INFORMATIONEN

Berücksichtigung der Datenschutzproblematik beim Data Scraping

Data Scraping ist ein allgemeiner Begriff, der ohne die Erlaubnis des Dateneigentümers verwendet wird und verschiedene internetbasierte Datenabrufmethoden definiert.

Im Allgemeinen kann das Scraping von Daten manuell oder automatisiert erfolgen – bei automatischer Durchführung wird der Kontakt zwischen den Maschinen genutzt.

Es sei darauf hingewiesen, dass diejenigen, die automatisch Daten von anderen Websites sammeln, ähnliche Probleme, die nichts mit dem Datenschutz zu tun haben, gesondert betrachten müssen, einschließlich der möglichen Auswirkungen der Bedingungen der Website/Datenquelle, des Urheberrechts und anderer Fragen des geistigen Eigentums.

Was ist Data Scraping?

Das Scraping von Daten kann manuell oder automatisiert erfolgen – bei automatischer Durchführung wird der Kontakt von Maschine zu Maschine genutzt.

Die Praxis des „Data Scraping“ unterscheidet sich von der allgemeinen Datenextraktion zur Extraktion in besonderer Weise und umfasst:

Screen-Scraping: Abrufen von gezielten Informationen von einer Webseite und Eliminierung irrelevanter Informationen.

Web-Scraping: Herunterladen aller zugrunde liegenden Daten von einer Website;

Web-Crawling: Bei diesem Verfahren werden die Seiten von Websites gecrawlt und die in einer Domäne verfügbaren Wörter und Inhalte indiziert, wie der Name schon sagt.

Wer sammelt Informationen?

In der allgemeinen Unternehmenspraxis ist das Scannen von Daten weit verbreitet. Es mag nicht offensichtlich erscheinen, aber bei Personalbeschaffungsmaßnahmen, der Erkennung von Trends, Marketingstrategien, der Generierung von Verkäufen und Leads, der Bewertung von Kreditkarten- und Verbraucherrisiken und der Zusammenstellung von nachrichtendienstlichen Tätigkeiten werden in der Regel Daten ausgewertet, um ihre Datenbanken zu stärken.

Zweck und Rechtsgrundlage für das Scraping von Daten

Von den für die Verarbeitung Verantwortlichen wird nach der Datenschutz-Grundverordnung erwartet, dass sie einen Grund für die Verarbeitung haben. Unternehmen, die keinen triftigen Grund darlegen oder schaffen, sollten sich nicht an der Aktivität im Sinne des Data Scraping beteiligen. Eine gründliche und wohlüberlegte Überprüfung des Zwecks wird natürlich empfohlen, da Personen vernünftigerweise erwarten können, dass ihre Daten für den angegebenen Zweck verarbeitet werden.

Methoden der Datenauslese

Mit Data-Scraping-Techniken lassen sich riesige Datenmengen von Websites abrufen. Die Unternehmen sind auch der Meinung, dass so viele Informationen wie möglich gesammelt werden, wenn ein potenzieller Bedarf oder Zweck für die Daten besteht. Dies birgt jedoch die Möglichkeit, dass es gegen einige der zentralen Werte, die Einschränkung der Absicht und die Datenminimierung der Datenschutz-Grundverordnung verstößt.

Zweckbindung bedeutet, dass Unternehmen personenbezogene Daten nur für festgelegte, eindeutige und gültige Zwecke erheben und verarbeiten dürfen und sich nicht an einer weiteren Verarbeitung beteiligen dürfen, es sei denn, sie steht im Einklang mit dem ursprünglichen Zweck, für den die Daten abgewrackt wurden.

Die Datenminimierung stellt sicher, dass Organisationen nur die personenbezogenen Daten erheben und verarbeiten müssen, die wichtig, notwendig und ausreichend sind, um den Zweck zu erreichen, für den die Daten erhoben wurden. Das Ziel der Datenminimierung besteht darin, die erhobenen Daten auf das geringstmögliche Maß zu reduzieren, um die Ziele der Verarbeitung zu erreichen.

In der Praxis sollten Unternehmen bei der Datenauslese die Anforderungen und die Verhältnismäßigkeit prüfen. Unternehmen sollten sich daher fragen, ob alle gescrapten Daten für die Erreichung des angestrebten Zwecks geeignet und direkt anwendbar sind, und dann die Menge der Daten abwägen, die gescraped werden sollte.

Legitimes Interesse als rechtmäßige Grundlage

Organisationen müssen eine rechtliche Rechtfertigung haben, um Data Scraping durchzuführen, wenn personenbezogene Daten betroffen sind. Nach der DSGVO stehen sechs Rechtsgrundlagen zur Verfügung: Einwilligung, Vertrag mit der betroffenen Person, Erfüllung einer rechtlichen Verpflichtung, lebenswichtiges Interesse, öffentliches Interesse und berechtigtes Interesse. Von diesen ist das berechtigte Interesse die einzige theoretisch geeignete Rechtsgrundlage. (Die Einwilligung kann leicht mit der Begründung abgelehnt werden, dass die meisten Menschen nicht damit einverstanden wären, dass ihre Daten abgegriffen werden).

Das berechtigte Interesse erlaubt die Verarbeitung, wenn sie für geschäftliche (oder andere) Interessen erforderlich ist, es sei denn, die Interessen oder die Grundrechte und -freiheiten von Personen überwiegen diese Interessen. Die Verarbeitung ist rechtmäßig, wenn das berechtigte Interesse des Unternehmens aufgrund einer Interessenabwägung gegenüber demjenigen überwiegt, dessen Daten gelöscht werden würden. Aus Gründen der Transparenz muss diese Abwägung genau festgelegt werden, und eine strukturierte „Bewertung des berechtigten Interesses“ würde von mehreren für die Verarbeitung Verantwortlichen in Abhängigkeit von diesem Thema durchgeführt.

Nicht alle personenbezogenen Daten kommen für das Scrapen in Frage, selbst wenn eine Rechtsgrundlage angegeben ist. Wenn besondere Kategorien personenbezogener Daten, d. h. personenbezogene Daten, die nach der DSGVO zusätzliche Datenschutzstandards erfordern, wie z. B. ethnische Zugehörigkeit, Religion, Gesundheitsdaten, politische Ansichten usw., ausgelesen werden, muss die ausdrückliche Zustimmung der betroffenen Person eingeholt werden.

Die für die Verarbeitung Verantwortlichen sind nach der Datenschutz-Grundverordnung auch berechtigt, transparent zu sein. Im Grunde genommen ist Data Scraping eine Methode, bei der es oft schwierig ist, fair und transparent zu sein.

Datenschutz für die Folgenabschätzung (DFA)

Wenn es nicht möglich ist, Artikel 14 einzuhalten, und nicht direkt auf die Daten von Einzelpersonen zugegriffen wird, wird das Auslesen der Daten als „unsichtbare Verarbeitung“ bezeichnet. Dies wird als „risikoreiche“ Verarbeitung betrachtet, für die bestimmte Aufsichtsbehörden (wie das Information Commissioner’s Office (ICO)) eine Datenschutzfolgenabschätzung verlangen.

Der Europäische Datenschutzausschuss (EDPB) liefert ein Beispiel für eine „profilerzeugende Zusammenstellung öffentlicher sozialer Medien“, wie sie in der Datenschutzfolgenabschätzung gefordert wird, zusätzlich zu den nationalen Hochrisikolisten. Der Grund für diese Verarbeitung ist, dass als mögliche geeignete Kriterien die Bewertung oder das Rating, die Verarbeitung großer Datenmengen, der Abgleich und die Vermischung von Datensätzen und sehr persönlichen, vertraulichen Daten oder Daten benötigt werden.

Schlussfolgerung

Die Unternehmen müssen die mit dieser Praxis verbundenen Risiken für die Privatsphäre berücksichtigen, insbesondere bei der Entwicklung eines Rechtsrahmens für das Data Scraping. Unternehmen sollten auch sicherstellen, dass ein spezifisches Ziel für die Datenauslese definiert wird und dass nur die für den jeweiligen Zweck erforderlichen Daten ausgelesen werden. Unternehmen sollten das Scrapen von Kategorien personenbezogener Daten verhindern (es sei denn, es liegt eine der engen Ausnahmen vor), Einzelpersonen über die Offenlegung informieren und angemessene Vertragsbedingungen mit ihren Anbietern von Daten-Scraping-Diensten festlegen.

WeTransfer und Datenschutz: Wie sicher ist die Datenübertragung?

21/03/2022 Keine Kommentare

WeTransfer ist ein Internetdienst, der es einfach macht, große Dateianhänge an andere Personen zu senden. Aber wie sicher ist diese praktische Methode der Datenübermittlung in

mehr »

CEDO Lopez vs. Spanien. Versteckte Videoüberwachung von Angestellten

02/10/2022 Keine Kommentare

Die aktuelle Situation Die Klägerinnen arbeiteten als Kassiererinnen in einem Supermarkt. Angesichts erheblicher wirtschaftlicher Verluste installierte der Arbeitgeber im Jahr 2009 sichtbare Überwachungskameras, über die

mehr »

Wie lassen sich die Herausforderungen bei der Beantwortung von DSARs meistern?

25/02/2021 Keine Kommentare

Organisationen, die personenbezogene Daten innerhalb der EU und des EWR verarbeiten, sind seit der Einführung der DSGVO im Mai 2018 verpflichtet, auf eine Anfrage zur

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Berücksichtigung der Datenschutzproblematik beim Data Scraping

Was ist Data Scraping?

Wer sammelt Informationen?

Zweck und Rechtsgrundlage für das Scraping von Daten

Methoden der Datenauslese

Legitimes Interesse als rechtmäßige Grundlage

Datenschutz für die Folgenabschätzung (DFA)

Schlussfolgerung

WeTransfer und Datenschutz: Wie sicher ist die Datenübertragung?

CEDO Lopez vs. Spanien. Versteckte Videoüberwachung von Angestellten

Wie lassen sich die Herausforderungen bei der Beantwortung von DSARs meistern?

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen