um die Datenschutz-Grundverordnung kümmern? Eine kurze Antwort wäre: Immer wenn Sie die personenbezogenen Daten eines Individum/Bürger mit Wohnsitz in der EU scrapen möchten.

 

Um zu wissen, ob Sie die GDPR/DSGVO einhalten müssen oder nicht, und um sicherzustellen, dass Ihr Scraping-Projekt mit der GDPR/DSGVO konform ist, finden Sie die Antworten auf die folgenden Fragen:

    • Was gilt als personenbezogene Daten (PII)?

    • Extrahieren Sie jetzt die PII von EU-Bürgern?

    • Gibt es eine rechtmäßige Grundlage für Scraping individueller Daten?

    • Was können Sie tun, um GDPR-konform zu sein?

 

 

Was gilt als personenbezogene Daten (PII)?

Alle Daten, die zur Rückverfolgung oder Identifizierung einer Person beitragen können, gelten als personenbezogene Daten. Zum Beispiel:

    • Name

    • E-Mail

    • Kontakt-Nr.

    • Postadresse

    • Detail der Kreditkarte

    • Bankverbindung

    • IP-Adresse

    • Geburtsdatum

    • Individuelle Bild/Video/Audio

    • Medizinische Berichte

    • Details zur Beschäftigung usw.

 

 

Extrahieren Sie jetzt die PII von EU-Bürgern?

Die EU-GDPR betrifft ausschließlich personenbezogene Daten von Individuen innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums (EWR/EEA). In diesem Fall kommt die zweite Frage an, ob Sie Daten von europäischen Bürgern extrahieren? Wenn die Antwort „Nein“ lautet, ist alles klar, dass Sie ziemlich sicher sind. Wenn die gescrapten Daten aus Indien, den USA oder Australien sind, brauchen Sie sich nicht um die GDPR zu kümmern. Stattdessen sollten Sie auf die Datenschutzgesetzen in den jeweiligen Ländern achten. Die Zuständigkeit der GDPR ist auf den EWR beschränkt. Wenn Sie für Ihre Scraping-Projekte die PII von EU-Bürgern extrahieren müssen, brauchen Sie dafür zuerst eine rechtmäßige Grundlage.

 

 

Gibt es eine rechtmäßige Grundlage für Scraping individueller Daten?

Die Rechtsgrundlagen sind in Artikel 6 der Datenschutz-Grundverordnung festgelegt, und es gibt sechs Regeln für die Verarbeitung von extrahierten Daten:

 

1. Zustimmung

Dies kann Ihre Rechtsgrundlage sein, dass die Individuen Ihnen ihre Zustimmungen gegeben haben, wenn Sie die Daten von denen für bestimmte Ziele extrahieren möchten.

 

2. Vertrag

Ein Vertrag mit den betroffenen Individuen kann auf einer Rechtsgrundlage nach der GDPR/DSGVO beruhen, wenn der Vertrag die Verarbeitung der Daten erfordert.

 

3. Rechtliche Verpflichtung

Die dritte Art von Rechtsgrundlage könnte sein, dass die Datenverarbeitung für Sie erforderlich ist, um einer rechtlichen Verpflichtung nachzukommen.

 

4. Lebenswichtiges Interesse

Sie können ein lebenswichtiges Interesse als Rechtsgrundlage für Ihr Scraping-Projekt geltend machen, wenn es dazu dient, das Leben eines Menschen zu retten.

 

5. Öffentliche Aufgaben

Wenn die Datenverarbeitung im öffentlichen Interesse oder zur Erfüllung Ihrer Pflichten als Beamter erfolgt, gilt dies auch als Rechtsgrundlage.

 

6. Berechtiges Interesse

Wenn die Datenverarbeitung für das berechtigte Interesse des Daten-Controllern erforderlich ist, kann dies auch als Rechtsgrundlage dafür gemäß der GDPR/DSGVO gelten. Aber es gibt doch noch einen wichtigen Punkt zu betonen, dass dies jedoch keine Rechtsgrundlage ist, falls es die grundlegenden Rechte oder Interessen einer Einzelperson überwiegt, deren Daten gesammelt und verarbeitet werden.

 

Zusammenfassend sind Einwilligung und Vertrag eigentlich mehr oder weniger gleich. Wenn die Individuen ihre Zustimmungen gegeben haben, ist es ganz okay, ihre Daten verarbeitet zu werden. Wann könnte dies anwendbar sein? Nehmen wir ein praktisches Beispiel: Es gibt eine Website eines Modeeinzelhändlers, die Produktbewertungen von Käufern sowie deren personenbezogene Daten sammelt und sie unter Bewertungen öffentlich zugänglich macht. PII umfassen das Alter, der Name und der Wohnort. Allgemeine Daten sind der Bewertungstext und die Uhrzeit. Wenn Sie jetzt nur den Bewertungstext zu Forschungszwecken für die Entwicklung neuer Produkte scrapen wollen, brauchen Sie sich keine Gedanken über die GDPR zu machen. Wenn Sie jedoch auch Name, Alter, Standort und andere Details extrahieren möchten, geht es während des Prozesses um den Bereich der PII. Da müssen Sie die GDPR einhalten, um die Einhaltung der Rechtsvorschriften zu gewährleisten.

