{"id":1001,"date":"2026-03-04T10:09:16","date_gmt":"2026-03-04T09:09:16","guid":{"rendered":"https:\/\/iobseu-xejul.wordpress.com\/?p=1001"},"modified":"2026-03-04T10:09:16","modified_gmt":"2026-03-04T09:09:16","slug":"scraping-angriffe-umfassende-analyse-einer-wachsenden-digitalen-bedrohung","status":"publish","type":"post","link":"https:\/\/technodidact.de\/en\/scraping-angriffe-umfassende-analyse-einer-wachsenden-digitalen-bedrohung\/","title":{"rendered":"Scraping-Angriffe: Umfassende Analyse einer wachsenden digitalen Bedrohung"},"content":{"rendered":"<h2 class=\"wp-block-heading\">Einleitung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">In der vernetzten Welt von heute sind Daten zum wertvollsten Rohstoff geworden. Unternehmen sammeln, analysieren und verwerten sie, um Wettbewerbsvorteile zu erlangen, personalisierte Dienste anzubieten und Gesch\u00e4ftsmodelle zu optimieren. Doch wo viel Licht ist, ist auch viel Schatten: Die automatisierte Extraktion von Daten \u2013 bekannt als &#8222;Scraping&#8220; \u2013 hat sich zu einer der gr\u00f6\u00dften Herausforderungen f\u00fcr Betreiber von Websites und sozialen Netzwerken entwickelt. Was als harmloses Werkzeug f\u00fcr Preisvergleiche begann, ist heute eine ausgefeilte Angriffsmethode mit erheblichen wirtschaftlichen und rechtlichen Konsequenzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Artikel beleuchtet das Ph\u00e4nomen des Scraping-Angriffs in seiner vollen Komplexit\u00e4t. Er erkl\u00e4rt die technischen Grundlagen, zeigt die vielf\u00e4ltigen Motive der Angreifer auf, analysiert aktuelle Gerichtsurteile und deren Auswirkungen und gibt einen umfassenden \u00dcberblick \u00fcber Schutzma\u00dfnahmen. Besonderes Augenmerk liegt auf der j\u00fcngsten Rechtsprechung, die die Grenzen zwischen Legalit\u00e4t und Illegalit\u00e4t neu definiert und sowohl Unternehmen als auch betroffene Privatpersonen vor neue Herausforderungen stellt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Was ist ein Scraping-Angriff?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Scraping-Angriff (auch Web Scraping oder Data Scraping) bezeichnet die automatisierte Extraktion von Daten aus Websites, sozialen Netzwerken oder anderen Online-Diensten ohne ausdr\u00fcckliche Genehmigung des Betreibers&nbsp;<a href=\"https:\/\/www.datenschutzticker.eu\/2025\/02\/data-scraping-240-000-euro-bussgeld-fuer-kaspr\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Im Gegensatz zu klassischen Hackerangriffen, bei denen Sicherheitsl\u00fccken ausgenutzt werden, um in gesch\u00fctzte Bereiche einzudringen, sammeln Scraping-Angriffe meist Informationen, die grunds\u00e4tzlich zug\u00e4nglich sind \u2013 allerdings in einer Art und Weise, die gegen die Nutzungsbedingungen verst\u00f6\u00dft und in erheblichem Umfang erfolgt&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Begriff &#8222;Scraping&#8220; leitet sich vom englischen &#8222;to scrape&#8220; (kratzen, schaben) ab und verdeutlicht die Methode: Die Daten werden quasi von der Bildoberfl\u00e4che &#8222;abgekratzt&#8220;. Dabei kommen automatisierte Skripte oder Bots zum Einsatz, die tausende von Anfragen pro Minute senden k\u00f6nnen \u2013 eine Menge, die kein menschlicher Nutzer jemals erreichen k\u00f6nnte.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Technische Grundlagen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die technische Umsetzung von Scraping-Angriffen erfolgt in der Regel in mehreren Schritten:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Entwicklung eines Scraping-Skripts<\/strong>: Angreifer nutzen Programmiersprachen wie Python mit spezialisierten Bibliotheken (BeautifulSoup, Scrapy, Selenium) oder kommerzielle &#8222;Scraping-as-a-Service&#8220;-Angebote. Diese Tools analysieren den HTML-Code der Zielwebsite und identifizieren die Struktur, in der die gew\u00fcnschten Daten pr\u00e4sentiert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Durchf\u00fchrung der Extraktion<\/strong>: Die Bots senden massenhaft Anfragen an den Zielserver, laden die Seiten herunter und extrahieren die relevanten Informationen. Um nicht entdeckt zu werden, verteilen fortgeschrittene Scraper ihre Anfragen \u00fcber Proxy-Netzwerke und wechseln st\u00e4ndig ihre IP-Adressen, um wie normale Besucher zu wirken.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Aufbereitung und Speicherung<\/strong>: Die gesammelten Daten werden strukturiert aufbereitet und in Datenbanken gespeichert. Sie k\u00f6nnen dann f\u00fcr verschiedene Zwecke genutzt oder weiterverkauft werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Abgrenzung zu anderen Angriffsarten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Scraping-Angriffe werden oft mit anderen Formen von Bot-Angriffen verwechselt. Eine klare Abgrenzung ist jedoch wichtig:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Scraping<\/strong>\u00a0zielt auf die Extraktion von Daten ab<\/li>\n\n\n\n<li><strong>Scalping<\/strong>\u00a0bezeichnet den automatisierten Kauf von begehrten Produkten (wie Konzerten oder Konsolen) durch Bots, um sie \u00fcberteuert weiterzuverkaufen\u00a0<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/li>\n\n\n\n<li><strong>Carding<\/strong>\u00a0ist die automatisierte \u00dcberpr\u00fcfung gestohlener Kreditkartendaten auf E-Commerce-Websites\u00a0<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/li>\n\n\n\n<li><strong>Credential Stuffing<\/strong>\u00a0nutzt gestohlene Zugangsdaten, um sich in Benutzerkonten einzuloggen<\/li>\n\n\n\n<li><strong>Layer-7-DoS-Angriffe<\/strong>\u00a0zielen auf die \u00dcberlastung von Servern ab\u00a0<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die \u00dcberg\u00e4nge sind jedoch flie\u00dfend, und Scraping-Angriffe k\u00f6nnen Teil komplexerer Angriffsszenarien sein.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Ziele und Motive von Scraping-Angriffen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Beweggr\u00fcnde f\u00fcr Scraping-Angriffe sind so vielf\u00e4ltig wie die gesammelten Daten selbst. Sie reichen von wirtschaftlichen Interessen \u00fcber kriminelle Aktivit\u00e4ten bis hin zu ideologischen Motiven.