neustes

AUS DEM BAUCH HERAUS Gesellschaft Recht & Compliance

Scraping-Angriffe: Umfassende Analyse einer wachsenden digitalen Bedrohung

Einleitung

In der vernetzten Welt von heute sind Daten zum wertvollsten Rohstoff geworden. Unternehmen sammeln, analysieren und verwerten sie, um Wettbewerbsvorteile zu erlangen, personalisierte Dienste anzubieten und Geschäftsmodelle zu optimieren. Doch wo viel Licht ist, ist auch viel Schatten: Die automatisierte Extraktion von Daten – bekannt als „Scraping“ – hat sich zu einer der größten Herausforderungen für Betreiber von Websites und sozialen Netzwerken entwickelt. Was als harmloses Werkzeug für Preisvergleiche begann, ist heute eine ausgefeilte Angriffsmethode mit erheblichen wirtschaftlichen und rechtlichen Konsequenzen.

Dieser Artikel beleuchtet das Phänomen des Scraping-Angriffs in seiner vollen Komplexität. Er erklärt die technischen Grundlagen, zeigt die vielfältigen Motive der Angreifer auf, analysiert aktuelle Gerichtsurteile und deren Auswirkungen und gibt einen umfassenden Überblick über Schutzmaßnahmen. Besonderes Augenmerk liegt auf der jüngsten Rechtsprechung, die die Grenzen zwischen Legalität und Illegalität neu definiert und sowohl Unternehmen als auch betroffene Privatpersonen vor neue Herausforderungen stellt.

Was ist ein Scraping-Angriff?

Ein Scraping-Angriff (auch Web Scraping oder Data Scraping) bezeichnet die automatisierte Extraktion von Daten aus Websites, sozialen Netzwerken oder anderen Online-Diensten ohne ausdrückliche Genehmigung des Betreibers . Im Gegensatz zu klassischen Hackerangriffen, bei denen Sicherheitslücken ausgenutzt werden, um in geschützte Bereiche einzudringen, sammeln Scraping-Angriffe meist Informationen, die grundsätzlich zugänglich sind – allerdings in einer Art und Weise, die gegen die Nutzungsbedingungen verstößt und in erheblichem Umfang erfolgt .

Der Begriff „Scraping“ leitet sich vom englischen „to scrape“ (kratzen, schaben) ab und verdeutlicht die Methode: Die Daten werden quasi von der Bildoberfläche „abgekratzt“. Dabei kommen automatisierte Skripte oder Bots zum Einsatz, die tausende von Anfragen pro Minute senden können – eine Menge, die kein menschlicher Nutzer jemals erreichen könnte.

Technische Grundlagen

Die technische Umsetzung von Scraping-Angriffen erfolgt in der Regel in mehreren Schritten:

Entwicklung eines Scraping-Skripts: Angreifer nutzen Programmiersprachen wie Python mit spezialisierten Bibliotheken (BeautifulSoup, Scrapy, Selenium) oder kommerzielle „Scraping-as-a-Service“-Angebote. Diese Tools analysieren den HTML-Code der Zielwebsite und identifizieren die Struktur, in der die gewünschten Daten präsentiert werden.

Durchführung der Extraktion: Die Bots senden massenhaft Anfragen an den Zielserver, laden die Seiten herunter und extrahieren die relevanten Informationen. Um nicht entdeckt zu werden, verteilen fortgeschrittene Scraper ihre Anfragen über Proxy-Netzwerke und wechseln ständig ihre IP-Adressen, um wie normale Besucher zu wirken.

Aufbereitung und Speicherung: Die gesammelten Daten werden strukturiert aufbereitet und in Datenbanken gespeichert. Sie können dann für verschiedene Zwecke genutzt oder weiterverkauft werden.

Abgrenzung zu anderen Angriffsarten

Scraping-Angriffe werden oft mit anderen Formen von Bot-Angriffen verwechselt. Eine klare Abgrenzung ist jedoch wichtig:

  • Scraping zielt auf die Extraktion von Daten ab
  • Scalping bezeichnet den automatisierten Kauf von begehrten Produkten (wie Konzerten oder Konsolen) durch Bots, um sie überteuert weiterzuverkaufen 
  • Carding ist die automatisierte Überprüfung gestohlener Kreditkartendaten auf E-Commerce-Websites 
  • Credential Stuffing nutzt gestohlene Zugangsdaten, um sich in Benutzerkonten einzuloggen
  • Layer-7-DoS-Angriffe zielen auf die Überlastung von Servern ab 

Die Übergänge sind jedoch fließend, und Scraping-Angriffe können Teil komplexerer Angriffsszenarien sein.

Ziele und Motive von Scraping-Angriffen

Die Beweggründe für Scraping-Angriffe sind so vielfältig wie die gesammelten Daten selbst. Sie reichen von wirtschaftlichen Interessen über kriminelle Aktivitäten bis hin zu ideologischen Motiven.

Wirtschaftliche Spionage und Wettbewerbsvorteile

Ein Hauptmotiv für Scraping-Angriffe ist die Wirtschaftsspionage. Unternehmen lassen Konkurrenzwebsites auslesen, um:

Preisstrategien zu analysieren: Im E-Commerce ist Preis-Scraping weit verbreitet. Wettbewerber lesen regelmäßig die Preisdaten ihrer Konkurrenten aus, um die eigene Preisgestaltung anzupassen oder systematisch zu unterbieten. Eine US-Fluggesellschaft stellte fest, dass 25 Prozent ihres Suchdatenverkehrs auf unerwünschte Scraping-Aktivitäten zurückzuführen waren .

Produktkataloge zu kopieren: Komplette Produktdatenbanken mit Beschreibungen, Bildern und Spezifikationen werden extrahiert und für eigene Angebote verwendet.

Marktanalysen durchzuführen: Start-ups und etablierte Unternehmen nutzen Scraping, um Markttrends zu identifizieren, ohne auf teure Marktforschungsinstitute angewiesen zu sein.

Die finanziellen Auswirkungen sind erheblich: Unternehmen verlieren durch Bot-Traffic durchschnittlich 4,3 Prozent ihrer Online-Einnahmen, was für ein typisches Großunternehmen etwa 85 Millionen Dollar jährlich bedeutet .

Content-Diebstahl und Urheberrechtsverletzungen

Content-Scraping zielt auf die unbefugte Übernahme von Inhalten ab:

Nachrichtenartikel und Blogbeiträge: Online-Medien und Blogger finden ihre Inhalte häufig auf unzähligen anderen Websites wieder, oft ohne Quellenangabe und ohne Genehmigung.

Produktbewertungen und Kundenrezensionen: Bewertungen sind wertvolle Verkaufsargumente. Ihre Übernahme durch Konkurrenzplattformen kann zu erheblichen Umsatzeinbußen führen.

Bilder und Videos: Visuelle Inhalte werden für eigene Websites oder sogar für den Verkauf von Stockmaterial genutzt.

Die Schäden gehen über den reinen Inhaltsdiebstahl hinaus: Originalseiten können in Suchmaschinen schlechter platziert werden, wenn identische Inhalte mehrfach vorkommen (Duplicate Content), was zu Traffic-Verlusten und geringeren Werbeeinnahnen führt.

Kontaktdatensammlung für Marketing und Betrug

Das Sammeln von Kontaktdaten (Contact Scraping) ist eines der verbreitetsten Scraping-Ziele:

E-Mail-Adressen: Millionen von E-Mail-Adressen werden aus sozialen Netzwerken, Foren und Firmenwebsites extrahiert, um sie für Spam-Kampagnen zu nutzen. Das OLG Frankfurt stellte in einem Urteil fest, dass beim Facebook-Scraping-Vorfall etwa 533 Millionen Datensätze betroffen waren .

Telefonnummern: Die gesammelten Rufnummern dienen als Grundlage für unerwünschte Werbeanrufe oder betrügerische Anrufe im Rahmen von Social Engineering.

Berufliche Kontaktdaten: Unternehmen wie KASPR bauten durch Scraping von LinkedIn und anderen Plattformen Datenbanken mit etwa 160 Millionen beruflichen Kontakten auf, um sie als Browser-Erweiterung zu vermarkten – bis die französische Datenschutzbehörde CNIL ein Bußgeld von 240.000 Euro verhängte .

Vorbereitung weiterer Straftaten

Gescrapte Daten sind oft erst der Anfang einer Kette von Straftaten:

Phishing-Angriffe: Mit Namen, E-Mail-Adressen und weiteren persönlichen Informationen lassen sich täuschend echte Phishing-Nachrichten erstellen, die deutlich höhere Erfolgsquoten erzielen als Massen-Mails.

Identitätsdiebstahl: Die Kombination verschiedener Datenquellen ermöglicht es, komplette Identitätsprofile zu erstellen, die für Betrug genutzt werden können.

Social Engineering: Je mehr Informationen Angreifer über eine Person haben, desto glaubwürdiger können sie sich am Telefon oder per E-Mail ausgeben.

Politische und ideologische Motive

Nicht alle Scraping-Angriffe sind kommerziell motiviert:

Journalistische Recherchen: Investigativjournalisten nutzen Scraping, um Korruption, Missstände oder illegale Aktivitäten aufzudecken – hier bewegt sich Scraping in einem rechtlichen und ethischen Grenzbereich.

