US-Gericht: Scraper darf Profile bei LinkedIn abgreifen
Daten von einer öffentlich zugänglichen Webseite abzugreifen, verstößt nicht gegen das US-Gesetz “Computer Fraud and Abuse Act” (CFAA). Das hat das Berufungsgericht für den neunten Bundesgerichtsbezirk in Kalifornien am Montag entschieden. Hintergrund ist ein Rechtsstreit zwischen Microsofts Job-Plattform LinkedIn und dem Unternehmen hiQ Labs.
Die Firma hiQ Labs greift automatisiert Daten aus öffentlichen Nutzerprofilen auf LinkedIn ab – betreibt also sogenanntes Scraping. Zu den gesammelten Informationen zählen Namen und Tätigkeitsbezeichnungen von Personen. Diese analysiert hiQ und verkauft die Erkenntnisse an Geschäftskunden – sie sollen so beispielsweise erfahren, welche ihrer Beschäftigten am ehesten abgeworben werden könnten. LinkedIn selbst bietet ähnliche Dienste für zahlende Kunden an.
Das Gericht hat nun entschieden, dass hiQ vorerst weiter Daten auf LinkedIn sammeln darf. LinkedIn hatte sich auf den CFAA bezogen. Das Gesetz verbietet den Zugriff auf “geschützte Computer” ohne vorherige Genehmigung. Das Gericht entschied aber, dieses Verbot beziehe sich auf Fälle, in denen Personen etwa einen Passwortschutz umgehen. Wenn allerdings auf öffentlich zugängliche Daten zugegriffen werde, sei dies kein Verstoß gegen das Gesetz. Die betroffenen Daten seien weder Eigentum von LinkedIn, noch setze die Plattform ein Anmeldesystem ein, um den Zugriff auf diese Daten zu unterbinden.
LinkedIn wollte hiQ aussperren
Bereits im Jahr 2017 hatte LinkedIn eine Unterlassungserklärung an hiQ verschickt und erklärt, das Abgreifen der Daten verstoße gegen die Nutzungsbedingungen der Plattform. Sollte das Unternehmen dennoch weitermachen, sei dies ein Verstoß gegen US-amerikanisches Recht – darunter den CFAA.
Als Antwort auf diese Unterlassungserklärung hatte hiQ Klage gegen LinkedIn eingereicht, um weiter auf öffentliche Profildaten zugreifen zu können, und eine einstweilige Verfügung beantragt. Das Bezirksgericht für den nördlichen Bezirk von Kalifornien war dem damals in erster Instanz gefolgt und hatte angeordnet, dass LinkedIn technische Barrieren entfernen musste, die hiQ am Sammeln von öffentlichen Profilen hinderten.
Im Jahr 2019 dann hatte das kalifornische Berufungsgericht erneut entschieden, dass das Vorgehen von hiQ kein Verstoß gegen den CFAA darstellt und die einstweilige Verfügung aufrecht erhalten. LinkedIn hatte daraufhin den Supreme Court angerufen. Das oberste Gericht der USA hatte das Berufungsgericht angewiesen, den Fall erneut zu prüfen – und dabei eine Entscheidung des Supreme Courts zum CFAA aus dem Jahr 2021 zu berücksichtigen.
In dem Verfahren hatte das oberste Gericht entschieden, dass kein Verstoß gegen den CFAA vorliegt, wenn eine Person Daten aus einem System verwendet, zu dem sie autorisierten Zugang hat – auch wenn dies einen Verstoß gegen die Nutzungsbedingungen darstellt. Das Berufungsgericht sah seine vorige Entscheidung durch dieses Urteil bekräftigt: Das CFAA-Konzept der “unbefugten Nutzung” sei nicht auf öffentliche Webseiten anwendbar.
Das Gericht merkte außerdem an, dass bei der Beantragung einer einstweiligen Verfügung nachgewiesen werden müsse, dass ohne Rechtsschutz ein nicht wieder gutzumachender Schaden entstehe. Das habe hiQ darlegen können: Ohne Zugang zu den LinkedIn-Daten könne das Unternehmen seine Geschäftstätigkeit nicht aufrecht erhalten.
LinkedIn greift Daten selbst ab
LinkedIn hatte auch argumentiert, das Scraping gefährde die Privatsphäre der Nutzerinnen und Nutzer. Das Gericht entgegnete dem, es sei nicht hinreichend belegt, dass Nutzer mit öffentlichen Profilen tatsächlich Privatsphäre erwarten würden. Außerdem untergrabe LinkedIn dieses Argument selbst: Denn die Plattform biete Produkte an, mit denen sich unter anderem Namen, Tätigkeitsbeschreibungen und Standorte aus öffentlichen Profilen exportieren lassen. Bei öffentlichen Profilen beabsichtigten die Nutzerinnen und Nutzer offensichtlich, dass Dritte auf diese zugreifen können.
LinkedIn teilte der Nachrichtenseite TechCrunch mit, von der Entscheidung “enttäuscht” zu sein. Das Unternehmen wies jedoch darauf hin, es handle sich nur um eine vorläufige Entscheidung und das Verfahren sei noch nicht abgeschlossen. Man werde gerichtlich weiter gegen das Scraping vorgehen.
Das Hauptverfahren ist derzeit am US-Bundesbezirksgericht für das nördliche Kalifornien anhängig. Medienberichten zufolge soll erst in diesem Verfahren über weitere Fragen entschieden werden, darunter unlauteren Wettbewerb und Datenschutz.
Die Bürgerrechtsorganisation Electronic Frontier Foundation nannte die Entscheidung “eine gute Nachricht” für alle, die öffentlich zugängliche Informationen sammeln – wie etwa Medienschaffende und Forschende. Die Organisation kritisiert den aus den 1980er Jahren stammenden CFAA als vages Gesetz, das einen großen Ermessensspielraum bei der strafrechtlichen Verfolgung biete. Das Gesetz sei verabschiedet worden, um gegen böswillige Einbrüche in IT-Systeme vorzugehen. Die Entscheidung sei Grund zur Hoffnung, dass Gerichte zukünftig die zu weite Auslegung des Gesetzes weiter einschränken werden.
Während der Zugang zu öffentlichen Informationen beispielsweise für Wissenschaftler wichtig sein kann, gibt es aber auch Kritik an Firmen, die per Scraping Daten sammeln: So hat beispielsweise das US-amerikanische Unternehmen Clearview AI mit diesem Verfahren Milliarden Fotos von Menschen im Internet gesammelt und eine Gesichtserkennungsdatenbank aufgebaut. In den USA sind mehrere Klagen gegen das Unternehmen anhängig. (js)