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wirtschaftliche Spionage und Wettbewerbsvorteile<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Hauptmotiv f\u00fcr Scraping-Angriffe ist die Wirtschaftsspionage. Unternehmen lassen Konkurrenzwebsites auslesen, um:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Preisstrategien zu analysieren<\/strong>: Im E-Commerce ist Preis-Scraping weit verbreitet. Wettbewerber lesen regelm\u00e4\u00dfig die Preisdaten ihrer Konkurrenten aus, um die eigene Preisgestaltung anzupassen oder systematisch zu unterbieten. Eine US-Fluggesellschaft stellte fest, dass 25 Prozent ihres Suchdatenverkehrs auf unerw\u00fcnschte Scraping-Aktivit\u00e4ten zur\u00fcckzuf\u00fchren waren&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Produktkataloge zu kopieren<\/strong>: Komplette Produktdatenbanken mit Beschreibungen, Bildern und Spezifikationen werden extrahiert und f\u00fcr eigene Angebote verwendet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Marktanalysen durchzuf\u00fchren<\/strong>: Start-ups und etablierte Unternehmen nutzen Scraping, um Markttrends zu identifizieren, ohne auf teure Marktforschungsinstitute angewiesen zu sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die finanziellen Auswirkungen sind erheblich: Unternehmen verlieren durch Bot-Traffic durchschnittlich 4,3 Prozent ihrer Online-Einnahmen, was f\u00fcr ein typisches Gro\u00dfunternehmen etwa 85 Millionen Dollar j\u00e4hrlich bedeutet&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Content-Diebstahl und Urheberrechtsverletzungen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Content-Scraping zielt auf die unbefugte \u00dcbernahme von Inhalten ab:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Nachrichtenartikel und Blogbeitr\u00e4ge<\/strong>: Online-Medien und Blogger finden ihre Inhalte h\u00e4ufig auf unz\u00e4hligen anderen Websites wieder, oft ohne Quellenangabe und ohne Genehmigung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Produktbewertungen und Kundenrezensionen<\/strong>: Bewertungen sind wertvolle Verkaufsargumente. Ihre \u00dcbernahme durch Konkurrenzplattformen kann zu erheblichen Umsatzeinbu\u00dfen f\u00fchren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Bilder und Videos<\/strong>: Visuelle Inhalte werden f\u00fcr eigene Websites oder sogar f\u00fcr den Verkauf von Stockmaterial genutzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Sch\u00e4den gehen \u00fcber den reinen Inhaltsdiebstahl hinaus: Originalseiten k\u00f6nnen in Suchmaschinen schlechter platziert werden, wenn identische Inhalte mehrfach vorkommen (Duplicate Content), was zu Traffic-Verlusten und geringeren Werbeeinnahnen f\u00fchrt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Kontaktdatensammlung f\u00fcr Marketing und Betrug<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das Sammeln von Kontaktdaten (Contact Scraping) ist eines der verbreitetsten Scraping-Ziele:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>E-Mail-Adressen<\/strong>: Millionen von E-Mail-Adressen werden aus sozialen Netzwerken, Foren und Firmenwebsites extrahiert, um sie f\u00fcr Spam-Kampagnen zu nutzen. Das OLG Frankfurt stellte in einem Urteil fest, dass beim Facebook-Scraping-Vorfall etwa 533 Millionen Datens\u00e4tze betroffen waren&nbsp;<a href=\"https:\/\/www.mtrlegal.com\/200-euro-entschaedigung-fuer-datenscraping-bei-facebook-vergeben\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Telefonnummern<\/strong>: Die gesammelten Rufnummern dienen als Grundlage f\u00fcr unerw\u00fcnschte Werbeanrufe oder betr\u00fcgerische Anrufe im Rahmen von Social Engineering.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Berufliche Kontaktdaten<\/strong>: Unternehmen wie KASPR bauten durch Scraping von LinkedIn und anderen Plattformen Datenbanken mit etwa 160 Millionen beruflichen Kontakten auf, um sie als Browser-Erweiterung zu vermarkten \u2013 bis die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL ein Bu\u00dfgeld von 240.000 Euro verh\u00e4ngte&nbsp;<a href=\"https:\/\/www.datenschutzticker.eu\/2025\/02\/data-scraping-240-000-euro-bussgeld-fuer-kaspr\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Vorbereitung weiterer Straftaten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Gescrapte Daten sind oft erst der Anfang einer Kette von Straftaten:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Phishing-Angriffe<\/strong>: Mit Namen, E-Mail-Adressen und weiteren pers\u00f6nlichen Informationen lassen sich t\u00e4uschend echte Phishing-Nachrichten erstellen, die deutlich h\u00f6here Erfolgsquoten erzielen als Massen-Mails.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Identit\u00e4tsdiebstahl<\/strong>: Die Kombination verschiedener Datenquellen erm\u00f6glicht es, komplette Identit\u00e4tsprofile zu erstellen, die f\u00fcr Betrug genutzt werden k\u00f6nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Social Engineering<\/strong>: Je mehr Informationen Angreifer \u00fcber eine Person haben, desto glaubw\u00fcrdiger k\u00f6nnen sie sich am Telefon oder per E-Mail ausgeben.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Politische und ideologische Motive<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nicht alle Scraping-Angriffe sind kommerziell motiviert:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Journalistische Recherchen<\/strong>: Investigativjournalisten nutzen Scraping, um Korruption, Missst\u00e4nde oder illegale Aktivit\u00e4ten aufzudecken \u2013 hier bewegt sich Scraping in einem rechtlichen und ethischen Grenzbereich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Politische Aktivisten<\/strong>: Sie scrapen Daten, um Machtstrukturen zu analysieren oder auf Missst\u00e4nde aufmerksam zu machen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Forschung<\/strong>: Wissenschaftler nutzen Scraping f\u00fcr sozialwissenschaftliche Studien, Marktanalysen oder die Erforschung von Online-Ph\u00e4nomenen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Die rechtliche Dimension: Aktuelle Rechtsprechung im \u00dcberblick<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die rechtliche Bewertung von Scraping-Angriffen hat sich in den letzten Jahren erheblich weiterentwickelt. Eine Flut von Gerichtsentscheidungen, insbesondere im Zusammenhang mit dem gro\u00dfen Facebook-Scraping-Vorfall, hat wichtige Klarstellungen gebracht \u2013 