Politische Aktivisten: Sie scrapen Daten, um Machtstrukturen zu analysieren oder auf Missstände aufmerksam zu machen.

Forschung: Wissenschaftler nutzen Scraping für sozialwissenschaftliche Studien, Marktanalysen oder die Erforschung von Online-Phänomenen.

Die rechtliche Dimension: Aktuelle Rechtsprechung im Überblick

Die rechtliche Bewertung von Scraping-Angriffen hat sich in den letzten Jahren erheblich weiterentwickelt. Eine Flut von Gerichtsentscheidungen, insbesondere im Zusammenhang mit dem großen Facebook-Scraping-Vorfall, hat wichtige Klarstellungen gebracht – aber auch neue Fragen aufgeworfen.

Der Facebook-Scraping-Fall als juristischer Präzedenzfall

Zwischen Januar 2018 und September 2019 nutzten unbekannte Dritte die Kontakt-Import-Funktion (Contact Import Tool, CIT) von Facebook aus, um durch massenhafte Eingabe zufälliger Telefonnummern Nutzerdaten abzugreifen . Betroffen waren etwa 533 Millionen Nutzer weltweit, deren Daten – darunter Telefonnummern, Namen, Geschlecht und teilweise weitere Profilinformationen – im April 2021 im Internet veröffentlicht wurden .

Dieser Vorfall löste eine Welle von Klagen betroffener Nutzer aus, die Schadensersatz wegen Verletzung der Datenschutz-Grundverordnung (DSGVO) forderten. Die Gerichte mussten grundlegende Fragen klären:

  • Stellt der bloße Kontrollverlust über die eigenen Daten bereits einen immateriellen Schaden dar?
  • In welcher Höhe ist Schadensersatz zuzusprechen?
  • Welche Sicherheitsmaßnahmen müssen Plattformbetreiber ergreifen?
  • Wer trägt die Beweislast für den Zeitpunkt des Vorfalls?

Immaterieller Schadensersatz nach Art. 82 DSGVO

Die zentrale Frage in vielen Verfahren war, ob und in welcher Höhe betroffene Nutzer einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO haben.

Der bloße Kontrollverlust als Schaden

Der Bundesgerichtshof (BGH) hat mit Urteil vom 18. November 2024 (Az. VI ZR 10/24) klargestellt: Der bloße und selbst kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten stellt bereits als solcher einen immateriellen Schaden dar . Dies gilt unabhängig davon, ob der Betroffene individuelle Beeinträchtigungen wie Angst, Stress oder konkrete negative Folgen nachweisen kann. Auch eine missbräuchliche Verwendung der Daten oder sonstige spürbare negative Folgen sind nicht erforderlich.

Diese Entscheidung des BGH schafft Klarheit in einer bisher umstrittenen Frage. Mehrere Oberlandesgerichte waren zuvor unterschiedlicher Auffassung:

  • Das OLG Frankfurt sprach einem Kläger 200 Euro Schadensersatz zu und betonte, dass bereits die unrechtmäßige Veröffentlichung personenbezogener Daten einen Anspruch begründen kann. Für die Begründung des Anspruchs seien keine nachweisbaren Folgen wie Identitätsmissbrauch oder Spam-Nachrichten notwendig .
  • Das OLG Dresden entschied, dass der bloße Verlust der Kontrolle über die eigenen Daten auch dann einen immateriellen Schaden darstellen kann, wenn die begründete Befürchtung einer missbräuchlichen Verwendung nicht nachgewiesen ist .
  • Das OLG Koblenz schloss sich dieser Linie an und betonte, dass der Annahme eines Kontrollverlusts nicht entgegensteht, wenn der Nutzer das Datum außerhalb des Netzwerks bereits bestimmten Empfängern bekannt gemacht hat .

Demgegenüber hatte das OLG Oldenburg in mehreren Entscheidungen (Az. 13 U 59/23, 13 U 79/23, 13 U 60/23) betont, dass zusätzlich zu einem Datenschutzverstoß ein individueller Schaden dargelegt und bewiesen werden müsse. Die bloße Befürchtung eines Missbrauchs reiche nicht aus, wenn sie nicht tatsächlich begründet sei .

Die Höhe des Schadensersatzes

Bei der Höhe des zuzusprechenden Schadensersatzes zeichnen die Gerichte ein uneinheitliches Bild:

GerichtZugesprochene SummeBesonderheiten
OLG Frankfurt200 EuroEinmaliger Vorfall ohne nachweisliche Folgeschäden 
OLG München200 EuroZzgl. Feststellung der Ersatzpflicht für künftige Schäden 
OLG Dresden100 EuroFür den eingetretenen Kontrollverlust 
OLG Koblenz100 EuroFür nicht öffentlich einsehbare Daten 

Die Gerichte betonen übereinstimmend, dass die Höhe des Schadensersatzes eine Einzelfallentscheidung ist, bei der Umfang und Schwere des Verstoßes zu berücksichtigen sind . Der Betrag von 200 Euro mag im Verhältnis zur Anzahl der Betroffenen gering erscheinen, spiegelt aber nach Auffassung der Gerichte das konkrete Ausmaß der Beeinträchtigung wider, insbesondere bei einmaligen Vorfällen ohne nachweisliche Folgeschäden.

