Dieser Artikel ist allgemeine Bildungsinformation, keine Rechtsberatung. Gesetze unterscheiden sich je Land und ändern sich über die Zeit, und wie sie greifen, hängt von deinen konkreten Umständen ab. Für deine Situation konsultiere einen qualifizierten Anwalt.
“Ist Web Scraping legal?” ist eine der meistgesuchten Fragen in der Datenwelt, und die ehrliche Antwort lautet: meist ja, aber es kommt darauf an. Web Scraping selbst, das programmatische Auslesen öffentlich verfügbarer Webseiten, ist in vielen Rechtsordnungen weithin rechtmäßig. Was einen Scrape von klar in Ordnung zu rechtlich riskant macht, ist die Kombination dreier Dinge: was du sammelst, wie du es sammelst, und wo du und deine Ziele sich befinden.
Das ist ein verständlicher Überblick über die rechtliche Landschaft: die Prinzipien, die die meisten Fälle entscheiden, die wegweisenden Urteile, die man kennen sollte, und die praktischen Gewohnheiten, die Scraping auf der richtigen Seite der Linie halten. Es ersetzt keinen Anwalt, aber es hilft dir, die richtigen Fragen zu stellen.
Die Kurzfassung
Für die meisten Scrapes von öffentlich verfügbaren, nicht-personenbezogenen Daten, durchgeführt ohne Zugangskontrollen zu umgehen und ohne das Ziel zu überlasten, waren Gerichte in den USA und anderswo generell nachsichtig. Das Risiko steigt steil, sobald du in eines davon übergehst:
- Personenbezogene Daten scrapen (Namen, E-Mails, Profile), löst Datenschutzrecht aus.
- Scrapen hinter einem Login oder einer Paywall, die du nicht umgehen darfst.
- Urheberrechtlich geschützte Inhalte republizieren statt Fakten zu extrahieren.
- Die Server des Ziels mit übermäßiger Last beeinträchtigen.
- Die Nutzungsbedingungen einer Site auf eine Weise verletzen, die Vertragshaftung begründet.
Bleib in der sicheren Zone, öffentlich, nicht-personenbezogen, respektvoll, faktisch, und du stehst an den meisten Orten auf solidem Boden. Tritt in die Risikozone, und “ist es legal” wird zu einer echten, sachverhaltsspezifischen Frage.
Die Rahmenwerke, die es tatsächlich entscheiden
Legalität ist nicht ein Gesetz, es sind mehrere überlappende Rechtsgebiete, und ein gegebener Scrape kann mehr als eines berühren.
1. Computer-Zugangsgesetze (z. B. der US-CFAA). Der Computer Fraud and Abuse Act ahndet “unbefugten Zugriff” auf Computersysteme. Die Kernfrage ist, ob das Scrapen öffentlicher Seiten “unbefugt” ist. Jüngeres US-Recht hat das erheblich eingegrenzt (siehe die Fälle unten), öffentliche Daten, die jedem mit einem Browser zugänglich sind, sind generell kein “unbefugter Zugriff”. Auf Daten hinter einer Authentifizierung zuzugreifen, die du nicht nutzen darfst, ist eine andere Geschichte.
2. Vertragsrecht / Nutzungsbedingungen. Die AGB der meisten Sites verbieten automatisierten Zugriff. Ein Verstoß gegen die AGB ist generell eine vertragliche Angelegenheit, kein Verbrechen, kann dich aber zivilrechtlicher Haftung (Vertragsbruch) aussetzen. Gerichte nehmen “Clickwrap”-Bedingungen (du hast “Ich stimme zu” geklickt) ernster als “Browsewrap” (ein Link im Footer, mit dem du nie interagiert hast). Ein AGB-Verstoß macht Scraping nicht strafbar, ist aber ein reales zivilrechtliches Risiko.
3. Urheberrecht. Fakten und Daten sind nicht urheberrechtlich schützbar; kreativer Ausdruck schon. Preise, Spezifikationen oder Statistiken zu extrahieren ist weit sicherer, als Artikel, Fotos oder andere Originalinhalte zu kopieren und zu republizieren. Wenn du geschütztes Material reproduzierst, bist du im Urheberrechtsterritorium, wo Fair Use / Fair Dealing und Lizenzen ins Spiel kommen.