Lebenswichtige Interessen, öffentliche Aufgaben und rechtliche Verpflichtungen bilden meistens Ihre Rechtsgrundlage nicht, weil sie sich dabei um eindeutige Konzepte handelt und nicht viel Raum für theoretische Argumente bleibt, während das berechtigte Interesse bei Web-Scraping eine gute Rechtsgrundlage sein könnte. Für die meisten Unternehmen ist es auch eine Herausforderung, wenn sie Anträge drauf machen.

 

Der Fall HiQ vs. Linkedin ist ebenfalls eine interessante Geschichte.

 

 

Was können Sie tun, um GDPR-konform zu sein?

Folgend gibt es eine Checkliste, mit der Sie überprüfen können, dass Ihr Scraping- und Datenverarbeitungsprojekt GDPR-konform ist:

 

    • Vermeidung der falschen Auslegung von Artikeln in der GDPR-Verordnung

Eine Sage behauptet, dass alle öffentlich zugänglichen PII-Daten für Marketingzwecke oder andere Zwecke verwendet und gescrapt werden können. Aber dies ist tatsächlich nicht der Fall. Die Rechtsgrundlage für die Verarbeitung von PII-Daten kann nur die Einwilligung oder ein berechtigtes Interesse sein, auch wenn sie öffentlich zugänglich sind. Sie können also wegen der Bestimmungen der EU-GDPR keine Marketingkampagnen mit E-Mail-IDs machen, die Sie aus Kommentarbereichen sozialer Medien erhalten haben, wenn diese zu EU-Bürgern/Websites gehören.

 

    • Einholung der Zustimmung

Es besteht kein Zweifel, dass Sie vor der Datenextraktion die Zustimmung der Einzelperson erhalten müssen. Wenn Sie kein solides berechtigtes Interesse daran haben, personenbezogene Daten zu erhalten, ist das Einholen der Zustimmung der einzige Ausweg.

 

    • Informieren Sie die Individuen über die Datenerfassung

Artikel 14 von der GDPR macht es erforderlich, alle Personen zu informieren, deren Daten nicht direkt bei ihnen zusammengefasst wurden.

 

    • Sicherstellen der Erhaltung von DSAR

In der EU ansässige Personen haben das Recht, eine Kopie der in ihrem Besitz befindlichen Daten anzufordern, ihre Zustimmung zum Extrahieren/Speichern ihrer Daten zurückzuziehen oder sogar die Löschung ihrer Daten zu verlangen. Sie müssen sicherstellen, dass Ihr Projekt den Data Subject Access Rights (DSAR) entspricht.

 

    • Bericht der Datenpanne

Gemäß Artikel 33 der Datenschutz-Grundverordnung sind Sie verpflichtet, die Aufsichtsbehörde im Falle einer Verletzung des Datenschutzes innerhalb von drei Tagen zu informieren, es sei denn, die Verletzung des Schutzes personenbezogener Daten stellt wahrscheinlich keine Bedrohung für die Grundrechte einer Einzelperson dar.

 

    • Datenschutz-Folgenabschätzung (DSFA)/Data Protection Impact Assessment (DPIA)

Falls Sie Artikel 14 der GDPR/DSGVO nicht einhalten können, der die Information von Personen über ihre Datenerfassung vorschreibt, müssen Sie eine Datenschutz-Folgenabschätzung einholen.

 

    • Stellen Sie sicher, dass Ihre privaten IP-Proxys auch GDPR-konform sind

Unternehmen oder Daten-Scraper nutzen oft private IP-Proxys, um das Web in großem Umfang zu extrahieren oder um Anti-Scraping-Techniken von Websites zu umgehen.

 

    • Prüfen Sie Ihre neuen und alten Scraping-Projekte iterativ

Es ist sinnvoll, alle Ihre bestehenden, neuen und alten Scraping-Projekte zu überprüfen, um festzustellen, ob sie GDPR-konform sind, und entsprechend einzugreifen, wenn es nötig ist.

 

 

Schlussfolgerung

Data Scraping hat die Art und Weise verändert, wie Unternehmen arbeiten. Einige neue Geschäftszweige, wie z. B. die Nachrichtenaggregation, sind aus dem Web-Scraping hervorgegangen. Die GDPR steckt noch in den Kinderschuhen, hat aber die Art und Weise radikal verändert, wie Unternehmen die Webdaten extrahieren. GDPR ist eine der umfassendsten und folgenreichsten Datenschutzgesetze, die es bisher gab. Wenn Sie für Ihr Scraping-Projekt personenbezogene Daten extrahieren müssen, um hohe Geldstrafen zu vermeiden, sollten Sie sicherstellen, dass Sie GDPR-konform sind.

 

Haftungsausschluss: Dieser Artikel ist keine Rechtsberatung, um GDPR-konform zu sein. Er dient lediglich zu Informationszwecken. Erfahren Sie mehr über GDPR auf der entsprechenden Website.

 

 

Autor*in: Das Octoparse Team

 

Relative Artikel

3 Web Scraping Anwendungen zum Geld verdienen

Was ist ein Web Scraper

Leadgenerierung mit Web Scraping

Diese Website verwendet Cookies um Ihnen ein besseres Internet-Erlebnis zu ermöglichen. Lesen Sie wie wir Cookies verwenden und Sie können sie kontrollieren, indem Sie auf Cookie-Einstellungen klicken. Wenn Sie die Website weiter nutzen, akzeptieren Sie unsere Verwendung von Cookies.
Akzeptieren Ablehnen