aber auch neue Fragen aufgeworfen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Der Facebook-Scraping-Fall als juristischer Pr\u00e4zedenzfall<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Zwischen Januar 2018 und September 2019 nutzten unbekannte Dritte die Kontakt-Import-Funktion (Contact Import Tool, CIT) von Facebook aus, um durch massenhafte Eingabe zuf\u00e4lliger Telefonnummern Nutzerdaten abzugreifen&nbsp;<a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Betroffen waren etwa 533 Millionen Nutzer weltweit, deren Daten \u2013 darunter Telefonnummern, Namen, Geschlecht und teilweise weitere Profilinformationen \u2013 im April 2021 im Internet ver\u00f6ffentlicht wurden&nbsp;<a href=\"https:\/\/www.mtrlegal.com\/200-euro-entschaedigung-fuer-datenscraping-bei-facebook-vergeben\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Vorfall l\u00f6ste eine Welle von Klagen betroffener Nutzer aus, die Schadensersatz wegen Verletzung der Datenschutz-Grundverordnung (DSGVO) forderten. Die Gerichte mussten grundlegende Fragen kl\u00e4ren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Stellt der blo\u00dfe Kontrollverlust \u00fcber die eigenen Daten bereits einen immateriellen Schaden dar?<\/li>\n\n\n\n<li>In welcher H\u00f6he ist Schadensersatz zuzusprechen?<\/li>\n\n\n\n<li>Welche Sicherheitsma\u00dfnahmen m\u00fcssen Plattformbetreiber ergreifen?<\/li>\n\n\n\n<li>Wer tr\u00e4gt die Beweislast f\u00fcr den Zeitpunkt des Vorfalls?<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Immaterieller Schadensersatz nach Art. 82 DSGVO<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die zentrale Frage in vielen Verfahren war, ob und in welcher H\u00f6he betroffene Nutzer einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO haben.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Der blo\u00dfe Kontrollverlust als Schaden<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Der Bundesgerichtshof (BGH) hat mit Urteil vom 18. November 2024 (Az. VI ZR 10\/24) klargestellt:&nbsp;<strong>Der blo\u00dfe und selbst kurzzeitige Verlust der Kontrolle \u00fcber eigene personenbezogene Daten stellt bereits als solcher einen immateriellen Schaden dar<\/strong>&nbsp;<a href=\"https:\/\/www.cr-online.de\/97039.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Dies gilt unabh\u00e4ngig davon, ob der Betroffene individuelle Beeintr\u00e4chtigungen wie Angst, Stress oder konkrete negative Folgen nachweisen kann. Auch eine missbr\u00e4uchliche Verwendung der Daten oder sonstige sp\u00fcrbare negative Folgen sind nicht erforderlich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Entscheidung des BGH schafft Klarheit in einer bisher umstrittenen Frage. Mehrere Oberlandesgerichte waren zuvor unterschiedlicher Auffassung:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Das\u00a0<strong>OLG Frankfurt<\/strong>\u00a0sprach einem Kl\u00e4ger 200 Euro Schadensersatz zu und betonte, dass bereits die unrechtm\u00e4\u00dfige Ver\u00f6ffentlichung personenbezogener Daten einen Anspruch begr\u00fcnden kann. F\u00fcr die Begr\u00fcndung des Anspruchs seien keine nachweisbaren Folgen wie Identit\u00e4tsmissbrauch oder Spam-Nachrichten notwendig\u00a0<a href=\"https:\/\/www.mtrlegal.com\/200-euro-entschaedigung-fuer-datenscraping-bei-facebook-vergeben\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/li>\n\n\n\n<li>Das\u00a0<strong>OLG Dresden<\/strong>\u00a0entschied, dass der blo\u00dfe Verlust der Kontrolle \u00fcber die eigenen Daten auch dann einen immateriellen Schaden darstellen kann, wenn die begr\u00fcndete Bef\u00fcrchtung einer missbr\u00e4uchlichen Verwendung nicht nachgewiesen ist\u00a0<a href=\"https:\/\/betriebs-berater.ruw.de\/wirtschaftsrecht\/urteile\/Scrapin-Vorfal--Blosse-Verlus-de-Kontroll-uebe-eigen-Date-infolg-eine-Datenschutzverstosse-al-immaterielle-Schade-i-S-d-Art-8-DSGV-46990\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/li>\n\n\n\n<li>Das\u00a0<strong>OLG Koblenz<\/strong>\u00a0schloss sich dieser Linie an und betonte, dass der Annahme eines Kontrollverlusts nicht entgegensteht, wenn der Nutzer das Datum au\u00dferhalb des Netzwerks bereits bestimmten Empf\u00e4ngern bekannt gemacht hat\u00a0<a href=\"https:\/\/www.computerundrecht.de\/96217.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Demgegen\u00fcber hatte das&nbsp;<strong>OLG Oldenburg<\/strong>&nbsp;in mehreren Entscheidungen (Az. 13 U 59\/23, 13 U 79\/23, 13 U 60\/23) betont, dass zus\u00e4tzlich zu einem Datenschutzversto\u00df ein individueller Schaden dargelegt und bewiesen werden m\u00fcsse. Die blo\u00dfe Bef\u00fcrchtung eines Missbrauchs reiche nicht aus, wenn sie nicht tats\u00e4chlich begr\u00fcndet sei&nbsp;<a href=\"https:\/\/ohn.haendlerbund.de\/recht\/urteile-entscheidungen\/139937-datenschutzverstoessen-geld-lukrativ\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Die H\u00f6he des Schadensersatzes<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Bei der H\u00f6he des zuzusprechenden Schadensersatzes zeichnen die Gerichte ein uneinheitliches Bild:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Gericht<\/th><th class=\"has-text-align-left\" data-align=\"left\">Zugesprochene Summe<\/th><th class=\"has-text-align-left\" data-align=\"left\">Besonderheiten<\/th><\/tr><\/thead><tbody><tr><td>OLG Frankfurt<\/td><td>200 Euro<\/td><td>Einmaliger Vorfall ohne nachweisliche Folgesch\u00e4den&nbsp;<a href=\"https:\/\/www.mtrlegal.com\/200-euro-entschaedigung-fuer-datenscraping-bei-facebook-vergeben\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/td><\/tr><tr><td>OLG M\u00fcnchen<\/td><td>200 Euro<\/td><td>Zzgl. Feststellung der Ersatzpflicht f\u00fcr k\u00fcnftige Sch\u00e4den&nbsp;<a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/td><\/tr><tr><td>OLG Dresden<\/td><td>100 Euro<\/td><td>F\u00fcr den eingetretenen Kontrollverlust&nbsp;<a href=\"https:\/\/betriebs-berater.ruw.de\/wirtschaftsrecht\/urteile\/Scrapin-Vorfal--Blosse-Verlus-de-Kontroll-uebe-eigen-Date-infolg-eine-Datenschutzverstosse-al-immaterielle-Schade-i-S-d-Art-8-DSGV-46990\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/td><\/tr><tr><td>OLG Koblenz<\/td><td>100 Euro<\/td><td>F\u00fcr nicht \u00f6ffentlich einsehbare Daten&nbsp;<a href=\"https:\/\/www.computerundrecht.de\/96217.