Vorlage zum Europäischen Gerichtshof

Trotz der Klarstellung durch den BGH bleiben Fragen offen. Das Landgericht Erfurt hat mit Beschluss vom 3. April 2025 (Az. 8 O 895/23) dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Vorabentscheidung vorgelegt :

  1. Erlaubt Art. 82 Abs. 1 DSGVO es einem nationalen Gericht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, sondern sich lediglich darauf beruft, dass ihre Daten im Internet veröffentlicht wurden und sie somit die Kontrolle hierüber verloren habe?
  2. Falls ja: Gilt dies auch, wenn die veröffentlichten Daten lediglich aus solchen personenbezogenen Daten bestehen, deren Veröffentlichung im Internet die betroffene Person vorher selbst veranlasst hatte (wie Name und Geschlecht), sowie der Telefonnummer der betroffenen Person?

Die Antworten des EuGH werden richtungsweisend für die Zukunft der Schadensersatzklagen bei Datenschutzverstößen sein.

Verantwortlichkeit der Plattformbetreiber

Die Gerichte haben auch klare Anforderungen an die Betreiber von Plattformen und sozialen Netzwerken formuliert:

Verstoß gegen datenschutzfreundliche Voreinstellungen

Das OLG Dresden stellte fest, dass Facebook gegen Art. 25 Abs. 2 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) verstoßen hat, indem die Standardeinstellung für die Suchbarkeit nach der Telefonnummer auf „Alle“ und damit nicht datenschutzfreundlich eingestellt war . Als Voreinstellung ist der kleinstmögliche Empfängerkreis vorzusehen.

Pflicht zu angemessenen Sicherheitsmaßnahmen

Das OLG München betonte in seinem Urteil vom 26. September 2025 (Az. 36 U 1368/24 e), dass Plattformbetreiber geeignete Sicherheitsmaßnahmen implementieren müssen, um Scraping-Angriffe zu verhindern. Dazu gehören insbesondere :

  • Implementierung von Sicherheits-CAPTCHAs
  • Überprüfung massenhafter IP-Abfragen
  • Ratenbegrenzung (Rate Limiting)

Die Beklagte wurde verurteilt, es zu unterlassen, die Verknüpfung von Telefonnummern mit Nutzerprofilen über das Kontakt-Import-Tool zu ermöglichen, ohne solche Sicherheitsmaßnahmen vorzuhalten .

Sekundäre Darlegungslast

Ein wichtiger prozessualer Aspekt ist die sekundäre Darlegungslast des Plattformbetreibers. Das OLG München stellte klar, dass der Plattformbetreiber als „Herr“ der Technik verpflichtet ist, Vortrag über den konkreten Zeitraum des Datenschutzvorfalls zu halten, von dem die zeitliche Anwendbarkeit der DSGVO abhängt . Diese Beweislastumkehr ist für betroffene Nutzer erheblich, da sie selbst oft keine Möglichkeit haben, den genauen Zeitpunkt des Datenabgriffs zu ermitteln.

Bußgelder gegen Scraping-Unternehmen

Nicht nur Plattformbetreiber, die Scraping-Angriffe ermöglichen, müssen mit Konsequenzen rechnen. Auch Unternehmen, die selbst scrapen, werden zunehmend zur Rechenschaft gezogen:

Die französische Datenschutzbehörde CNIL verhängte im Dezember 2024 ein Bußgeld in Höhe von 240.000 Euro gegen das Unternehmen KASPR . KASPR bot eine Browser-Erweiterung für Google Chrome an, mit der Kunden Zugang zu beruflichen Kontaktdaten von besuchten LinkedIn-Profilen erhalten konnten. Die Daten stammten aus einer Datenbank, die KASPR durch Scraping von LinkedIn und anderen Quellen aufgebaut hatte.

Die CNIL stellte mehrere Verstöße gegen die DSGVO fest :

  • Keine Rechtsgrundlage für die Verarbeitung der gescrapten Daten (Art. 6 DSGVO)
  • Fehlende oder unzureichende Information der betroffenen Personen (Transparenzpflichten)
  • Keine festgelegten Löschfristen
  • Unzureichende Reaktion auf Anfragen betroffener Personen (Verletzung des Auskunftsrechts)

Das Unternehmen wurde verpflichtet, die Verstöße innerhalb von sechs Monaten zu beheben und insbesondere keine Daten von Personen mehr zu verarbeiten, die ihre Sichtbarkeitseinstellungen auf Plattformen wie LinkedIn eingeschränkt hatten .