4. Datenbankrechte (besonders in der EU). Das Sui-generis-Datenbankrecht der EU schützt die wesentliche Investition in das Zusammenstellen einer Datenbank, selbst wenn die einzelnen Fakten nicht urheberrechtlich schützbar sind. Einen wesentlichen Teil einer geschützten Datenbank zu scrapen und wiederzuverwenden, kann dieses Recht in der EU verletzen, ohne US-Äquivalent.
5. Datenschutzrecht (DSGVO, CCPA und andere). Das ist das große für personenbezogene Daten. Die DSGVO greift bei personenbezogenen Daten von Personen in der EU unabhängig davon, von wo du scrapest, und verlangt generell eine Rechtsgrundlage, Transparenz und Achtung der Rechte der Betroffenen. Personenbezogene Daten zu scrapen, Gesichter, Profile, Kontaktdaten, ist die Kategorie mit dem höchsten Risiko, und mehrere Aufsichtsbehörden haben dafür hohe Bußgelder verhängt. Kaliforniens CCPA/CPRA und eine wachsende Liste weiterer Datenschutzgesetze fügen eigene Anforderungen hinzu.
6. Trespass to Chattels (Besitzstörung). Eine ältere Doktrin, die greifen kann, wenn Scraping die Systeme des Ziels schädigt, etwa durch Überlastung von Servern. Auslöser ist der Schaden, nicht der Zugriff.
Das Fazit: es gibt kein einzelnes “Scraping-Gesetz”. Ob ein Scrape rechtmäßig ist, hängt davon ab, welches dieser Gebiete er berührt, und das wird von welchen Daten, wie und wo bestimmt.
Wegweisende Fälle, die man kennen sollte
Einige Urteile haben geprägt, wie sich das in der Praxis abspielt. (Rechtsprechung entwickelt sich, nimm diese als Orientierung, nicht als das aktuelle letzte Wort.)
hiQ Labs v. LinkedIn (USA, 9. Circuit). hiQ scrapete öffentliche LinkedIn-Profile. Die Gerichte deuteten an, dass das Scrapen öffentlich verfügbarer Daten unwahrscheinlich “unbefugter Zugriff” nach dem CFAA ist, ein wichtiges Signal, dass Scraping öffentlicher Daten kein kriminelles Hacking ist. Bemerkenswert: hiQ sah sich später vertraglicher Haftung wegen Verletzung der LinkedIn-Bedingungen gegenüber, was zeigt, dass CFAA und AGB getrennte Fragen sind.
Van Buren v. United States (US Supreme Court, 2021). Das Gericht engte die Klausel “überschreitet den befugten Zugriff” des CFAA ein: einen Zugriff, den du legitim hast, für einen unzulässigen Zweck zu nutzen, ist nicht automatisch ein CFAA-Verstoß. Das reduzierte die CFAA-Exposition für viele Scraping-Szenarien.
Meta v. Bright Data (USA, N.D. Cal., 2024). Ein Gericht befand, dass das Scrapen öffentlicher Facebook- und Instagram-Daten die Bedingungen von Meta nicht verletzte, teils weil der Scraper beim Sammeln öffentlicher Daten nicht eingeloggt war. Ein weiterer Datenpunkt, dass öffentliches, ausgeloggtes Scraping auf festerem Boden steht als Scraping hinter Authentifizierung.
Clearview AI (EU/UK-Aufsichtsbehörden). Aufsichtsbehörden verhängten Bußgelder gegen Clearview für das Scrapen von Gesichtsbildern, personenbezogenen Daten, um ohne Rechtsgrundlage eine Erkennungsdatenbank aufzubauen. Eine klare Illustration, dass das Scrapen personenbezogener Daten dem Datenschutzrecht unterliegt, wo die Regeln streng sind.
Das Muster über diese hinweg: öffentliches, ausgeloggtes, nicht-personenbezogenes, faktisches Scraping ist der sicherste Boden; Authentifizierung, personenbezogene Daten und republizierte Inhalte sind, wo sich das rechtliche Risiko konzentriert.
