vegefox.com - stock.adobe.com
Wie öffentliche Daten in sozialen Netzwerken geschützt sind
Gerichtsurteile zeigen: Werden öffentlich zugängliche Daten in sozialen Netzwerken durch Dritte abgegriffen (Scraping), so gibt es oftmals keinen Schadensersatz nach DSGVO.
Soziale Netzwerke sammeln viele Daten ihrer Nutzer und Nutzerinnen. Wenn diese Daten in falsche Hände geraten, kann das zum Risiko werden, so der Bundesdatenschutzbeauftragte (BfDI). Bei der Nutzung solle man sich bewusst sein, welche Konsequenzen die Preisgabe von persönlichen Informationen über sich selbst oder über andere Menschen im Internet haben könne.
Dabei besteht nicht nur die Gefahr, dass die Daten über Sicherheitslücken der sozialen Netzwerke unbefugten Dritten zugänglich werden. Vielmehr sind viele persönliche Informationen öffentlich über die Profile der Betroffenen in den sozialen Netzwerken zugänglich und können durch Dritte technisch sehr einfach abgeschöpft werden (sogenanntes Scraping).
Weil Daten von Facebook- und Instagram-Nutzern in großem Stil online zugänglich waren, sollte der Meta-Konzern 265 Millionen Euro Strafe in Irland zahlen.
Mehrere Gerichte in Deutschland zum Beispiel mussten sich in der Folge mit Klagen auf Schadensersatz befassen, weil Betroffene in dem Scraping einen Grund für Schadensersatz nach DSGVO (Datenschutz-Grundverordnung) sahen. Es ist interessant und lehrreich, wie inzwischen viele der Gerichte entschieden haben.
Was soziale Netzwerke zu Scraping sagen
Doch zuerst soll betrachtet werden, was zum Beispiel Facebook zu den Vorfällen von Scraping gesagt hatte. So erklärte Facebook: „Der Einsatz automatisierter Prozesse zum Extrahieren von Daten auf Facebook ohne unsere Zustimmung stellt einen Verstoß gegen unsere Nutzungsbedingungen dar. Die Daten selbst sind nicht notwendigerweise vertraulich, denn gescrapte Daten sind oft allgemein verfügbar, sodass jeder bei der täglichen Nutzung der Website oder App darauf zugreifen kann. Scraper dürfen jedoch ohne unsere vorherige Zustimmung nicht auf unsere Produkte zugreifen oder automatisiert Daten sammeln.“
Es geht demnach für Facebook nicht um einen Datenschutzverstoß, sondern um einen Verstoß gegen Nutzungsbedingungen. Doch wie sehen dies nun die Gerichte?
Schadensersatzklagen wegen Scrapings werden häufig abgelehnt
Die Stiftung Datenschutz berichtete: Ansprüche auf Ersatz immaterieller Schäden nach Artihel 82 DSGVO wegen Scraping-Vorfällen bei Facebook werden überwiegend abgelehnt. Einige Gerichte verneinen demnach bereits einen Verstoß gegen die DSGVO, viele andere kommen zu dem Ergebnis, dass die Kläger ihren Schaden nicht ausreichend dargelegt haben.
Was aber bedeutet das für Nutzerinnen und Nutzer sozialer Netzwerke? Sie sollten nicht darauf vertrauen, dass ihre öffentlichen Daten gut geschützt in den sozialen Netzwerken stehen, denn würde jemand diese Daten abgreifen, würden sie Schadensersatz erhalten.
Denkt man an die Masse von Betroffenen, würden diese Schadensersatzzahlungen sehr schmerzhaft für die Datensammler, das Scraping würde wirtschaftlich unattraktiv. Wenn aber viele Gerichte die Schadensersatzklagen ablehnen, sollte man nicht einfach glauben, dass niemand mehr Scraping in sozialen Netzwerken versuchen würde.
Wie soziale Netzwerke Scraping verhindern wollen
Eine Methode, mit der zum Beispiel Facebook gegen Scraping vorgehen will, ist der Einsatz von Übertragungs- und Datenbeschränkungen. Übertragungslimits begrenzen die Interaktionen mit den Facebook-Produkten innerhalb eines bestimmten Zeitraums, während Datenbeschränkungen verhindern, dass Nutzerinnen und Nutzer mehr Daten erhalten, als sie für die normale Verwendung der Produkte benötigen würden.
Zudem sucht Facebook nach eigenen Angaben nach Aktivitäts- und Verhaltensmustern, die typischerweise mit automatisierten Computeraktivitäten in Verbindung gebracht werden, und unterbindet diese. Weiterhin versendet Facebook Unterlassungsaufforderungen, sperrt Konten und geht gerichtlich gegen Scraper vor, wohlgemerkt wegen Verstoßes gegen die Nutzungsbedingungen.
Was Nutzerinnen und Nutzer für den Schutz ihrer Daten tun müssen
Facebook selbst empfiehlt den Nutzerinnen und Nutzern, in den Einstellungen anzupassen, welche Informationen öffentlich sind oder wer sie anhand ihrer Telefonnummer suchen kann. Die Verbraucherschutzzentralen haben ebenfalls eine Reihe von Empfehlungen veröffentlicht, was Nutzerinnen und Nutzer gegen das Sammeln ihrer öffentlichen Daten tun sollten.
Aus Sicht der Datenschutz-Grundverordnung sollte man die Entwicklungen rund um Scraping zum Anlass nehmen, auf eines der zentralen Datenschutzprinzipien hinzuweisen: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Als Inhaberin oder Inhaber der Daten können Betroffene natürlich selbst festlegen, in welchem Umfang sie ihre Daten preisgeben, aber das Prinzip der Datenminimierung sollte als Maßstab gelten: Was nicht für den gewünschten Zweck benötigt wird, sollte auch nicht in den sozialen Netzwerken öffentlich gemacht werden.
Mit Datenminimierung (oder wie man früher sagte, mit Datensparsamkeit) kann man den Schaden für die eigene Privatsphäre verhindern. Selbst wenn eine Schadensersatzklage nach Scraping Erfolg haben sollte, ist der Schaden dagegen schon eingetreten.