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die Gerichte betonen \u00fcbereinstimmend, dass die H\u00f6he des Schadensersatzes eine Einzelfallentscheidung ist, bei der Umfang und Schwere des Versto\u00dfes zu ber\u00fccksichtigen sind&nbsp;<a href=\"https:\/\/www.mtrlegal.com\/200-euro-entschaedigung-fuer-datenscraping-bei-facebook-vergeben\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Der Betrag von 200 Euro mag im Verh\u00e4ltnis zur Anzahl der Betroffenen gering erscheinen, spiegelt aber nach Auffassung der Gerichte das konkrete Ausma\u00df der Beeintr\u00e4chtigung wider, insbesondere bei einmaligen Vorf\u00e4llen ohne nachweisliche Folgesch\u00e4den.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Vorlage zum Europ\u00e4ischen Gerichtshof<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Trotz der Klarstellung durch den BGH bleiben Fragen offen. Das Landgericht Erfurt hat mit Beschluss vom 3. April 2025 (Az. 8 O 895\/23) dem Europ\u00e4ischen Gerichtshof (EuGH) mehrere Fragen zur Vorabentscheidung vorgelegt&nbsp;<a href=\"https:\/\/www.cr-online.de\/97039.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Erlaubt Art. 82 Abs. 1 DSGVO es einem nationalen Gericht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, sondern sich lediglich darauf beruft, dass ihre Daten im Internet ver\u00f6ffentlicht wurden und sie somit die Kontrolle hier\u00fcber verloren habe?<\/li>\n\n\n\n<li>Falls ja: Gilt dies auch, wenn die ver\u00f6ffentlichten Daten lediglich aus solchen personenbezogenen Daten bestehen, deren Ver\u00f6ffentlichung im Internet die betroffene Person vorher selbst veranlasst hatte (wie Name und Geschlecht), sowie der Telefonnummer der betroffenen Person?<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Die Antworten des EuGH werden richtungsweisend f\u00fcr die Zukunft der Schadensersatzklagen bei Datenschutzverst\u00f6\u00dfen sein.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Verantwortlichkeit der Plattformbetreiber<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Gerichte haben auch klare Anforderungen an die Betreiber von Plattformen und sozialen Netzwerken formuliert:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Versto\u00df gegen datenschutzfreundliche Voreinstellungen<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Das OLG Dresden stellte fest, dass Facebook gegen Art. 25 Abs. 2 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) versto\u00dfen hat, indem die Standardeinstellung f\u00fcr die Suchbarkeit nach der Telefonnummer auf &#8222;Alle&#8220; und damit nicht datenschutzfreundlich eingestellt war&nbsp;<a href=\"https:\/\/betriebs-berater.ruw.de\/wirtschaftsrecht\/urteile\/Scrapin-Vorfal--Blosse-Verlus-de-Kontroll-uebe-eigen-Date-infolg-eine-Datenschutzverstosse-al-immaterielle-Schade-i-S-d-Art-8-DSGV-46990\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Als Voreinstellung ist der kleinstm\u00f6gliche Empf\u00e4ngerkreis vorzusehen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Pflicht zu angemessenen Sicherheitsma\u00dfnahmen<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Das OLG M\u00fcnchen betonte in seinem Urteil vom 26. September 2025 (Az. 36 U 1368\/24 e), dass Plattformbetreiber geeignete Sicherheitsma\u00dfnahmen implementieren m\u00fcssen, um Scraping-Angriffe zu verhindern. Dazu geh\u00f6ren insbesondere&nbsp;<a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementierung von Sicherheits-CAPTCHAs<\/li>\n\n\n\n<li>\u00dcberpr\u00fcfung massenhafter IP-Abfragen<\/li>\n\n\n\n<li>Ratenbegrenzung (Rate Limiting)<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die Beklagte wurde verurteilt, es zu unterlassen, die Verkn\u00fcpfung von Telefonnummern mit Nutzerprofilen \u00fcber das Kontakt-Import-Tool zu erm\u00f6glichen, ohne solche Sicherheitsma\u00dfnahmen vorzuhalten&nbsp;<a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Sekund\u00e4re Darlegungslast<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Ein wichtiger prozessualer Aspekt ist die sekund\u00e4re Darlegungslast des Plattformbetreibers. Das OLG M\u00fcnchen stellte klar, dass der Plattformbetreiber als &#8222;Herr&#8220; der Technik verpflichtet ist, Vortrag \u00fcber den konkreten Zeitraum des Datenschutzvorfalls zu halten, von dem die zeitliche Anwendbarkeit der DSGVO abh\u00e4ngt&nbsp;<a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Diese Beweislastumkehr ist f\u00fcr betroffene Nutzer erheblich, da sie selbst oft keine M\u00f6glichkeit haben, den genauen Zeitpunkt des Datenabgriffs zu ermitteln.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Bu\u00dfgelder gegen Scraping-Unternehmen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nicht nur Plattformbetreiber, die Scraping-Angriffe erm\u00f6glichen, m\u00fcssen mit Konsequenzen rechnen. Auch Unternehmen, die selbst scrapen, werden zunehmend zur Rechenschaft gezogen:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL verh\u00e4ngte im Dezember 2024 ein Bu\u00dfgeld in H\u00f6he von&nbsp;<strong>240.000 Euro<\/strong>&nbsp;gegen das Unternehmen KASPR&nbsp;<a href=\"https:\/\/www.datenschutzticker.eu\/2025\/02\/data-scraping-240-000-euro-bussgeld-fuer-kaspr\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. KASPR bot eine Browser-Erweiterung f\u00fcr Google Chrome an, mit der Kunden Zugang zu beruflichen Kontaktdaten von besuchten LinkedIn-Profilen erhalten konnten. Die Daten stammten aus einer Datenbank, die KASPR durch Scraping von LinkedIn und anderen Quellen aufgebaut hatte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die CNIL stellte mehrere Verst\u00f6\u00dfe gegen die DSGVO fest&nbsp;<a href=\"https:\/\/www.datenschutzticker.eu\/2025\/02\/data-scraping-240-000-euro-bussgeld-fuer-kaspr\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Keine Rechtsgrundlage f\u00fcr die Verarbeitung der gescrapten Daten (Art. 6 DSGVO)<\/li>\n\n\n\n<li>Fehlende oder unzureichende Information der betroffenen Personen (Transparenzpflichten)<\/li>\n\n\n\n<li>Keine festgelegten L\u00f6schfristen<\/li>\n\n\n\n<li>Unzureichende Reaktion auf Anfragen betroffener Personen (Verletzung des Auskunftsrechts)<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Das Unternehmen wurde verpflichtet, die Verst\u00f6\u00dfe innerhalb von sechs Monaten zu beheben und insbesondere keine Daten von Personen mehr zu verarbeiten, die ihre Sichtbarkeitseinstellungen auf Plattformen wie LinkedIn eingeschr\u00e4nkt hatten&nbsp;<a href=\"https:\/\/www.datenschutzticker.eu\/2025\/02\/data-scraping-240-000-euro-bussgeld-fuer-kaspr\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Herausforderungen bei der Rechtsdurchsetzung<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die praktische Durchsetzung von Schadensersatzanspr\u00fcchen ist f\u00fcr betroffene Nutzer mit erheblichen H\u00fcrden verbunden:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Beweislast f\u00fcr den Zeitpunkt des Vorfalls<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Das Th\u00fcringer Oberlandesgericht wies mit Urteil vom 21. Mai 2025 (Az. 2 U 583\/23) die Berufung eines Kl\u00e4gers ab, weil dieser nicht beweisen konnte, dass der Scraping-Vorfall nach dem 25. Mai 2018, dem Stichtag f\u00fcr die Anwendbarkeit der DSGVO, stattgefunden hatte&nbsp;<a href=\"https:\/\/rechtsanwalt-krau.de\/kein-dsgvo-schadenersatz-fuer-scraping-vorfall-bei-facebook-bei-unklarem-sachverhalt\/#tm-dialog-mobile\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Die Beklagte hatte angegeben, dass der Vorfall im Zeitraum von Januar 2018 bis September 2019 stattfand. Da der genaue Zeitpunkt nicht festgestellt werden konnte und die Beweislast hierf\u00fcr beim Kl\u00e4ger liegt, ging das Gericht davon aus, dass die DSGVO nicht anwendbar war.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Entscheidung zeigt die praktischen Schwierigkeiten betroffener Nutzer: Sie haben in der Regel keine M\u00f6glichkeit, den genauen Zeitpunkt eines Datenabgriffs nachzuweisen, da sie keinen Einblick in die Systeme des Plattformbetreibers haben.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Nachweis der Kausalit\u00e4t<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Eine weitere H\u00fcrde ist der Nachweis der Kausalit\u00e4t zwischen dem Scraping-Vorfall und konkreten Beeintr\u00e4chtigungen. Das OLG Oldenburg wies Klagen ab, weil offen blieb, ob unerw\u00fcnschte Anrufe und SMS tats\u00e4chlich auf den Scraping-Vorfall oder auf unz\u00e4hlige andere m\u00f6gliche Gr\u00fcnde zur\u00fcckzuf\u00fchren waren&nbsp;<a href=\"https:\/\/ohn.haendlerbund.de\/recht\/urteile-entscheidungen\/139937-datenschutzverstoessen-geld-lukrativ\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Wirtschaftliche Auswirkungen von Scraping-Angriffen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die wirtschaftlichen Folgen von Scraping-Angriffen sind erheblich und vielf\u00e4ltig. Sie betreffen nicht nur die direkt betroffenen Unternehmen, sondern die gesamte digitale Wirtschaft.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Direkte finanzielle Verluste<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Umsatzeinbu\u00dfen<\/strong>: Unternehmen verlieren durch Bot-Traffic durchschnittlich 4,3 Prozent ihrer Online-Einnahmen&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Diese Verluste entstehen durch verschiedene Faktoren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Preis-Scraping erm\u00f6glicht es Wettbewerbern, die Preisstrategie zu unterlaufen<\/li>\n\n\n\n<li>Content-Diebstahl f\u00fchrt zu Traffic-Verlusten und geringeren Werbeeinnahmen<\/li>\n\n\n\n<li>Scalping-Bots kaufen begehrte Produkte vor den echten Kunden auf, was zu Umsatzeinbu\u00dfen und Kundenfrustration f\u00fchrt<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Betriebskosten<\/strong>: Der Bot-Verkehr erh\u00f6ht die Betriebskosten erheblich. Unternehmen m\u00fcssen zus\u00e4tzliche Infrastrukturkapazit\u00e4ten vorhalten, um den durch Bots erzeugten Datenverkehr zu bew\u00e4ltigen. Eine Fallstudie zeigte, dass ein Einzelh\u00e4ndler 84 Prozent des Datenverkehrs zu seiner Produkt-API als b\u00f6sartig identifizierte, was zu erheblicher Ressourcenverschwendung f\u00fchrte&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Kosten f\u00fcr den Kundensupport<\/strong>: Bots f\u00fchren zu erh\u00f6hten Support-Kosten. Wenn Bots Nutzer aus ihren Konten sperren oder betr\u00fcgerische Transaktionen durchf\u00fchren, steigt die Zahl der Support-Anfragen massiv an. Die durchschnittlichen Kosten f\u00fcr einen Support-Anruf sind betr\u00e4chtlich&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Langfristige gesch\u00e4ftliche Auswirkungen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Kundenabwanderung<\/strong>: 88 Prozent der Unternehmen geben an, dass Bots ihr Kundenerlebnis beeintr\u00e4chtigen&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Dies f\u00fchrt zu erh\u00f6hter Abwanderung, da unzufriedene Kunden ihr Gesch\u00e4ft woanders t\u00e4tigen. Die finanziellen Auswirkungen des Kundenverlusts sind besonders schwerwiegend, wenn man den Lebenszeitwert eines Kunden ber\u00fccksichtigt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Reputationssch\u00e4den<\/strong>: Wenn Kundendaten durch Scraping-Angriffe \u00f6ffentlich werden, leidet das Vertrauen in das betroffene Unternehmen. Datenschutzverst\u00f6\u00dfe werden in den Medien breit diskutiert und k\u00f6nnen langfristige Reputationssch\u00e4den verursachen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Wettbewerbsnachteile<\/strong>: Durch Preis-Scraping und Produktkopien verlieren innovative Unternehmen ihre Wettbewerbsvorteile. Die Investitionen in Produktentwicklung und Marktforschung werden entwertet, wenn Wettbewerber die Ergebnisse einfach kopieren k\u00f6nnen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Herausforderungen bei der Erkennung<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein besonderes Problem ist die sp\u00e4te Erkennung von Bot-Angriffen. In der Regel dauert es etwa vier Monate, bis Unternehmen Bot-Angriffe entdecken&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. In dieser Zeit k\u00f6nnen die Angreifer ungehindert Daten sammeln und Sch\u00e4den verursachen. Besonders problematisch: 89 Prozent der E-Commerce-Unternehmen ben\u00f6tigten zwei bis sechs Monate, um zu erkennen, dass sie von Scalper-Bots angegriffen wurden&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mehr als die H\u00e4lfte der befragten E-Commerce-Unternehmen gab an, dass sie Werbeaktionen auf der Grundlage von Daten durchf\u00fchrten, die sich sp\u00e4ter aufgrund von Bot-Aktivit\u00e4ten als ungenau herausstellten&nbsp;<a href=\"https:\/\/www.a10networks.com\/de\/blog\/why-bot-protection-matters\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Dieses Missmanagement kann zu \u00dcber- oder Unterbevorratung f\u00fchren, was sich wiederum negativ auf den Umsatz auswirkt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Technische Schutzma\u00dfnahmen gegen Scraping-Angriffe<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Angesichts der erheblichen Risiken ist ein effektiver Schutz gegen Scraping-Angriffe f\u00fcr Unternehmen unverzichtbar. Die Gerichte haben zudem klargestellt, dass Plattformbetreiber geeignete technische und organisatorische Ma\u00dfnahmen ergreifen m\u00fcssen, um die unbefugte Auslesung und Weitergabe von Nutzerdaten zu verhindern&nbsp;<a href=\"https:\/\/www.mtrlegal.com\/200-euro-entschaedigung-fuer-datenscraping-bei-facebook-vergeben\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Grundlegende Schutzmechanismen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Ratenbegrenzung (Rate Limiting)<\/strong>: Die Anzahl der Anfragen von einer einzelnen IP-Adresse in einem bestimmten Zeitraum wird begrenzt. Dies stoppt einfache, aggressive Scraper, die tausende von Anfragen pro Minute senden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>CAPTCHA-Herausforderungen<\/strong>: Besucher, die ein verd\u00e4chtiges Verhalten zeigen (z.B. ungew\u00f6hnlich viele Seitenaufrufe in kurzer Zeit), m\u00fcssen einen Test l\u00f6sen, der f\u00fcr Menschen einfach, f\u00fcr Bots aber schwer zu bew\u00e4ltigen ist. Das OLG M\u00fcnchen nannte die Implementierung von Sicherheits-CAPTCHAs ausdr\u00fccklich als erforderliche Schutzma\u00dfnahme&nbsp;<a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>IP-Reputationsdienste<\/strong>: Bekannte IP-Adressen von Rechenzentren, Proxyservern oder bereits aufgefallenen Scrapern k\u00f6nnen blockiert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>User-Agent-Analyse<\/strong>: Die Identifikation des verwendeten Browsers und Betriebssystems kann Hinweise auf automatisierte Zugriffe geben. Viele Scraper verwenden auff\u00e4llige oder fehlerhafte User-Agent-Strings.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fortgeschrittene Abwehrstrategien<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Verhaltensanalyse mit maschinellem Lernen<\/strong>: Moderne Sicherheitsl\u00f6sungen nutzen KI, um das Verhalten von Besuchern zu analysieren. Sie erkennen selbst menschen\u00e4hnliche Bots, die langsam und mit wechselnden IP-Adressen vorgehen. Die Systeme lernen typische Navigationsmuster, Mausbewegungen und Klickverhalten und identifizieren Abweichungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Dynamisches HTML-Markup<\/strong>: Durch regelm\u00e4\u00dfige \u00c4nderungen im HTML-Code der Website werden einfache Scraper ausgebremst, die auf eine gleichbleibende Struktur angewiesen sind. Die Daten werden weiterhin korrekt dargestellt, aber die Extraktionslogik der Scraper funktioniert nicht mehr.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Honeypots<\/strong>: Versteckte Links oder Formulare, die f\u00fcr menschliche Nutzer unsichtbar sind (z.B. durch CSS ausgeblendet), aber von Bots erkannt und angeklickt werden. Jeder Zugriff auf diese Honeypots entlarvt den Besucher als Bot.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>JavaScript-basierte Herausforderungen<\/strong>: Die Ausf\u00fchrung von JavaScript-Code im Browser des Besuchers kann Bots erkennen, die keine vollst\u00e4ndige JavaScript-Engine mitf\u00fchren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Strategische Schutzma\u00dfnahmen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>API-Design \u00fcberdenken<\/strong>: Wertvolle Daten sollten nicht \u00fcber leicht zug\u00e4ngliche Endpunkte bereitgestellt werden. APIs sollten mit Authentifizierung, Ratenbegrenzung und detaillierten Nutzungsbedingungen versehen werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Zugangskontrollen versch\u00e4rfen<\/strong>: Wertvolle Daten k\u00f6nnen hinter einer Anmeldung (Login) platziert werden. Dies erschwert Scraping-Angriffe erheblich, da die Angreifer g\u00fcltige Zugangsdaten ben\u00f6tigen und die Anzahl der Anfragen pro Konto begrenzt werden kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Rechtliche Schritte vorbereiten<\/strong>: Die Nutzungsbedingungen sollten klare Verbote von Scraping enthalten. Bei Verst\u00f6\u00dfen k\u00f6nnen Abmahnungen und Unterlassungsklagen eingeleitet werden. Das OLG Koblenz best\u00e4tigte, dass Unterlassungsanspr\u00fcche gegen datenschutzwidriges Verhalten bestehen k\u00f6nnen, wenn Wiederholungsgefahr gegeben ist&nbsp;<a href=\"https:\/\/www.computerundrecht.de\/96217.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Grenzen des technischen Schutzes<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Keine Schutzma\u00dfnahme ist absolut sicher. Fortgeschrittene Angreifer umgehen viele Schutzmechanismen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CAPTCHAs k\u00f6nnen durch Dienste umgangen werden, die menschliche L\u00f6ser besch\u00e4ftigen<\/li>\n\n\n\n<li>IP-basierte Sperren verlieren ihre Wirkung bei Nutzung gro\u00dfer Proxy-Netzwerke<\/li>\n\n\n\n<li>JavaScript-Herausforderungen k\u00f6nnen von spezialisierten Browser-Automatisierungen wie Puppeteer oder Selenium bew\u00e4ltigt werden<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Daher ist ein mehrschichtiger Ansatz notwendig, der verschiedene Schutzmechanismen kombiniert und kontinuierlich an neue Angriffsmethoden angepasst wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Besondere Fallkonstellationen und aktuelle Entwicklungen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Rechtsprechung zu Scraping-Angriffen entwickelt sich dynamisch weiter. Einige besondere Fallkonstellationen verdienen eine genauere Betrachtung.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Scraping nicht \u00f6ffentlich einsehbarer Daten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das OLG Koblenz hatte sich mit der Frage zu befassen, ob ein Kontrollverlust auch bei Daten angenommen werden kann, die im sozialen Netzwerk nicht \u00f6ffentlich einsehbar waren&nbsp;<a href=\"https:\/\/www.computerundrecht.de\/96217.