Aktuell versucht Microsoft den Datendealer hiQ Labs gerichtlich daran zu hindern, öffentlich abrufbare LinkedIn-Profile abzugrasen, auszuwerten und Erkenntnisse zu verkaufen, das hat das US-Berufungsgericht für den neunten Bundesgerichtsbezirk am Montag entschieden. Das Hauptverfahren folgt noch. Vor diesem Hintergrund wird in diesem Beitrag das Thema Data Scraping aus Sicht der DSGVO analysiert.
Der Inhalt im Überblick
Hintergrund: LinkedIn gegen hiQ Labs
hiQ Labs sammelt mittels Data Scraping Daten von Mitarbeitern auf LinkedIn und bietet daraus entstandene Auswertungen und Prognosen, wie einen geplanten Arbeitsplatzwechsel, deren Arbeitgebern zum Verkauf an. Die Microsoft-Tochter LinkedIn ging gegen hiQ Labs vor dem Surpreme Court nicht etwa aus Datenschutzgesichtspunkten vor, sondern weil der Dienstleister selbst vergleichbare Auswertungen anbietet und seine Absatzmöglichkeiten in Gefahr sieht.
Der Supreme Court hatte kurz zuvor in einem anderen Fall (Van Buren v. United States) das Hacking-Strafrecht eingeschränkt. Wer ein legal zugängliches Computersystem vorschriftswidrig gebraucht, verstößt demnach nicht gegen US-Strafrecht. Das vom Surpreme Court in der Sache LinkedIn und hiQLabs beauftragte Berufungsgericht sieht sich durch die Van-Buren-Erkenntnis des Supreme Court in seiner ursprünglichen Ansicht bestärkt. Es bejaht daher erneut die einstweilige Verfügung gegen LinkedIn. Das Berufungsgericht betonte in seiner Entscheidung, keineswegs alle juristischen Argumente abgewogen zu haben. Diese Abwägung erfolgt erst im Hauptverfahren. Es bleibt abzuwarten, wie der Fall aus Sicht es US-amerikanischen Rechts weitergeht.
Doch wie wäre dieser oder vergleichbare Fälle aus Sicht des europäischen Datenschutzrechts einzuordnen?
Headhunter und Bewerbungen über LinkedIn
Berufsorientierte Netzwerke wie Xing oder LinkedIn dienen der Kontaktaufnahme zwischen potentiellen Arbeitgebern und Bewerbern. Insbesondere Headhunter und Mitarbeiter von Personalabteilungen nutzen LinkedIn gerne für den direkten Kontakt von Bewerbern. So können anhand der im LinkedIn Profil hinterlegten Qualifikationen Bewerber leicht auf ihre Eignung hin geprüft werden.
Grundsätzlich kann jeder diese öffentlich verfügbaren Daten aus sozialen Medien verarbeiten, wenn für die Verarbeitung ein überwiegendes berechtigtes Interesse des Verantwortlichen nach Art. 6 Abs. 1 lit. f) DSGVO besteht. Signalisiert ein registrierter Nutzer, dass er an einem Jobwechsel interessiert ist, ist die Begründung für das Vorliegen eines solchen überwiegenden berechtigten Interesses leicht.
Data Scraping nach der DSGVO
Es gibt aber neben den oben genannten Möglichkeiten auch diverse Software Applikationen, die über eine Anwendung oder ein Script Webseite scannen und Informationen extrahieren, um große Datenmengen in Form von Datenbanken zu erstellen und diese zu verkaufen. Data Scraping wird dieses Verfahren genannt, da so bildlich Informationen vom Bildschirm „gekratzt“ werden. Man unterscheidet dabei zwischen Screen Scrapeing und Web Scraping.
Art der betroffenen Daten entscheidend
Für die datenschutzrechtliche Bewertung nach DSGVO kommt es sehr auf die Sensibilität der so erfassten Daten an. Bei Erstellung eines LinkedIn Profils gibt man in der Regel viele personenbezogene Daten wie Name, Alter, Profilbild, Qualifikationen und Hobbies an. So entstehen Profile, die einem gewissen Missbrauchsrisiko unterliegen. Je nach Sensibilität dieser Daten lässt sich wie beim Beispiel der Recherche durch Headhunter auch ggf. noch Art. 6 Abs. 1 lit. f) DGSVO als Rechtsgrundlage heranziehen. Dabei ist immer eine einzelfallbezogene Interessenabwägung zwischen dem durch das Scraping verfolgten Ziel und den Persönlichkeitsinteressen der Betroffenen durchzuführen. Bei allgemein berufsbezogene Daten im Zusammenhang mit der Nutzung eines berufsbezogenen Portals wie LinkedIn wird man in aller Regel auch von einem Interesse der Betroffenen an Jobangeboten und somit einer gleichlaufenden Interessenlage ausgehen können.
Im Falle der Angabe der Angabe von Gesundheitsdaten oder anderen besonderen personenbezogenen Daten nach Artikel 9 DSGVO wie z.B. der Gewerkschaftszugehörigkeit auf Profilen kommt das berechtigte Interesse als Rechtsgrundlage allerdings regelmäßig an seine Grenzen. Möglicherweise wird man hier aber an Art. 9 Abs. 2 e) DSGVO denken können.
An anderer Stelle haben wir darüber hinaus bereits beschrieben, welche Risiken im Zusammenhang mit der Öffentlichmachung von personenbezogenen Daten auf Social Media in diesem Zusammenhang bestehen.
Datenschutz-Folgenabschätzung und Informationspflichten
Neben der Frage nach der Rechtsgrundlage wird man bei der Erfassung einer großen Menge von personenbezogenen Daten und der daraus folgenden Möglichkeit der Erstellung von Profilen ggf. sogar an eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO denken müssen. Hier gilt es sich an der sog. Muss-Liste der Datenschutzaufsichtsbehörden zu orientieren. Eine übersichtliche Darstellung zur Durchführung einer Datenschutzfolgenabschätzung finden Sie in unserem Artikel „Einfacher Prozess zur Durchführung einer Datenschutz-Folgenabschätzung.“
Außerdem sind die Vorgaben der Artikel 12, 13, 14 DSGVO zu beachten und die Betroffenen über Art und Umfang der Datenverarbeitung zu informieren. Die Ausnahme von der Informationspflicht aus Art. 14 Abs. 5 lit. b) DSGVO ist dagegen restriktiv zu handhaben, um nicht in Gefahr eines Bußgelds der Aufsichtsbehörden zu laufen.
Europäischer Ansatz: Interessenausgleich bei Data Scraping
Das Data Scraping birgt sowohl für kommerzielle als auch wissenschaftliche Zwecke eine Menge Potenzial. Anderseits werden dadurch immer auch Interessen der „Dateneigentümer und -verursacher“ tangiert. Das hat auch der europäische Gesetzgeber erkannt und versucht – nicht nur im Datenschutz – die Interessen der beiden Seiten in Ausgleich zu bringen, ohne eine der beiden Seiten übermäßig zu benachteiligen.
Neben der DSGVO sind beim Data Scraping daher schon jetzt weitere rechtliche Vorgaben zu beachten. Abseits von LinkedIn ist dies bei digitalen Werken insbesondere das Urheberrecht. Daneben kann auch das virtuelle Hausrecht eine Rolle spielen, etwa wenn (unzureichende) Schutzmaßnahmen gegen Data Scraping getroffen wurden, oder das allgemeine Vertragsrecht, wenn für den Zugriff auf die Informationen ein Account erstellt wurde. Zudem sind auf europäischer Ebene vier neue Rechtsakte in der Pipeline, die zukünftig den Austausch und die Verfügbarkeit von Daten zwischen Privatpersonen, Unternehmen und dem öffentlichen Sektor reglementieren sollen.
Sie schreiben: „Dabei ist immer eine einzelfallbezogene Interessenabwägung zwischen dem durch das Scraping verfolgten Ziel und den Persönlichkeitsinteressen der Betroffenen durchzuführen“.
Worauf beziehen sie sich bei der Betonung „Einzelfallbezogen“. Interessenabwägung, klar, aber „Einzelfallbezogen“ wäre doch faktisch das Ende von jeder 6 1 f) Verarbeitung, oder?
Hier gibt auch Ihre interne Verlinkung keinen weiteren Aufschluss.
Einzelfallbezogene Interessenabwägung klingt mehr nach Arbeitsrecht!?
Vielen Dank
Mit “einzelfallbezogen” war hier die konkrete Datenverarbeitung durch das jeweils geplante Scraping gemeint (welches nach Art und Umfang in jedem Einsatzszenario anders aussehen wird). Die durchzuführende Abwägung nach 6 1 f) DSGVO muss dann für jeden Betroffenen der (konkret geplanten Scraping-)Verarbeitung gelten. Unser verlinkter Artikel erläutert im nächsten Schritt was bei einer Interessenabwägung generell zu beachten ist.