Wo passen Proxies hinein?
Ein verbreiteter Irrtum ist, dass die Nutzung eines Proxys das rechtliche Bild ändert. Tut sie nicht, in keine Richtung.
Ein Residential-Proxy ist ein Routing-Werkzeug, dieselbe Art Infrastruktur, die CDNs, VPNs und Unternehmensnetze antreibt. Einen zu nutzen ist rechtmäßig. Aber ein Proxy wäscht keine Legalität: einen unrechtmäßigen Scrape durch einen Proxy zu routen macht ihn nicht rechtmäßig, und einen rechtmäßigen Scrape durch einen Proxy zu routen macht ihn nicht unrechtmäßig. Proxies ändern, von welcher IP ein Request kommt, nicht, ob du ihn stellen solltest.
Wobei Proxies legitim helfen, ist verantwortungsvoll at Scale zu operieren, Last zu verteilen, damit du nicht einen einzelnen Endpoint hämmerst, und geo-passende Inhalte zu erreichen. Die Legalität der zugrundeliegenden Tätigkeit bleibt unverändert. (Unsere Acceptable Use Policy legt dar, was auf Shifter erlaubt ist, und sie folgt genau diesen Prinzipien.)
Praktische Best Practices, um auf der richtigen Seite zu bleiben
Rechtssicherheit bekommst du nicht aus einem Blogbeitrag, aber du kannst dein Risiko drastisch senken, indem du diese Gewohnheiten einbaust. Sie sind zufällig auch gutes Engineering.
- Scrape öffentliche Daten, keine Daten hinter einem Login. Authentifizierung ist eine klare Linie. Wenn du dich einloggen oder eine Zugangskontrolle umgehen musst, um sie zu erreichen, behandle sie als hochriskant und hol Rat ein.
- Meide personenbezogene Daten, außer du hast eine Rechtsgrundlage. Namen, E-Mails, Profile und besonders biometrische oder sensible Daten rufen das Datenschutzrecht auf. Wenn du keine personenbezogenen Daten brauchst, sammle keine. Wenn doch, hol dir ordentlichen Rat zu deiner Grundlage und deinen Pflichten.
- Respektiere robots.txt, wo sie tragend ist. Sie ist kein Gesetz, aber robots.txt und die erklärten Wünsche einer Site zu achten, ist starker Beleg für guten Glauben, und es ist die Norm.
- Beeinträchtige das Ziel nicht. Drossle die Rate, scrape wo vernünftig außerhalb der Stoßzeiten, und lass deine Sammlung nie die Performance der Site schädigen. Server-Schaden ist, worauf Trespass-Klagen gebaut sind. (Gute Scraping-Praktiken und rechtmäßiges Verhalten überlappen stark.)
- Extrahiere Fakten, republiziere keinen kreativen Inhalt. Preise, Spezifikationen und Datenpunkte sind weit sicherer als Artikel, Bilder oder anderen Originalausdruck zu kopieren.
- Lies die Nutzungsbedingungen. Wisse, wozu du zustimmst, besonders Clickwrap-Bedingungen, und wäge das Vertragsrisiko ihres Bruchs ab.
- Beachte die Jurisdiktion. EU-Betroffene bringen die DSGVO ins Spiel, wo auch immer du operierst; EU-Datenbanken bringen Datenbankrechte; die Gesetze deines eigenen Landes greifen auch. Grenzüberschreitendes Scraping vervielfacht die Regelwerke.
- Dokumentiere Zweck und Prozess. Legitime, gut dokumentierte Nutzung (Preisvergleich, Forschung, Monitoring) ist leichter zu verteidigen als vage oder aggressive Sammlung.
Diese Prinzipien sind dieselben, die hinter verantwortungsvollem Dataset-Aufbau und Trainingsdaten-Sammlung stehen, Compliance und Qualität ziehen in dieselbe Richtung.
FAQ
Ist Web Scraping legal? Generell ist das Scrapen öffentlich verfügbarer, nicht-personenbezogener Daten ohne Umgehung von Zugangskontrollen und ohne Schädigung des Ziels in vielen Rechtsordnungen weithin rechtmäßig. Rechtlich riskant wird es, wenn es personenbezogene Daten, Authentifizierung/Paywalls, urheberrechtlich geschützte Inhalte, Server-Schaden oder einen AGB-Verstoß betrifft. Es hängt immer von den konkreten Umständen und der Jurisdiktion ab.
Ist das Scrapen öffentlicher Daten legal? Öffentliche, ausgeloggte Daten sind der sicherste Boden, US-Rechtsprechung hat wiederholt angedeutet, dass das Scrapen öffentlich zugänglicher Seiten unwahrscheinlich “unbefugter Zugriff” ist. Aber öffentlich heißt nicht unbeschränkt: sind diese öffentlichen Daten personenbezogene Daten, greift weiterhin Datenschutzrecht, und das Republizieren urheberrechtlich geschützter öffentlicher Inhalte wirft weiterhin Urheberrechtsfragen auf.
Macht ein Verstoß gegen die Nutzungsbedingungen Scraping illegal? Nicht strafbar, aber potenziell ein zivilrechtliches Problem. Ein AGB-Verstoß ist generell eine Vertragsangelegenheit, die dich der Haftung wegen Vertragsbruchs aussetzen kann, getrennt von Computer-Zugangsgesetzen. Clickwrap-Bedingungen (du hast aktiv zugestimmt) wiegen mehr als Browsewrap (ein Footer-Link).
Ist das Scrapen personenbezogener Daten legal? Das ist die Kategorie mit dem höchsten Risiko. Personenbezogene Daten lösen Datenschutzgesetze wie die DSGVO (für Personen in der EU, von wo auch immer du scrapest) und die CCPA aus, die generell eine Rechtsgrundlage verlangen und Pflichten auferlegen. Mehrere Aufsichtsbehörden haben Unternehmen für das Scrapen personenbezogener Daten ohne Grundlage mit Bußgeldern belegt. Hol Rechtsrat ein, bevor du personenbezogene Daten scrapest.
Macht die Nutzung eines Proxys Scraping legal oder illegal? Weder noch. Ein Proxy ist ein rechtmäßiges Routing-Werkzeug; er ändert, von welcher IP ein Request kommt, nicht, ob die zugrundeliegende Tätigkeit erlaubt ist. Er kann einen unrechtmäßigen Scrape nicht rechtmäßig machen, und er macht einen rechtmäßigen Scrape nicht unrechtmäßig.
Ist es legal, urheberrechtlich geschützte Inhalte zu scrapen? Fakten zu extrahieren (Preise, Spezifikationen, Zahlen) ist generell sicher, weil Fakten nicht urheberrechtlich schützbar sind. Originalen kreativen Inhalt zu kopieren und zu republizieren, Artikel, Fotos, Video, kann das Urheberrecht verletzen, außer es ist von Fair Use / Fair Dealing oder einer Lizenz gedeckt.
Das Fazit
Web Scraping ist größtenteils legal, besonders wenn du öffentliche, nicht-personenbezogene, faktische Daten sammelst, ohne Zugangskontrollen zu umgehen oder die Site zu schädigen. Das rechtliche Risiko sitzt an den Rändern: personenbezogene Daten, Authentifizierung, urheberrechtlich geschützte Inhalte, Server-Überlastung und Vertragsbedingungen. Das meiste am Compliant-Bleiben ist schlicht, aus diesen Rändern herauszubleiben und in gutem Glauben zu handeln.
Nichts davon ersetzt Rat zu deinem konkreten Projekt, im Zweifel sprich mit einem Anwalt. Aber die Prinzipien sind konsistent und erlernbar: scrape, was öffentlich ist, nimm nur, was du brauchst, schade dem Ziel nicht, respektiere Datenschutz und Urheberrecht, und kenne deine Jurisdiktionen. Tu das, und ein hochwertiges Residential-Proxy-Netz ist einfach verantwortungsvolle Infrastruktur, um öffentliche Daten at Scale zu sammeln, genau so, wie es gedacht ist. Mehr zum Web Scraping selbst findest du in was Web Scraping ist und wie es ein Unternehmen unterstützt.