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Die Kl\u00e4gerin machte geltend, dass durch den Scraping-Vorfall auch Daten betroffen waren, die sie nicht f\u00fcr die \u00d6ffentlichkeit freigegeben hatte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Gericht entschied, dass der Annahme eines Kontrollverlusts nicht entgegensteht, dass der Nutzer dieses Datum schon au\u00dferhalb des Netzwerks bestimmten, von ihm bewusst ausgew\u00e4hlten Empf\u00e4ngern bekannt gemacht hatte&nbsp;<a href=\"https:\/\/www.computerundrecht.de\/96217.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Dies ist eine wichtige Klarstellung: Wer seine Telefonnummer Freunden oder Gesch\u00e4ftspartnern mitteilt, willigt damit nicht in die weltweite Ver\u00f6ffentlichung im Internet ein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Entscheidung zeigt die differenzierte Betrachtung der Gerichte: Die Kontrolle \u00fcber die Daten bedeutet nicht absolute Geheimhaltung, sondern die Entscheidungsbefugnis dar\u00fcber, wer wann Zugang zu welchen Daten hat.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wiederholungsgefahr und Unterlassungsanspr\u00fcche<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Mehrere Gerichte hatten sich mit der Frage zu befassen, ob und unter welchen Voraussetzungen betroffene Nutzer Unterlassungsanspr\u00fcche gegen Plattformbetreiber geltend machen k\u00f6nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das OLG Dresden stellte klar, dass die Vermutung der Wiederholungsgefahr entkr\u00e4ftet ist, wenn die daf\u00fcr verantwortliche Sicherheitsl\u00fccke geschlossen wurde und davon auszugehen ist, dass ein hierauf gest\u00fctztes Abfischen von Daten nicht mehr m\u00f6glich ist&nbsp;<a href=\"https:\/\/betriebs-berater.ruw.de\/wirtschaftsrecht\/urteile\/Scrapin-Vorfal--Blosse-Verlus-de-Kontroll-uebe-eigen-Date-infolg-eine-Datenschutzverstosse-al-immaterielle-Schade-i-S-d-Art-8-DSGV-46990\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Demgegen\u00fcber betonte das OLG Koblenz, dass die Wiederholungsgefahr nicht ausger\u00e4umt ist, wenn der Netzwerkbetreiber den Datenschutzversto\u00df zwar abgestellt hat, sich aber ausdr\u00fccklich als zu dem inkriminierten Verhalten berechtigt ansieht&nbsp;<a href=\"https:\/\/www.computerundrecht.de\/96217.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. In einem solchen Fall bleibt das Risiko bestehen, dass der Betreiber sein Verhalten wieder aufnimmt, sobald der \u00f6ffentliche Druck nachl\u00e4sst.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Vorlagefragen zum EuGH<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die bereits erw\u00e4hnte Vorlage des Landgerichts Erfurt zum EuGH&nbsp;<a href=\"https:\/\/www.cr-online.de\/97039.htm\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>&nbsp;zeigt, dass trotz der j\u00fcngsten BGH-Entscheidung grundlegende Fragen weiterhin kl\u00e4rungsbed\u00fcrftig sind:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Definition des Kontrollverlusts<\/strong>: Wann genau liegt ein Kontrollverlust vor? Reicht bereits die kurzfristige Zugriffsm\u00f6glichkeit Unbefugter aus, oder muss ein tats\u00e4chlicher Zugriff erfolgt sein?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Abgrenzung zu selbst ver\u00f6ffentlichten Daten<\/strong>: Wie ist zu bewerten, wenn die betroffenen Daten vom Nutzer selbst bereits \u00f6ffentlich gemacht wurden? \u00c4ndert dies die Bewertung des Kontrollverlusts?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Erheblichkeitsschwelle<\/strong>: Gibt es eine Bagatellgrenze, unterhalb derer kein Schadensersatz beansprucht werden kann?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Antworten des EuGH werden f\u00fcr die gesamte Europ\u00e4ische Union verbindlich sein und die Rechtsprechung der nationalen Gerichte vereinheitlichen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Pr\u00e4vention und Handlungsempfehlungen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Angesichts der komplexen Rechtslage und der erheblichen wirtschaftlichen Risiken sind sowohl Unternehmen als auch Privatpersonen gefordert, sich aktiv zu sch\u00fctzen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">F\u00fcr Unternehmen und Plattformbetreiber<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Rechtliche Compliance sicherstellen<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementierung datenschutzfreundlicher Voreinstellungen (Privacy by Default)\u00a0<a href=\"https:\/\/betriebs-berater.ruw.de\/wirtschaftsrecht\/urteile\/Scrapin-Vorfal--Blosse-Verlus-de-Kontroll-uebe-eigen-Date-infolg-eine-Datenschutzverstosse-al-immaterielle-Schade-i-S-d-Art-8-DSGV-46990\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Sicherheitsma\u00dfnahmen nach Art. 32 DSGVO<\/li>\n\n\n\n<li>Dokumentation aller Verarbeitungst\u00e4tigkeiten<\/li>\n\n\n\n<li>Schulung der Mitarbeiter im Umgang mit Datenschutzfragen<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Technische Schutzma\u00dfnahmen umsetzen<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Einsatz von Bot-Management-L\u00f6sungen mit Verhaltensanalyse<\/li>\n\n\n\n<li>Implementierung von Ratenbegrenzung und CAPTCHAs\u00a0<a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der APIs auf Missbrauchsm\u00f6glichkeiten<\/li>\n\n\n\n<li>Monitoring des Datenverkehrs auf auff\u00e4llige Muster<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Organisatorische Vorkehrungen treffen<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Erstellung eines Notfallplans f\u00fcr den Fall eines Scraping-Vorfalls<\/li>\n\n\n\n<li>Klare Zust\u00e4ndigkeiten f\u00fcr Sicherheitsfragen<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige Audits und Penetrationstests<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Reaktionsstrategie entwickeln<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verfahren zur Benachrichtigung betroffener Nutzer<\/li>\n\n\n\n<li>Kommunikationsstrategie f\u00fcr die \u00d6ffentlichkeit<\/li>\n\n\n\n<li>Zusammenarbeit mit Datenschutzbeh\u00f6rden<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">F\u00fcr Privatpersonen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Vorsorgema\u00dfnahmen<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sorgf\u00e4ltige Pr\u00fcfung der Privatsph\u00e4re-Einstellungen in sozialen Netzwerken<\/li>\n\n\n\n<li>Voreinstellungen auf den kleinstm\u00f6glichen Empf\u00e4ngerkreis \u00e4ndern\u00a0<a href=\"https:\/\/betriebs-berater.ruw.de\/wirtschaftsrecht\/urteile\/Scrapin-Vorfal--Blosse-Verlus-de-Kontroll-uebe-eigen-Date-infolg-eine-Datenschutzverstosse-al-immaterielle-Schade-i-S-d-Art-8-DSGV-46990\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/li>\n\n\n\n<li>Zur\u00fcckhaltung bei der Preisgabe pers\u00f6nlicher Daten<\/li>\n\n\n\n<li>Verwendung unterschiedlicher Passw\u00f6rter f\u00fcr verschiedene Dienste<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der eigenen Online-Pr\u00e4senz<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Im Falle eines Scraping-Vorfalls<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Dokumentation des Vorfalls (Screenshots, Zeitpunkt der Kenntnisnahme)<\/li>\n\n\n\n<li>Pr\u00fcfung von Schadensersatzanspr\u00fcchen\u00a0<a href=\"https:\/\/www.mtrlegal.com\/200-euro-entschaedigung-fuer-datenscraping-bei-facebook-vergeben\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/li>\n\n\n\n<li>Bei Unsicherheit: Rechtsberatung einholen<\/li>\n\n\n\n<li>\u00dcberwachung auf verd\u00e4chtige Aktivit\u00e4ten (unerwartete E-Mails, Anrufe)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit und Ausblick<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Scraping-Angriffe sind eine ernstzunehmende und wachsende Bedrohung in der digitalen Welt. Sie bewegen sich in einem komplexen Spannungsfeld zwischen wirtschaftlichen Interessen, technischen M\u00f6glichkeiten und rechtlichen Grenzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die wirtschaftlichen Auswirkungen sind erheblich: Unternehmen verlieren Ums\u00e4tze, m\u00fcssen h\u00f6here Betriebskosten tragen und riskieren Reputationssch\u00e4den. F\u00fcr betroffene Privatpersonen bedeutet der Verlust der Kontrolle \u00fcber ihre Daten oft langfristige Unsicherheit und das Risiko von Identit\u00e4tsdiebstahl oder anderen Missbrauchsformen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Rechtsprechung hat in den letzten Jahren wichtige Klarstellungen gebracht. Der blo\u00dfe Kontrollverlust \u00fcber die eigenen Daten ist nun als immaterieller Schaden anerkannt, der Schadensersatzanspr\u00fcche begr\u00fcnden kann&nbsp;<a href=\"https:\/\/betriebs-berater.ruw.de\/wirtschaftsrecht\/urteile\/Scrapin-Vorfal--Blosse-Verlus-de-Kontroll-uebe-eigen-Date-infolg-eine-Datenschutzverstosse-al-immaterielle-Schade-i-S-d-Art-8-DSGV-46990\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/www.mtrlegal.com\/200-euro-entschaedigung-fuer-datenscraping-bei-facebook-vergeben\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Plattformbetreiber werden in die Pflicht genommen, durch geeignete technische und organisatorische Ma\u00dfnahmen Scraping-Angriffe zu verhindern&nbsp;<a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-GRURRS-B-2025-N-32464\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gleichzeitig bleiben Herausforderungen bestehen. Die uneinheitliche Rechtsprechung zur H\u00f6he des Schadensersatzes, die Beweislastprobleme betroffener Nutzer und die noch ausstehenden Entscheidungen des EuGH zeigen, dass die rechtliche Entwicklung noch nicht abgeschlossen ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die Zukunft ist zu erwarten, dass Scraping-Angriffe weiter zunehmen werden. Die fortschreitende Digitalisierung und der wachsende wirtschaftliche Wert von Daten werden die Anreize f\u00fcr Angreifer eher verst\u00e4rken als verringern. Gleichzeitig werden die technischen Schutzm\u00f6glichkeiten immer ausgefeilter, insbesondere durch den Einsatz von k\u00fcnstlicher Intelligenz zur Verhaltensanalyse.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmen sind gut beraten, Scraping-Angriffe als strategische Bedrohung zu betrachten und in umfassende Schutzma\u00dfnahmen zu investieren. Datenschutz und Datensicherheit m\u00fcssen als kontinuierlicher Prozess verstanden werden, der regelm\u00e4\u00dfiger \u00dcberpr\u00fcfung und Anpassung bedarf.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Privatanwendern bleibt nur die M\u00f6glichkeit, durch bewusstes und vorsichtiges Verhalten in sozialen Netzwerken und bei der Preisgabe pers\u00f6nlicher Daten das Risiko zu minimieren. Im Falle eines Scraping-Vorfalls sollten sie ihre Rechte kennen und gegebenenfalls Schadensersatzanspr\u00fcche geltend machen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der gesetzliche Rahmen bietet daf\u00fcr zunehmend bessere Voraussetzungen. Die DSGVO hat einen wirksamen Rechtsrahmen geschaffen, der durch die Rechtsprechung der nationalen Gerichte und hoffentlich bald auch des EuGH weiter konkretisiert wird. Datenschutzverst\u00f6\u00dfe bleiben nicht folgenlos \u2013 weder f\u00fcr diejenigen, die Daten unrechtm\u00e4\u00dfig sammeln, noch f\u00fcr diejenigen, die dies durch mangelhafte Sicherheitsvorkehrungen erm\u00f6glichen.<\/p>","protected":false},"excerpt":{"rendered":"<p>Einleitung In der vernetzten Welt von heute sind Daten zum wertvollsten Rohstoff geworden. Unternehmen sammeln, analysieren und verwerten sie, um Wettbewerbsvorteile zu erlangen, personalisierte Dienste anzubieten und Gesch\u00e4ftsmodelle zu optimieren. Doch wo viel Licht ist, ist auch viel Schatten: Die automatisierte Extraktion von Daten \u2013 bekannt als &#8222;Scraping&#8220; \u2013 hat sich zu einer der gr\u00f6\u00dften [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,15,29],"tags":[],"class_list":["post-1001","post","type-post","status-publish","format-standard","hentry","category-aus-dem-bauch-heraus","category-gesellschaft","category-recht-compliance"],"_links":{"self":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/1001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/comments?post=1001"}],"version-history":[{"count":0,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/1001\/revisions"}],"wp:attachment":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/media?parent=1001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/categories?post=1001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/tags?post=1001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}