Herausforderungen bei der Rechtsdurchsetzung

Die praktische Durchsetzung von Schadensersatzansprüchen ist für betroffene Nutzer mit erheblichen Hürden verbunden:

Beweislast für den Zeitpunkt des Vorfalls

Das Thüringer Oberlandesgericht wies mit Urteil vom 21. Mai 2025 (Az. 2 U 583/23) die Berufung eines Klägers ab, weil dieser nicht beweisen konnte, dass der Scraping-Vorfall nach dem 25. Mai 2018, dem Stichtag für die Anwendbarkeit der DSGVO, stattgefunden hatte . Die Beklagte hatte angegeben, dass der Vorfall im Zeitraum von Januar 2018 bis September 2019 stattfand. Da der genaue Zeitpunkt nicht festgestellt werden konnte und die Beweislast hierfür beim Kläger liegt, ging das Gericht davon aus, dass die DSGVO nicht anwendbar war.

Diese Entscheidung zeigt die praktischen Schwierigkeiten betroffener Nutzer: Sie haben in der Regel keine Möglichkeit, den genauen Zeitpunkt eines Datenabgriffs nachzuweisen, da sie keinen Einblick in die Systeme des Plattformbetreibers haben.

Nachweis der Kausalität

Eine weitere Hürde ist der Nachweis der Kausalität zwischen dem Scraping-Vorfall und konkreten Beeinträchtigungen. Das OLG Oldenburg wies Klagen ab, weil offen blieb, ob unerwünschte Anrufe und SMS tatsächlich auf den Scraping-Vorfall oder auf unzählige andere mögliche Gründe zurückzuführen waren .

Wirtschaftliche Auswirkungen von Scraping-Angriffen

Die wirtschaftlichen Folgen von Scraping-Angriffen sind erheblich und vielfältig. Sie betreffen nicht nur die direkt betroffenen Unternehmen, sondern die gesamte digitale Wirtschaft.

Direkte finanzielle Verluste

Umsatzeinbußen: Unternehmen verlieren durch Bot-Traffic durchschnittlich 4,3 Prozent ihrer Online-Einnahmen . Diese Verluste entstehen durch verschiedene Faktoren:

  • Preis-Scraping ermöglicht es Wettbewerbern, die Preisstrategie zu unterlaufen
  • Content-Diebstahl führt zu Traffic-Verlusten und geringeren Werbeeinnahmen
  • Scalping-Bots kaufen begehrte Produkte vor den echten Kunden auf, was zu Umsatzeinbußen und Kundenfrustration führt

Betriebskosten: Der Bot-Verkehr erhöht die Betriebskosten erheblich. Unternehmen müssen zusätzliche Infrastrukturkapazitäten vorhalten, um den durch Bots erzeugten Datenverkehr zu bewältigen. Eine Fallstudie zeigte, dass ein Einzelhändler 84 Prozent des Datenverkehrs zu seiner Produkt-API als bösartig identifizierte, was zu erheblicher Ressourcenverschwendung führte .

Kosten für den Kundensupport: Bots führen zu erhöhten Support-Kosten. Wenn Bots Nutzer aus ihren Konten sperren oder betrügerische Transaktionen durchführen, steigt die Zahl der Support-Anfragen massiv an. Die durchschnittlichen Kosten für einen Support-Anruf sind beträchtlich .

Langfristige geschäftliche Auswirkungen

Kundenabwanderung: 88 Prozent der Unternehmen geben an, dass Bots ihr Kundenerlebnis beeinträchtigen . Dies führt zu erhöhter Abwanderung, da unzufriedene Kunden ihr Geschäft woanders tätigen. Die finanziellen Auswirkungen des Kundenverlusts sind besonders schwerwiegend, wenn man den Lebenszeitwert eines Kunden berücksichtigt.

Reputationsschäden: Wenn Kundendaten durch Scraping-Angriffe öffentlich werden, leidet das Vertrauen in das betroffene Unternehmen. Datenschutzverstöße werden in den Medien breit diskutiert und können langfristige Reputationsschäden verursachen.

Wettbewerbsnachteile: Durch Preis-Scraping und Produktkopien verlieren innovative Unternehmen ihre Wettbewerbsvorteile. Die Investitionen in Produktentwicklung und Marktforschung werden entwertet, wenn Wettbewerber die Ergebnisse einfach kopieren können.

Herausforderungen bei der Erkennung

Ein besonderes Problem ist die späte Erkennung von Bot-Angriffen. In der Regel dauert es etwa vier Monate, bis Unternehmen Bot-Angriffe entdecken . In dieser Zeit können die Angreifer ungehindert Daten sammeln und Schäden verursachen. Besonders problematisch: 89 Prozent der E-Commerce-Unternehmen benötigten zwei bis sechs Monate, um zu erkennen, dass sie von Scalper-Bots angegriffen wurden .

Mehr als die Hälfte der befragten E-Commerce-Unternehmen gab an, dass sie Werbeaktionen auf der Grundlage von Daten durchführten, die sich später aufgrund von Bot-Aktivitäten als ungenau herausstellten . Dieses Missmanagement kann zu Über- oder Unterbevorratung führen, was sich wiederum negativ auf den Umsatz auswirkt.

Technische Schutzmaßnahmen gegen Scraping-Angriffe

Angesichts der erheblichen Risiken ist ein effektiver Schutz gegen Scraping-Angriffe für Unternehmen unverzichtbar. Die Gerichte haben zudem klargestellt, dass Plattformbetreiber geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die unbefugte Auslesung und Weitergabe von Nutzerdaten zu verhindern .

Grundlegende Schutzmechanismen

Ratenbegrenzung (Rate Limiting): Die Anzahl der Anfragen von einer einzelnen IP-Adresse in einem bestimmten Zeitraum wird begrenzt. Dies stoppt einfache, aggressive Scraper, die tausende von Anfragen pro Minute senden.

CAPTCHA-Herausforderungen: Besucher, die ein verdächtiges Verhalten zeigen (z.B. ungewöhnlich viele Seitenaufrufe in kurzer Zeit), müssen einen Test lösen, der für Menschen einfach, für Bots aber schwer zu bewältigen ist. Das OLG München nannte die Implementierung von Sicherheits-CAPTCHAs ausdrücklich als erforderliche Schutzmaßnahme .

IP-Reputationsdienste: Bekannte IP-Adressen von Rechenzentren, Proxyservern oder bereits aufgefallenen Scrapern können blockiert werden.

User-Agent-Analyse: Die Identifikation des verwendeten Browsers und Betriebssystems kann Hinweise auf automatisierte Zugriffe geben. Viele Scraper verwenden auffällige oder fehlerhafte User-Agent-Strings.

Fortgeschrittene Abwehrstrategien

Verhaltensanalyse mit maschinellem Lernen: Moderne Sicherheitslösungen nutzen KI, um das Verhalten von Besuchern zu analysieren. Sie erkennen selbst menschenähnliche Bots, die langsam und mit wechselnden IP-Adressen vorgehen. Die Systeme lernen typische Navigationsmuster, Mausbewegungen und Klickverhalten und identifizieren Abweichungen.

Dynamisches HTML-Markup: Durch regelmäßige Änderungen im HTML-Code der Website werden einfache Scraper ausgebremst, die auf eine gleichbleibende Struktur angewiesen sind. Die Daten werden weiterhin korrekt dargestellt, aber die Extraktionslogik der Scraper funktioniert nicht mehr.

Honeypots: Versteckte Links oder Formulare, die für menschliche Nutzer unsichtbar sind (z.B. durch CSS ausgeblendet), aber von Bots erkannt und angeklickt werden. Jeder Zugriff auf diese Honeypots entlarvt den Besucher als Bot.

JavaScript-basierte Herausforderungen: Die Ausführung von JavaScript-Code im Browser des Besuchers kann Bots erkennen, die keine vollständige JavaScript-Engine mitführen.

Strategische Schutzmaßnahmen

API-Design überdenken: Wertvolle Daten sollten nicht über leicht zugängliche Endpunkte bereitgestellt werden. APIs sollten mit Authentifizierung, Ratenbegrenzung und detaillierten Nutzungsbedingungen versehen werden.

Zugangskontrollen verschärfen: Wertvolle Daten können hinter einer Anmeldung (Login) platziert werden. Dies erschwert Scraping-Angriffe erheblich, da die Angreifer gültige Zugangsdaten benötigen und die Anzahl der Anfragen pro Konto begrenzt werden kann.

Rechtliche Schritte vorbereiten: Die Nutzungsbedingungen sollten klare Verbote von Scraping enthalten. Bei Verstößen können Abmahnungen und Unterlassungsklagen eingeleitet werden. Das OLG Koblenz bestätigte, dass Unterlassungsansprüche gegen datenschutzwidriges Verhalten bestehen können, wenn Wiederholungsgefahr gegeben ist .

Grenzen des technischen Schutzes

Keine Schutzmaßnahme ist absolut sicher. Fortgeschrittene Angreifer umgehen viele Schutzmechanismen:

  • CAPTCHAs können durch Dienste umgangen werden, die menschliche Löser beschäftigen
  • IP-basierte Sperren verlieren ihre Wirkung bei Nutzung großer Proxy-Netzwerke
  • JavaScript-Herausforderungen können von spezialisierten Browser-Automatisierungen wie Puppeteer oder Selenium bewältigt werden

Daher ist ein mehrschichtiger Ansatz notwendig, der verschiedene Schutzmechanismen kombiniert und kontinuierlich an neue Angriffsmethoden angepasst wird.

Besondere Fallkonstellationen und aktuelle Entwicklungen

Die Rechtsprechung zu Scraping-Angriffen entwickelt sich dynamisch weiter. Einige besondere Fallkonstellationen verdienen eine genauere Betrachtung.

Scraping nicht öffentlich einsehbarer Daten

Das OLG Koblenz hatte sich mit der Frage zu befassen, ob ein Kontrollverlust auch bei Daten angenommen werden kann, die im sozialen Netzwerk nicht öffentlich einsehbar waren . Die Klägerin machte geltend, dass durch den Scraping-Vorfall auch Daten betroffen waren, die sie nicht für die Öffentlichkeit freigegeben hatte.

Das Gericht entschied, dass der Annahme eines Kontrollverlusts nicht entgegensteht, dass der Nutzer dieses Datum schon außerhalb des Netzwerks bestimmten, von ihm bewusst ausgewählten Empfängern bekannt gemacht hatte . Dies ist eine wichtige Klarstellung: Wer seine Telefonnummer Freunden oder Geschäftspartnern mitteilt, willigt damit nicht in die weltweite Veröffentlichung im Internet ein.

Die Entscheidung zeigt die differenzierte Betrachtung der Gerichte: Die Kontrolle über die Daten bedeutet nicht absolute Geheimhaltung, sondern die Entscheidungsbefugnis darüber, wer wann Zugang zu welchen Daten hat.

Wiederholungsgefahr und Unterlassungsansprüche

Mehrere Gerichte hatten sich mit der Frage zu befassen, ob und unter welchen Voraussetzungen betroffene Nutzer Unterlassungsansprüche gegen Plattformbetreiber geltend machen können.

Das OLG Dresden stellte klar, dass die Vermutung der Wiederholungsgefahr entkräftet ist, wenn die dafür verantwortliche Sicherheitslücke geschlossen wurde und davon auszugehen ist, dass ein hierauf gestütztes Abfischen von Daten nicht mehr möglich ist .

Demgegenüber betonte das OLG Koblenz, dass die Wiederholungsgefahr nicht ausgeräumt ist, wenn der Netzwerkbetreiber den Datenschutzverstoß zwar abgestellt hat, sich aber ausdrücklich als zu dem inkriminierten Verhalten berechtigt ansieht . In einem solchen Fall bleibt das Risiko bestehen, dass der Betreiber sein Verhalten wieder aufnimmt, sobald der öffentliche Druck nachlässt.

Vorlagefragen zum EuGH

Die bereits erwähnte Vorlage des Landgerichts Erfurt zum EuGH  zeigt, dass trotz der jüngsten BGH-Entscheidung grundlegende Fragen weiterhin klärungsbedürftig sind:

Definition des Kontrollverlusts: Wann genau liegt ein Kontrollverlust vor? Reicht bereits die kurzfristige Zugriffsmöglichkeit Unbefugter aus, oder muss ein tatsächlicher Zugriff erfolgt sein?

Abgrenzung zu selbst veröffentlichten Daten: Wie ist zu bewerten, wenn die betroffenen Daten vom Nutzer selbst bereits öffentlich gemacht wurden? Ändert dies die Bewertung des Kontrollverlusts?

Erheblichkeitsschwelle: Gibt es eine Bagatellgrenze, unterhalb derer kein Schadensersatz beansprucht werden kann?

Die Antworten des EuGH werden für die gesamte Europäische Union verbindlich sein und die Rechtsprechung der nationalen Gerichte vereinheitlichen.

Prävention und Handlungsempfehlungen

Angesichts der komplexen Rechtslage und der erheblichen wirtschaftlichen Risiken sind sowohl Unternehmen als auch Privatpersonen gefordert, sich aktiv zu schützen.

Für Unternehmen und Plattformbetreiber

Rechtliche Compliance sicherstellen:

  • Implementierung datenschutzfreundlicher Voreinstellungen (Privacy by Default) 
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen nach Art. 32 DSGVO
  • Dokumentation aller Verarbeitungstätigkeiten
  • Schulung der Mitarbeiter im Umgang mit Datenschutzfragen

Technische Schutzmaßnahmen umsetzen:

  • Einsatz von Bot-Management-Lösungen mit Verhaltensanalyse
  • Implementierung von Ratenbegrenzung und CAPTCHAs 
  • Regelmäßige Überprüfung der APIs auf Missbrauchsmöglichkeiten
  • Monitoring des Datenverkehrs auf auffällige Muster

Organisatorische Vorkehrungen treffen:

  • Erstellung eines Notfallplans für den Fall eines Scraping-Vorfalls
  • Klare Zuständigkeiten für Sicherheitsfragen
  • Regelmäßige Audits und Penetrationstests

Reaktionsstrategie entwickeln:

  • Verfahren zur Benachrichtigung betroffener Nutzer
  • Kommunikationsstrategie für die Öffentlichkeit
  • Zusammenarbeit mit Datenschutzbehörden

Für Privatpersonen

Vorsorgemaßnahmen:

  • Sorgfältige Prüfung der Privatsphäre-Einstellungen in sozialen Netzwerken
  • Voreinstellungen auf den kleinstmöglichen Empfängerkreis ändern 
  • Zurückhaltung bei der Preisgabe persönlicher Daten
  • Verwendung unterschiedlicher Passwörter für verschiedene Dienste
  • Regelmäßige Überprüfung der eigenen Online-Präsenz

Im Falle eines Scraping-Vorfalls:

  • Dokumentation des Vorfalls (Screenshots, Zeitpunkt der Kenntnisnahme)
  • Prüfung von Schadensersatzansprüchen 
  • Bei Unsicherheit: Rechtsberatung einholen
  • Überwachung auf verdächtige Aktivitäten (unerwartete E-Mails, Anrufe)

Fazit und Ausblick

Scraping-Angriffe sind eine ernstzunehmende und wachsende Bedrohung in der digitalen Welt. Sie bewegen sich in einem komplexen Spannungsfeld zwischen wirtschaftlichen Interessen, technischen Möglichkeiten und rechtlichen Grenzen.

Die wirtschaftlichen Auswirkungen sind erheblich: Unternehmen verlieren Umsätze, müssen höhere Betriebskosten tragen und riskieren Reputationsschäden. Für betroffene Privatpersonen bedeutet der Verlust der Kontrolle über ihre Daten oft langfristige Unsicherheit und das Risiko von Identitätsdiebstahl oder anderen Missbrauchsformen.

Die Rechtsprechung hat in den letzten Jahren wichtige Klarstellungen gebracht. Der bloße Kontrollverlust über die eigenen Daten ist nun als immaterieller Schaden anerkannt, der Schadensersatzansprüche begründen kann . Plattformbetreiber werden in die Pflicht genommen, durch geeignete technische und organisatorische Maßnahmen Scraping-Angriffe zu verhindern .

Gleichzeitig bleiben Herausforderungen bestehen. Die uneinheitliche Rechtsprechung zur Höhe des Schadensersatzes, die Beweislastprobleme betroffener Nutzer und die noch ausstehenden Entscheidungen des EuGH zeigen, dass die rechtliche Entwicklung noch nicht abgeschlossen ist.

Für die Zukunft ist zu erwarten, dass Scraping-Angriffe weiter zunehmen werden. Die fortschreitende Digitalisierung und der wachsende wirtschaftliche Wert von Daten werden die Anreize für Angreifer eher verstärken als verringern. Gleichzeitig werden die technischen Schutzmöglichkeiten immer ausgefeilter, insbesondere durch den Einsatz von künstlicher Intelligenz zur Verhaltensanalyse.

Unternehmen sind gut beraten, Scraping-Angriffe als strategische Bedrohung zu betrachten und in umfassende Schutzmaßnahmen zu investieren. Datenschutz und Datensicherheit müssen als kontinuierlicher Prozess verstanden werden, der regelmäßiger Überprüfung und Anpassung bedarf.

Privatanwendern bleibt nur die Möglichkeit, durch bewusstes und vorsichtiges Verhalten in sozialen Netzwerken und bei der Preisgabe persönlicher Daten das Risiko zu minimieren. Im Falle eines Scraping-Vorfalls sollten sie ihre Rechte kennen und gegebenenfalls Schadensersatzansprüche geltend machen.

Der gesetzliche Rahmen bietet dafür zunehmend bessere Voraussetzungen. Die DSGVO hat einen wirksamen Rechtsrahmen geschaffen, der durch die Rechtsprechung der nationalen Gerichte und hoffentlich bald auch des EuGH weiter konkretisiert wird. Datenschutzverstöße bleiben nicht folgenlos – weder für diejenigen, die Daten unrechtmäßig sammeln, noch für diejenigen, die dies durch mangelhafte Sicherheitsvorkehrungen ermöglichen.

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst